Unidad 7 Auditoria de La Seguridad Lógica
-
Upload
karina-ramos -
Category
Documents
-
view
106 -
download
1
Transcript of Unidad 7 Auditoria de La Seguridad Lógica
-
P R E S E N T A D O P O R :
N A Y E L I J U D I T H S I L V A M A R T N E Z
A N A K A R I N A R A M O S R A M R E Z
AUDITORIA DE LA SEGURIDAD LGICA
-
INTRODUCCIN
Luego de ver como nuestro sistema puede verse afectado por la faltade Seguridad Fsica, es importante recalcar que la mayora de los daosque puede sufrir un centro de cmputos no ser sobre los medios fsicossino contra informacin por l almacenada y procesada.
As, la Seguridad Fsica, slo es una parte del amplio espectro que se debecubrir para no vivir con una sensacin ficticia de seguridad. Como ya seha mencionado, el activo ms importante que se posee esla informacin, y por lo tanto deben existir tcnicas, ms all de laseguridad fsica, que la aseguren.
Estas tcnicas las brinda la Seguridad Lgica
-
7.1 QU ES SEGURIDAD LGICA?
Consiste en la "aplicacin de barreras y procedimientos queresguarden el acceso a los datos y slo se permita acceder aellos a las personas autorizadas para hacerlo.
Existe un viejo dicho en la seguridad informtica que dicta que:
"todo lo que no est permitido debe estar prohibido"
Y esto es lo que debe asegurar la Seguridad Lgica.
-
ELEMENTOS LIGADOS A LA SEGURIDAD
Conjunto de servicios y soluciones tecnolgicas orientadas a mejorar laseguridad de la informacin (disponibilidad, confidencialidad de laintegridad); as como a facilitar la gestin del acceso a la misma por partede los usuarios.
PROTECCIN DE ACCESOS Y REDES
PROTECCIN DE SISTEMAS Y DATOS SEGURIDAD DE
APLICACIONES
IDENTIDAD Y CREDENCIALES DE
USUARIOS
-
DE QU SE ENCARGA LA SEGURIDAD LGICA?
Controles de acceso para salvaguardar la integridad de la
informacin almacenada
Identificar individualmente a cada
usuario y sus actividades en el sistema
Controlar y salvaguardar la informacin generada
-
ALGUNOS OBJETIVOS PRINCIPALES
INTEGRIDADGarantizar que los datos sean los que se supone que son.
CONFIDENCIALIDADAsegurar que slo los individuos autorizados tengan acceso a los recursos que se intercambian
AUTENTICACINAsegurar que solo los individuos autorizados tengan acceso a los recursos
DISPONIBILIDADGarantizar el correcto funcionamiento de los sistemas de informacin
EVITAR EL RECHAZOGarantizar de que no se pueda negar una operacin realizada
-
OBJETIVOS ESPECFICOS
Restringir el acceso a los programas y archivos.
Asegurar que los operadores puedan trabajar sin una supervisinminuciosa.
Asegurar que se estn utilizados los datos, archivos y programascorrectos en y por el procedimiento correcto.
Garantizar que la informacin transmitida sea recibida slo por eldestinatario al cual ha sido enviada y no a otro.
Certificar que la informacin recibida sea la misma que ha sidotransmitida.
Asegurar que existan sistemas alternativos secundarios de transmisinentre diferentes puntos.
Cerciorar que se disponga de pasos alternativos de emergencia para latransmisin de informacin.
-
7.2 CONSECUENCIAS Y RIESGOS
MAL UTILIZADA: ROBOS, FRAUDES, Y
SABOTAJESDESTRUCCIN
TOTAL O PARCIAL
CONSECUENCIAPRDIDAS DE
DINERO
-
Principales daos y/o consecuencias.
Cambio de los datos.
Copias de programas y/o informacin.
Cdigo oculto en un programa.
Entrada de virus.
Inicios de sesin agregados (permisos a quien no debe de tenernos).
-
CONTROL DE ACCESO LGICO
El control de acceso lgico es la principal lnea de defensapara la mayora de los sistemas, permitiendo prevenir elingreso de personas no autorizadas a la informacin de losmismos.
Para realizar la tarea de controlar el acceso se emplean 2procesos normalmente: identificacin y autenticacin.Se denomina identificacin al momento en que el usuariose da a conocer en el sistema; y autenticacin a laverificacin que realiza el sistema sobre esta identificacin.
-
Desde el punto de vista de la eficiencia, es conveniente quelos usuarios sean identificados y autenticados solamenteuna vez, pudiendo acceder a partir de ah a todas lasaplicaciones y datos a los que su perfil les permita, tanto ensistemas locales como en sistemas a los que deba accederen forma remota. Esto se denomina single login osincronizacin de passwords.
-
Una de las posibles tcnicas para implementar estanica identificacin de usuarios sera la utilizacin deun servidor de autenticaciones sobre el cual losusuarios se identifican y que se encarga luego deautenticar al usuario sobre los restantes equipos a losque ste pueda acceder.
-
7.3 RUTAS DE ACCESO
Cada uno de los sistemas de informacin tiene unaruta de acceso, la cual puede definirse como latrayectoria seguida en el momento de acceso alsistema. Los tipos de restricciones de acceso son:
Slo lectura
Slo consulta
Lectura y consulta
Lectura escritura para crear, actualizar, borrar, ejecutar o copiar
-
Sirve para identificar
El esquema de las rutas de acceso sirve para identificartodos los puntos de control que pueden ser usadospara proteger los datos en el sistema. El autor debeconocer las rutas de acceso para el evaluacin de lospuntos de control apropiados.
-
IMPLEMENTACIN
Estos controles pueden implementarse en:
Sistema Operativo
Sobre los sistemas de aplicacin
En bases de datos
En un paquete especfico de seguridad o en cualquier otro utilitario.
-
Cabe destacar
Constituyen una importante ayuda para proteger al sistemaoperativo de la red, al sistema de aplicacin y demssoftware de la utilizacin o modificaciones no autorizadas;para mantener la integridad de la informacin(restringiendo la cantidad de usuarios y procesos conacceso permitido) y para resguardar la informacinconfidencial de accesos no autorizados.
Asimismo, es conveniente tener en cuenta otrasconsideraciones referidas a la seguridad lgica, como porejemplo las relacionadas al procedimiento que se lleva acabo para determinar si corresponde un permiso de acceso(solicitado por un usuario) a un determinado recurso.
-
7.4 CLAVES DE ACCESO
Una clave de acceso es una combinacin de letras, nmerosy signos que debe teclearse para obtener acceso a unprograma o partes de un programa determinado, unterminal u ordenador personal, un punto en la red, etc.Muchas veces se utiliza la terminologa inglesa (password)para referirse a la clave de acceso.Tambien puede ser una credencial con banda magnetica.Algo especifico del usuario como : Huellas dactilares Retina Voz firma
-
Recomendaciones para claves de acceso
Establecer una longitud mnima: cada carcter aumenta exponencialmente el grado de proteccin que ofrece la contrasea.Mnimo recomendado: 8 caracteresideal: 14 o mas.
Combinacin de caracteres: minsculas, maysculas, smbolos.
-
Algunos mtodos.
No utilizar secuencias ni caracteres repetidos ej. 1234 etc.
No utilizar el nombre de inicio de sesin
Evitar la opcin de contraseas en blanco.
Cambiar contraseas con frecuencia.
-
RECOMENDACIONES
Los expertos aconsejan
No utilizar nombres pertenecientes a familiares y amigos.
Fechas concretas (nacimiento, aniversario), nombres demascotas, o palabras con significado (clave, acceso, etc.).
Utilizar una combinacin de letras, nmeros y signos(h+gy7/6t, por ejemplo).
Que debe cambiarse con relativa frecuencia.
-
7.5 Software de control de acceso
El software de control de acceso tiene las siguientes funciones:
Definicion de usuarios
Definicion de las funciones de usuario despus de accesar el sistema
Establecimiento de auditoria a travs del uso del sistema.
-
7.5 Software de control de acceso
La mayor ventaja del software de seguridad es la capacidad para proteger los recursos de acceso no autorizados, incluyendo a los siguientes:
Procesos en espera de modificacin por un programa
De aplicacin
Accesos por editores en lnea
Accesis por utilera de software
Accesos a archivos de las bases de datos a travs de un manejador de base de datos.
Accesos de terminales o estaciones no autorizadas
-
Ejemplos de Software de control de Acceso
Software manejador de base de datos: Es un software cuya finalidad es la de controlar, organizar y manipular los datos. Provee multiples caminos para accesar los datos en una base de datos. Maneja la integridad de ellos entre operaciones, funciones y tareas de ka organizacin.
Software de consolas o terminales maestras.Puede ser definido como varios programas del sistema operativo que proveen soporte y servicio para que las terminales en lnea accedan a los programas de esta aplicacin.
-
Ejemplos de Software de control de Acceso
-
7.6 Tipos de seguridad lgica
-
Tipos de seguridad lgica
-
Tipos de seguridad lgica