INTRODUCCION
La
seguridad lógica consiste en la «aplicación de barreras y procedimientos que
resguarden el acceso a los datos y solo
se permita acceder a ellos alas personas autorizadas.
Los
objetivos que se plantean serán:
*Restringir
el acceso a los programas y archivos.
*Asegurar
que los operadores puedan trabajar si una supervisión minuciosa.
*Asegurar
que estén utilizando los datos, archivos y programas correctos.
*Que
la información transmitida sea recibida
solo por el destinatario
*Que
la información recibida sea la misma que sea sido transmitida.
*Que
existan sistemas alternativos secundarios de trasmisión entre diferentes
puntos.
*Que
se disponga de pasos alternativos de emergencia para la trasmisión de
información.
CONTROLES DE ACCESO.
Estos
controles pueden implementarse en el sistema operativo, sobre los sistemas de
aplicación, en bases de datos, en un paquete especifico de seguridad o en
cualquier otro utilitario.
Constituyen
una importante ayuda para proteger el sistema operativo de la red al sistema de
aplicación y demás software de la utilización o modificaciones no autorizadas.
El
national institute for standars and technology (NIST) han resumido los
siguientes estándares de seguridad.
IDENTIFICACION Y AUTENTIFICACION.
Se
denomina identificación al momento en que el usuario se da a conocer en el
sistema; y autentificación ala verificación que realiza el sistema sobre esta
identificación.
Existen
cuatro tipos de técnicas que permiten la autentificación de la identidad del
usuario.
1)
Algo
que solamente el individuo conoce
Ejemplo
una clave secreta de acceso o password.
2)
Algo
que la persona posee
Ejemplo
una tarjeta magnética
3)
Algo
que el individuo es y que lo identifica unívocamente
Ejemplo
las huellas digitales o la voz
4)
Algo
que el individuo es capaz de hacer
Ejemplo
los patrones de escritura.
Una
de la posibles técnicas para implementar esta única identificación de usuarios
seria la utilización de un servidor de autenticaciones sobre el cual los
usuarios se identifican y se encarga luego de autenticar al usuario sobre los
restantes equipos a los que este pueda acceder
La
seguridad informática se basa, en la efectiva administración de los permisos de
acceso a los recursos informáticos.
Esta
administración abarca:
*Proceso
de solicitud,establecimiento,manejo,seguimiento y cierre de las cuentas de
usuarios.
*La
identificación de los usuarios debe definirse de acuerdo con una norma
homogénea para toda la organización.
*Revisiones
periódicas sobre la administración de las cuentas y los permisos de acceso
establecidos.
*La
revisiones deben orientarse a verificar la adecuación de los permisos de acceso
de cada individuo de acuerdo a sus necesidades operativas
*Detección
de actividades no autorizadas.
*Nuevas
consideraciones relacionadas con cambios en la asignación de funciones del
empleado.
*Procedimientos
a tener en cuenta en caso de desvinculaciones de personal con la organización.
Para
evitar estas situaciones, es recomendable anular los permisos de acceso a las
personas que se desvincularan de la organización.
ROLES.
El
acceso a la información también puede controlarse a través de la función o rol
del usuario que requiere dicho acceso. Algunos ejemplos de roles serian:
*programador
*líder
del proyecto
*gerente
de un área usuaria
*administrador
del sistema
En
este caso los derechos de acceso pueden agruparse de acuerdo con el rol de los
usuarios.
TRANSACCIONES.
También
pueden implementarse controles a través de la transacciones, por ejemplo
solicitando una clave al requerir el procesamiento de una transacción
determinada.
LIMITACIONES A LOS SERVICIOS.
Estos
controles se refieren a las restricciones que dependen de parámetros propios de
la utilización de la aplicación o preestablecidos por el administrador del
sistema. Un ejemplo podría ser que en la organización se disponga de licencias
para la utilización simultanea de un determinado producto de software para
cinco personas, en donde exista un control a nivel sistema que no permita la
utilización del producto a un sexto usuario.
MODALIDADES DE ACCESO.
Se
refiere al modo de acceso que se permite al usuario sobre los recursos y a la
información.
Esta
modalidad puede ser:
•
Lectura
: el usuario puede únicamente leer o visualizar la información pero no puede
alterarla. Debe considerarse que la información puede ser copiada o impresa.
•
Escritura:
este tipo de acceso permite agregar datos, modificar o borrar información.
•
Ejecución:
este acceso otorga al usuario el privilegio de ejecutar programas.
•
Borrado:
permite al usuario eliminar recursos del sistema ( como programas, campos de
datos o archivos ). El borrado es considerado una forma de modificación.
Existen
otras modalidades de acceso especiales, que generalmente se incluyen en los
sistemas de aplicación:
•
Creación:
permite al usuario crear nuevos archivos, registros o campos.
•
Búsqueda:
permite listar los archivos de un directorio determinado.
UBICACION Y HORARIO.
El
acceso a determinados recursos del sistema puede estar basado en la ubicación
física o lógica de los datos o personas. En cuanto a los horarios, este tipo de
controles permite limitar el acceso de los usuarios a determinadas horas de día
o a determinados días de la semana. De esta forma se mantiene un control mas
restringido de los usuarios y zonas de ingreso.
Se
debe mencionar que estos dos tipos de controles
siempre deben ir acompañados de alguno de los controles anteriormente
mencionados.
CONTROL DE
ACCESO INTERNO.
— -Passwords.
— -Sincronización
de passwords.
— -Caducidad
y control.
— -Encriptación.
— -Lista
de control de accesos.
— -Limites
sobre la interface de usuario.
— -Etiquetas
de seguridad.
CONTROL DE
ACCESO EXTERNO
-Dispositivos
de control de puertos.
-Firewalls o
puertas de seguridad.
-Acceso personal contratado o consultores.
-Accesos
públicos.
ADMINISTRACIÓN
Una vez
establecidos los controladores de acceso sobre los sistemas y la aplicación, es
necesario realizar una eficiente administración de estas medidas de seguridad
lógica.
La política
de seguridad que se desarrolle respecto a la seguridad lógica debe guiar a las
decisiones referentes a la determinación de los controles de accesos y
especificando las consideraciones para el establecimiento de perfiles del
usuarios
ADMISNISTRACIÓN
PERSONAL Y USUARIOS
• Definición de puestos.
• Determinación de la sensibilidad del puesto.
• Elección de la persona apara a cada puesto.
• Entrenamiento inicial y continuo del ejemplo.
• Sólo
cuando los usuarios están capacitados y tienen una conciencia formada respecto
a la seguridad pueden asumir su responsabilidad individual
No hay comentarios:
Publicar un comentario