Seguridad Logica

7
TEMA 3: SEGURIDAD LÓGICA 3.1 PRINCIPIOS DE LA SEGURIDAD LÓGICA La mayoría de los daños que puede sufrir un sistema informático no será solo los medios físicos sino contra información almacenada y procesada. El activo más importante que se posee es la información y por tanto deben existir técnicas más allá de la seguridad física que la asegure, estas técnicas las brinda la seguridad lógica. Es decir que la seguridad lógica consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los datos y solo se permita acceder a ellos a las personas autorizadas para ello. Los objetivos que se plantean serán: Restringir el acceso al arranque (desde la BIOS) al S.O, los programas y archivos. Asegurar que los usuarios puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan. Asegurar que se estén utilizando los datos, archivos y programas correctos en y por el procedimiento correcto analizando periódicamente los mismos. 3.2 TÉCNICAS DE CONTROL DE ACCESO Estos controles pueden implementarse en la BIOS, el S.O, sobre los sistemas de aplicación, en las DB, en un paquete específico de seguridad o en cualquier otra aplicación. Constituyen una importante ayuda para proteger al S.O de la red, al sistema de aplicación y demás software de la utilización o modificaciones no autorizadas. Para mantener la integridad de la información (restringiendo la cantidad de usuarios y procesos con acceso permitido) y para resguardad la información confidencial de accesos no autorizados. Así mismo es conveniente tener en cuenta otras consideraciones referidas a la seguridad lógica como por ejemplo las relacionadas al procedimiento que se lleva a cabo para determinar si corresponde un permiso de acceso

description

Documento que destaca la seguridad logica que debe poseer un centro de datos debidamente protegido

Transcript of Seguridad Logica

  • TEMA 3: SEGURIDAD LGICA

    3.1 PRINCIPIOS DE LA SEGURIDAD LGICA

    La mayora de los daos que puede sufrir un sistema informtico no ser solo los medios

    fsicos sino contra informacin almacenada y procesada. El activo ms importante que se

    posee es la informacin y por tanto deben existir tcnicas ms all de la seguridad fsica que

    la asegure, estas tcnicas las brinda la seguridad lgica.

    Es decir que la seguridad lgica consiste en la aplicacin de barreras y procedimientos que

    resguarden el acceso a los datos y solo se permita acceder a ellos a las personas autorizadas

    para ello.

    Los objetivos que se plantean sern:

    Restringir el acceso al arranque (desde la BIOS) al S.O, los programas y archivos.

    Asegurar que los usuarios puedan trabajar sin una supervisin minuciosa y no puedan

    modificar los programas ni los archivos que no correspondan.

    Asegurar que se estn utilizando los datos, archivos y programas correctos en y por el

    procedimiento correcto analizando peridicamente los mismos.

    3.2 TCNICAS DE CONTROL DE ACCESO

    Estos controles pueden implementarse en la BIOS, el S.O, sobre los sistemas de aplicacin, en

    las DB, en un paquete especfico de seguridad o en cualquier otra aplicacin. Constituyen una

    importante ayuda para proteger al S.O de la red, al sistema de aplicacin y dems software de

    la utilizacin o modificaciones no autorizadas.

    Para mantener la integridad de la informacin (restringiendo la cantidad de usuarios y

    procesos con acceso permitido) y para resguardad la informacin confidencial de accesos no

    autorizados. As mismo es conveniente tener en cuenta otras consideraciones referidas a la

    seguridad lgica como por ejemplo las relacionadas al procedimiento que se lleva a cabo para

    determinar si corresponde un permiso de acceso

  • 3.2.1 IDENTIFICACIN Y AUTENTICACIN

    Se denomina identificacin al momento en que el usuario se da a conocer en el sistema

    y autenticacin a la verificacin que se realiza en el sistema sobre esta identificacin.

    Existen 4 tipos de tcnicas que permiten realizar la autenticacin de la identidad del usuario,

    las cuales pueden ser utilizadas individualmente o combinadas:

    Algo que solamente el individuo conoce: Una clave, un pin entre otro..

    Algo que la persona posee: Una tarjeta.

    Algo que el individuo es: Huella digital o voz

    Algo que el individuo es capaz de hacer: Patrones de escritura.

    Desde el punto de vista de la eficiencia es conveniente que los usuarios sean

    identificados y autenticados una sola vez, pudiendo a partir de ah acceder a todas las

    aplicaciones y datos que su perfil permita, ya sea en local o remoto.

    Esto se denomina SINGLE LOGIN o SINCRONIZACIN DE PASSWORDS. Una

    de las posibles tcnicas para implementar esta nica identificacin sera la utilizacin

    de servidores de autenticacin sobre el que se identifican los usuarios y que se encarga luego

    de autenticar al usuario sobre los restantes equipos.

    Este servidor no tiene que ser necesariamente un solo equipo y puede tener sus

    funciones distribuidas geogrficamente de acuerdo a los requerimientos de carga de tarea

    ( LDAP o ACTIVE DIRECTORY).

    La seguridad informtica se basa en gran medida en la efectiva administracin de los

    permisos de acceso a los recursos informticos basados en la identificacin, autenticacin y

    autorizacin de accesos

    3.2.1.1 PASSWORD SEGURAS

    Para un atacante una contrasea segura debe parecerse a una cadena aleatoria de

    caracteres, puede conseguir que su contrasea sea segura por los siguientes criterios:

    Que no sea corta, cada carcter que agrega a su contrasea aumenta

    exponencialmente el grado de proteccin que esta ofrece, las contraseas

    deben contener un mnimo de 8 caracteres lo ideal es que contengan 14 o mas,

    muchos sistemas tambin admiten el uso de la barra espaciadora de modo que

    se pueden crear contraseas de varias palabras (una frase codificada) por lo

  • general una frase codificada resulta mas fcil de recordar y mas difcil de

    adivinar que una contrasea simple.

    Combina letras, nmeros y smbolos, cuantos mas diversos sean los tipos de

    caracteres mas difcil ser adivinarla.

    Cuantos menos tipos de caracteres haya en la contrasea mas larga deber ser

    esta. Una contrasea de 15 caracteres formada nicamente por letras y nmeros

    es una 33000 veces mas segura que una de 8 caracteres compuestas por

    caracteres de todo tipo. Si la contrasea no puede tener smbolos deber ser

    considerablemente mas larga para conseguir el mismo grado de proteccin.

    Una contrasea ideal combinara una mayor longitud y distintos tipos de

    smbolos.

    Utiliza todo tipo de teclas, no te limites a los caracteres mas comunes los

    smbolos que necesitan que se presione la tecla mayscula junto con un

    nmero son muy habituales, tu contrasea ser mucho mas segura si eliges

    entre todos los smbolos del teclado incluidos los smbolos de puntuacin as

    como los exclusivos de tu idioma.

    Utiliza palabras y frases que te resulten fciles de recordar pero que a otras

    personas les sea difcil de adivinar. La manera mas sencilla de recordar tus

    contraseas y frases codificadas consiste en anotarlas, no hay nada malo en

    anotar las contraseas si bien estas anotaciones deben estar debidamente

    protegidas para que resulten seguras y eficaces.

    Por lo general las contraseas escritas en un trozo de papel suponen un riesgo

    menor en Internet que un administrador de contraseas, un sitio web u otra

    herramienta basada en Software.

    Algunas estrategias que deben evitarse son:

    No incluya secuencias ni caracteres repetidos, cadenas como 12345678,

    22222222, abcdefg o el uso de letras adyacentes en el teclado no ayudan a

    crear contraseas seguras.

    Evita utilizar sustituciones de letras por smbolos o nmeros similares por

    ejemplo la i por el 1, la a por la @, o la o por el 0. Estas sustituciones pueden

    ser eficaces cuando se combinan con otras medidas, con una mayor longitud,

    errores ortogrficos voluntarios, variaciones entre maysculas y minsculas.

  • No utilice el nombre de inicio de sesin, cualquier parte del nombre, fecha de

    nacimiento, numero de la SS o datos similares propios o de tus familiares

    constituye una mala eleccin.

    No utilices palabras del diccionario de ningn idioma los delincuentes emplean

    herramientas capaces de descifrar rpidamente contraseas basadas en palabras

    de distintos diccionarios que tambin abarcan palabras inversas, errores

    ortogrficos comunes y sustituciones esto incluye todo tipo de blasfemias y

    palabrotas.

    Utiliza varias contraseas para distintos entornos, si alguno de los equipos o

    sistemas en lnea que utilizan esta contrasea queda expuesto toda la

    informacin protegida tambin estar en peligro.

    Evita utilizar sistemas de almacenamiento en linea, si algn usuario

    malintencionado encuentra estas contraseas tendr acceso a toda tu

    informacin.

    Opcin de contrasea en blanco: Una contrasea en blanco en su cuenta es mas

    segura que una contrasea poco segura como 1234, puedes optar por usar

    contraseas en blanco en la cuenta del equipo si se cumplen estos criterios:

    Tiene solo un equipo o bien tiene varios pero no necesita obtener acceso a la

    informacin de un equipo desde los otros

    El equipo es fsicamente seguro (confas en todas las personas que tienen

    acceso fsico al equipo).

    No siempre es buena idea usar una contrasea en blanco, por ejemplo es

    probable que un equipo porttil no sea fsicamente seguro.

    Cuida tus contraseas y frases codificadas tanto como la informacin que protegen, no

    la reveles a nadie, protege las contraseas registradas, no las facilites nunca por correo

    electrnico, cambia tus contraseas con regularidad y no las escribas en equipos que no

    controlas.

    3.2.2 ROLES

  • El acceso a la informacin tambin puede controlarse a travs de la funcin perfil o rol

    del usuario que requiere dicho acceso. Algunos ejemplos de roles seran programador, lder

    del proyecto, administrador del sistema etc.

    En este caso los derechos de acceso y poltica de seguridad asociada pueden agruparse de

    acuerdo con el rol de los usuarios

    3.2.3 LIMITACIONES A LOS SERVICIOS

    Estos controles se refieren a las restricciones que dependen de parmetros propios de

    la utilizacin de la aplicacin o preestablecidos por el administrador del sistema. Un ejemplo

    podra ser licencias para la utilizacin simultnea de un determinado producto software para 5

    personas de manera que desde el sistema no se permita la utilizacin del producto

    simultneamente a un sexto usuario

    3.2.4 MODALIDAD DE ACCESO

    Se refiere al modo de acceso que se permite al usuario sobre los recursos y la

    informacin esta modalidad puede ser:

    Lectura: el usuario puede nicamente leer o visualizar la informacin pero no

    puede alterarla, debe considerarse que la informacin puede ser copiada o

    impresa

    Escritura: este tipo de acceso permite agregar datos, modificar o borrar

    informacin

    Ejecucin: otorga al usuario el privilegio de ejecutar programas.

    Borrado: permite al usuario eliminar recursos del sistema como programas,

    campos de datos o archivos.

    Todas las anteriores

    Adems existen otras modalidades de acceso especiales:

    Creacin: permite al usuario crear archivos nuevos, registros o campos.

    Bsqueda: permite listar los archivos de un directorio determinado

  • 3.2.5 UBICACIN Y HORARIOS

    El acceso a determinados recursos del sistema puede estar basado en la ubicacin

    fsica o lgica de los datos o personas. En cuanto a los horarios este tipo de controles permite

    limitar el acceso de los usuarios a determinadas horas del da o a determinados das de la

    semana. Se debe mencionar que en estos dos tipos de controles siempre deben ir

    acompaados de algunos de los controles anteriormente mencionados.

    3.3 ADMINISTRACIN

    Una vez establecidos los controles de acceso sobre los sistemas y a las aplicaciones es

    necesario realizar una eficiente administracin de estas medidas lo que involucra la

    implementacin, seguimientos, pruebas y modificaciones sobre los accesos de los usuarios en

    los sistemas. La poltica de seguridad que se desarrolle respecto a la seguridad lgica debe

    guiar a las decisiones referidas a la determinacin de los controles de accesos, especificando

    las concesiones necesarias para el establecimiento de perfiles de usuario. La definicin de

    permisos de acceso requiere determinar cul ser el nivel de seguridad necesario sobre los

    datos por lo que es imprescindible clasificar la informacin determinando el riesgo que

    producira una eventual exposicin de la misma a usuarios no autorizados as los diversos

    niveles de la informacin requerirn diferentes medidas y niveles de seguridad. Para empezar

    la implementacin es conveniente empezar definiendo las medidas sobre la informacin ms

    sensible o las aplicaciones ms crticas y avanzar de acuerdo a un orden de prioridad

    decreciente establecido alrededor de las aplicaciones.

    Tiene que existir una conciencia de la seguridad organizacional por parte de todos los

    empleados, esta consciencia puede alcanzarse mediante el ejemplo del personal directivo en el

    cumplimiento de las polticas y estableciendo compromisos firmados por el personal donde se

    especifique la responsabilidad de cada uno. Adems debe existir una concienciacin por parte

    de la administracin hacia el personal en donde se remarque la importancia de la informacin

    y las consecuencias posibles de su prdida o apropiacin por agentes extraos a la

    organizacin.

    3.3.1 ADMINISTRACIN DEL PERSONAL Y USUARIOS

    Este proceso lleva generalmente 4 pasos:

  • Definicin de Puestos: Debe contemplarse la mxima separacin de funciones

    y el otorgamiento mnimo de permisos de acceso por cada puesto para la

    ejecucin de las tareas asignadas.

    Determinacin de la sensibilidad del puesto: Es necesario determinar si la

    funcin requiere permisos arriesgados que le permitan alterar procesos,

    perpetuar fraudes o visualizar informacin confidencial.

    Eleccin de la persona para cada puesto: Requiere considerar los

    requerimientos de experiencia y conocimientos tcnicos necesarios para cada

    puesto, as mismo para los puestos definidos como crticos puede requerirse

    una verificacin de antecedentes personales.

    Entrenamiento inicial y continuo del empleado: Cuando la persona ingresa a

    la organizacin debe comunicrsele las polticas de seguridad de la

    organizacin y su responsabilidad. El personal debe sentir que la seguridad es

    un elemento prioritario.

    3.4 ACTUALIZACIONES DEL SISTEMA Y APLICACIONES

    Los ciber-delincuentes suelen aprovechar las vulnerabilidades ms recientes que

    requieren actualizacin inmediata de los sistemas, los fabricantes de software actualizan sus

    programas cada vez que se descubre un agujero de seguridad.

    Es de vital importancia actualizar los sistemas, tanto en sistema operativo como el resto de

    aplicaciones tan pronto como sea posible. La mayora de aplicaciones y sistemas disponen de

    la opcin de actualizacin automtica se recomienda activar dicha opcin