SEGURIDAD DE SISTEMAS tema1

Un Sistema es un conjunto de dos o mas elementos que satisface. El comportamiento de cada elemento tiene un efecto en el comportamiento del conjunto. El comportamiento de los elementos y sus efectos en el conjunto son interdependientes. Disciplina nace en escuela de negocios y ciencias computacionales (informaIon systems or management of informaIon systems).

En un Sistema hay subgrupos de elementos formados y cada uno tiene un efecto en el comportamiento del conjunto y ........................... en este. Ninguno tiene un efecto independiente. Todos tienen efectos independientes.

Ingeniería de sistemas. Disciplina nace en escuela de negocios y ciencias computacionales (information systems or management of information systems). Es la aplicación práctica del conocimiento científico al diseño y construcción de programas de computadora y a la documentación asociada requerida.

El Enfoque holístico Incorpora: (Escoja 3). • Gente. • Procesos. • Tecnología. • Recursos.

El Enfoque holístico Considera factores para detección, prevención que son: Técnicos, Humanos, Sociales, Culturales, Gobierno. Sociales, Culturales, Teológicos, Técnicos.

El Enfoque holístico a la ciberseguridad Integra: Escoja 4. Métodos, Habilidades de personas. Infraestructura robusta, Programas de gestión de riesgo. Políticas de seguridad efectivas. Construcción de cultura de ciberseguridad. Recursos, Tecnología en la red.

La Disciplina de Ciberseguridad Interdiciplinary content son: Escoja 4. Rick Mgmt,. Ethics, Policy. Law. System. Human Factors.

La Disciplina de Ciberseguridad Computing disciplines son: Escoja 4. Computer Science. Computer Engineer. Information Technology. Information Systems. Human Factors.

Sistemas de propósito general. Sistemas diseñados para soportar una amplia variedad de tareas. Sistemas encargados de una amplia variedad de equipos.

Soporta gran número de programas utilitarios (varias tareas).Pej. Compiladores, editores, procesadores de palabras…, es un: Sistemas de propósito general. Sistemas de propósito especifico.

Sistemas Operativos de P.G.: maneja continuo flujo de trabajo en el PC, pertenece a: Sistemas de propósito general. Sistemas de propósito especifico.

Ejecuta uno o mas programas, es un: Sistemas de propósito general. Sistemas de propósito especifico.

Generalmente sólo tienen una aplicación o función útil, pertenece a: Sistemas de propósito general. Sistemas de propósito especifico.

Una consola de video juegos – similar a una computadora personal, pero destinadas solamente al entretenimiento. es un: Sistemas de propósito general. Sistemas de propósito especifico.

Hace 25 años, las siguientes amenazas causaban poca preocupación y estas son: – Cyber threats. – Insider threats. – Stand-off alacks. – Stand Stuxnet.

El involucramiento tardío de seguridad en el diseño implica menos seguridad o rediseño y construcción a un ............... alto costo. bajo costo.

El JTF define la ciberseguridad como. "Disciplina basada en el cómputo que involucra tecnología, personas, información y procesos para permitir operaciones aseguradas. Implica el CREACIÓN, OPERACIÓN, ANÁLISIS Y PRUEBAS DE Sistemas informáticos seguros. Posibilidad de que se produzca un contratiempo o una desgracia, de que alguien o algo sufra perjuicio o daño.

Seguridad informática (computer security). Medias y controles que aseguran confidencialidad, integridad, y disponibilidad de sistemas de información, incluyendo hardware, sopware, e informacion durante el procesamiento, almacenamiento y manipulación. Consiste en las políticas y prácticas adoptadas para prevenir y supervisar el acceso no autorizado, el uso indebido, la modificación o la denegación de una red.

Seguridad de la información: protección de la información de un rango amplio de amenazas para asegurar la continuidad del negocio, minimizar el riesgo comercial, y maximizar el retorno de las inversiones. protección de datos para maximizar el riesgo comercial y minimizar el retorno de las inversiones.

Las Propiedades de la información son: Confidencialidad. Disponibilidad. Integridad. No-retractación. Riesgo.

Riesgo: Probabilidad de que una amenaza actúe sobre un activo y cause un impacto. Maneras de explotar una vulnerabilidad.

Amenaza / Threat. una persona o cosa que pueda causar daños o peligro;. medida de la magnitud de los daños frente a una situación peligrosa.

Amenaza / Threat. the possibility of trouble or danger. the possibility of solutions and danger.

Cualquier acción "que pueda resultar un esfuerzo no autorizado para impactar negativamente la seguridad, confidencialidad y disponibilidad de un sistema de información o de información almacenada en tal sistema. Amenaza cibernética - Cyber threat. Amenaza - Threat.

Agencias de Inteligencia inclusivas Agencia de Seguridad Nacional de EE. UU. (NSA) vio que sus propias herramientas de piratería filtraron todo a través de internet por un grupo de llamadas ellos mismos los ............................................ Corredores de las Sombras. Hombres de sombrero Negro.

La Caracterización de los activos son: escoja dos. Identificación. Clasificación. Organización.

Vulnerabilidades en sistemas de TI son: escoja 3. Software aplicacional (desarrollo y adquisición). Software de base (SOs, telecom). Firmware. Vulnerabilidades inherentes al SO (Buffer overflow).

Vulnerabilidades en sistemas de TI son: escoja 3. Hardware (USB ports). Software de base (SOs, telecom). Telecomunicaciones (Wi-Fi). Vulnerabilidades inherentes al SO (Buffer overflow).

Vulnerabilidades en SOs - Tipos escoja 4. Vulnerabilidades de instalación. Vulnerabilidades de configuración (banderas). Telecomunicaciones (Wi-Fi). Vulnerabilidades inherentes al SO (Buffer overflow). Vulnerabilidades de operación (procedimientos).

Vulnerabilidades en redes - ejemplos. WEP (“Wired Equivalent Privacy”). Configuraciones (switches, routers). Protocolos (texto claro). Inherentes al SO (Buffer overflow).

Vulnerabilidades en redes - ejemplos. BDD de usuarios distribuidas. Autenticación débil. Falta de autenticación y autorización. Inherentes al SO (Buffer overflow).

Ciclo de vida de una vulnerabilidad. Creation, Discovery, Exploit, Disclosure, Patch avalible, Patch installed, Remediation. Creation, Discovery, Explorations, Patch Panel, Patch installed.

Vulnerability Disclosure (publicación) Discusión! Tipos. Nondisclosure. Full Disclosure. Limited Disclosure. Responsible Disclosure. threat.

Framework para comunicar características e impacto de vulnerabilidades o Métricas para análisis de vulnerabilidades. CVSS: Common Vulnerability Scoring System. CBDS: Common Data Base Scoring System.

Metricas: impacto, explotabilidad, remediación, vector de ataque. exploración, vector de distancia, impacto.

Base Score, Característica intrínseca – Attack vector: nivel de acceso del atacante para explotación. condiciones que deben existir mas allá del control del ataca.

Base Score, Característica intrínseca – Complexity: nivel de acceso del atacante para explotación. condiciones que deben existir mas allá del control del ataca.

Base Score, Característica intrínseca – User interaction: nivel de acceso del atacante para explotación. necesaria para ejecutar explotación.

Grupo Temporal: Características de la vulnerabilidad que cambian en el tiempo. Se aplican tres métricas: Exploit Code Maturity (E). Uncorroborated (UC). Remediation Level (RL). Report Confidence (RC).

Métricas de explotación. Base Score, Temporal Score, Environmental Score. Medium Score, Temporal Score, Environmental Score.

CVSS Score Rating- CVSS Score. None. Low. Medium. High. Critical.

UNIR SEGÚN CORRESPONDA. Confidencialidad. Disponibilidad. Integridad.

Unir según corresponda los siguientes literales. Amenaza:. Vulnerabilidad:. Ataque:.