4.4.

-INGENIERIA DE SEGURIDAD

La Ingeniera de la seguridad es una rama de la ingeniera, que usa todo tipo de

ciencias para desarrollar los procesos y diseos en cuanto a las caractersticas de
seguridad, controles y sistemas de seguridad. La principal motivacin de esta
ingeniera ha de ser el dar soporte de tal manera que impidan comportamientos
malintencionados.
El campo de esta ingeniera puede ser muy amplio, podra desarrollarse en
muchas tcnicas:

Equipos: Como el diseo de cerraduras, cmaras, sensores,...

Procesos: polticas de control, procedimientos de acceso,...

Informtico: control de passwords, criptografa,...

Uno de los pioneros en la Ingeniera de seguridad como un campo de estudio

es Ross Anderson.

La principal motivacin de esta ingeniera ha de ser el dar soporte de tal manera

que impidan comportamientos malintencionados.

El campo de esta ingeniera puede ser muy amplio, podra desarrollarse en

muchas tcnicas:

Equipos: Como el diseo de cerraduras, cmaras, sensores,...

Procesos: polticas de control, procedimientos de acceso,...

Informtico: control de passwords, criptografa,...

Tradicionalmente el tema de la seguridad en sistemas computarizados se ha
asociado a la criptografa y sus tcnicas. La inmensa complejidad que caracteriza
a los sistemas modernos hace que esta aproximacin sea insuficiente.

Hoy en da la seguridad est asociada a la interaccin de una multiplicidad de

sistemas. La seguridad de un sistema en particular est directamente relacionada
a la seguridad de la ms dbil de sus partes.
ALUMNO: GALEANA HUERTA OMAR.

Un sistema puede tener mecanismos criptogrficos que sean considerados

completamente seguros pero puede adolecer de debilidades que hagan que sea
innecesario atacar al sistema criptogrfico.

EJEMPLOS DE ESTOS SON:

Sistemas que fallan debido a problemas en el cdigo, como en la mayora de los

ataques conocidos como de buffer overflow, en los cuales el no considerar
aspectos de excepcin asociados a los sistemas pueden representar que un
atacante suficientemente hbil pueda asumir funciones del administrador. Si en un
determinado sistema alguien asume las funciones del administrador puede tener
muy fcil acceso a claves y sistemas criptogrficos haciendo intil la fortaleza del
sistema criptogrfico que lo protege.

Algunos ataques aprovechan fallas de diseo en el sistema. Si una determinada

aplicacin ejecuta sin evaluar un determinado comando, los atacantes del sistema
pueden conseguir informacin vital sin necesidad de romper las claves
criptogrficas que lo protegen.

La existencia de sistemas de comunicacin mvil, basados en transmisin

inalmbrica facilita actividades de fisgoneo en la seal. Algunas veces lo que se
conoce como ataques de ingeniera social pueden resultar muy efectivos a la hora
de atacar sistema supuestamente seguros.

La poca comprensin que algunos implementadores de sistemas tienen sobre los

mecanismos de seguridad implcitos tambin ocasiona que ciertos sistemas sean
ms vulnerables. Un ejemplo clsico es la forma en que se implementan algunos
sistemas de contabilidad.El sistema de doble registro, ancestralmente usado para
proteger sistemas de seguridad se ve violentado por sistemas que obligan al
cuadre entre cuentas lo cual facilita el ataque a sistemas de esta naturaleza.

ALUMNO: GALEANA HUERTA OMAR.

LAS POLITICAS DE SEGURIDAD, LOS OBJETIVOS DE SEGURIDAD.

En el establecimiento de las condiciones de seguridad de cualquier sistema juegan
un papel fundamental las polticas de seguridad y los perfiles de proteccin. El
modelado de riesgos es el primer paso a dar cuando uno piensa en el diseo de
un sistema seguro. Cules son los riesgos reales que se afrontan con el
sistema? Con que frecuencia pueden ocurrir? Y sobre todo Cul es su costo? y
Cunto estamos dispuestos a invertir para garantizar que no ocurran? Esta
actividad requiere de una visin sistmica de lo que pueden significar los riesgos
de seguridad. No es suficiente con hacer un listado completo de los posibles
riegos de seguridad.
La ingeniera de seguridad procede secuencialmente desde los requerimientos de
seguridad hasta la solucin, no desde la tecnologa ms novedosa. Esto significa
que lo primero que hay que hacer es modelar el tipo de ataques al que se est
sujeto, a partir de esto crear una poltica de seguridad y luego a partir de esto
escoger la tecnologa a aplicar para evitar los riesgos antes modelados.
Los riesgos determinan la poltica y esta define la tecnologa a utilizar, los pasos a
seguir seran los siguientes:

Comprender los riesgos reales del sistema y evaluar el las probabilidades

de esos riesgos.
Describir la poltica de seguridad requerida para defenderse de esos

ataques o riesgos.
Disear las medidas de seguridad destinadas a contrarrestar esos riesgos.

Referencia: http://magdalyithunid4.blogspot.mx/

ALUMNO: GALEANA HUERTA OMAR.

4.4.-INGENIERIA DE SEGURIDAD

La seguridad de software aplica los principios de la seguridad de informacin al

desarrollo de software Information security (La seguridad de informacin) se
refiere a la seguridad de informacin comnmente como la proteccin de sistemas
de informacin contra el acceso desautorizado o la modificacin de informacin, si
est en una fase de almacenamiento, procesamiento o trnsito. Tambin la
protege contra la negacin de servicios a usuarios desautorizados y la provisin
de servicio a usuarios desautorizados, incluyendo las medidas necesarias para
detectar, documentar, y contrarear tales amenazas.
Muchas preguntas con respecto a la seguridad, son relacionadas al ciclo vital de
software. En particular, la seguridad del cdigo y el proceso de software; deben de
ser considerados durante la fase del diseo y desarrollo. Adems, la seguridad
debe de ser preservada durante la operacin y el mantenimiento para asegurar la
integridad de una parte (pedazo) de software.
Una gran cantidad de seguridad usada en los Sistemas de Redes de hoy, nos
pueden engaar en la
Creencia que nuestros trabajos como diseadores de sistema de seguridad ya han
sido realizados. Sin embargo, las cadenas y computadoras son increblemente
inseguras. La falta de seguridad se origina en dos problemas fundamentales:
Los sistemas que son tericamente seguros pueden ser inseguros en la prctica,
Adems los sistemas son cada vez ms complejos. La complejidad proporciona
ms oportunidades para los ataques. Es mucho ms fcil probar que un sistema
es inseguro que demostrar que uno es seguro -- probar la inseguridad,
simplemente una toma ventaja de ciertas vulnerabilidades del sistema. Por otra
parte, probando un sistema seguro, requiere demostrar que todas las hazaas
posibles puedan ser defendidas contra (muy desalentadora), si no imposible, la
tarea Actualmente, no hay ninguna solucin singular para asegurar la ingeniera de
software. Sin embargo, hay mtodos especficos que mejoran la seguridad de los
sistemas. En particular, podemos mejorar la confiabilidad de software. Tambin
podemos mejorar nuestra comprensin de los requisitos de un pedazo De
software.

ALUMNO: GALEANA HUERTA OMAR.

Buena Prctica

La seguridad requiere ms manejo y riesgo de mitigacin, de la que requiere la

tecnologa. Como un
Desarrollador, uno primero debe de determinar los riesgos de una aplicacin
particular. Por ejemplo, el Web cite tpico de hoy puede ser sujeto de una variedad
de riesgos; la desfiguracin o la negacin distribuida de ataques del servicio. Una
vez que se identifiquen los riesgos, identificar medidas de seguridad apropiadas
llega a ser manejable.
En particular, al definir los requisitos, es importante considerar cmo la aplicacin
ser utilizada. Con ese conocimiento uno puede decidir, s o no, utilizar
caractersticas complejas como contabilidad, auditora etc.
Otro asunto potencialmente importante es como soportar el nombramiento del
producto. El aumento de los Sistemas distribuidos a hecho el nombramiento cada
vez ms importante. Tpicamente, el nombramiento esta manejado por
rendezvous: un principal exporta un nombre y lo anuncia en alguna parte, y
alguien que desea utilizar el nombre lo busca en los libros y directorios de
telfono. Por ejemplo, en un sistema como el sistema del descubrimiento del
recurso, los recursos y los individuos que usan esos recursos deben ser
nombrados.
A menudo hay cosas buenas y malas con respecto al nombramiento: mientras que
el nombramiento puede proporcionar a un nivel de direccin, tambin puede crear
problemas adicionales si los nombres no son estables. Los nombres pueden
permitir que los directores desempeen diversos papeles en un sistema
determinado que pueda tambin ser til.

ALUMNO: GALEANA HUERTA OMAR.

Referencia: http://rosendaithuejutla.blogspot.mx/

ALUMNO: GALEANA HUERTA OMAR.