• Author / Uploaded
• Cristobal Munizaga

Citation preview

CONTROL DE ACCESO UNIDAD IV TALLERUNIDAD DE MANTENCIÓN DE SOFTWARE

UNIDAD IV:TIC I

CONTROL DE ACCESO • ¿QUÉ ES EL CONTROL DE ACCESO? • Proceso de conceder permisos a usuarios o grupos de acceder a objetos tales como ficheros o impresoras en la red.

CONTROL DE ACCESO • Se basa en tres conceptos fundamentales: • Identificación • Autenticación • Autorización Incluye: • Autenticar la identidad de los usuarios o grupos • Autorizar el acceso a datos o recursos.

CONTROL DE ACCESO FÍSICO

CONTROLES DE ACCESO FÍSICO Objetivo • Identificar al personal que entra o sale de un área de trabajo bajo un estricto control.

CONTROL DE ACCESO FÍSICO • Guardias • Sistemas biométricos • Verificación automática de firmas • Protección electrónica. (Censores, cámaras) • Barreras infrarrojas • Detector de ultrasonidos • Dispositivos de iluminación

CONTROL DE ACCESO LÓGICO

CONTROL DE ACCESO LÓGICO Cosiste en: • La aplicación de barreras y procedimientos que resguarden el acceso a los datos y solo se permita acceder a ellos a las personas autorizadas para hacerlo.

CONTROL DE ACCESO LÓGICO Objetivos Restringir el acceso a los programas y archivos. Asegurar que los operadores puedan trabajar sin una supervisión Asegurar que se estén utilizados los datos, archivos y programas correctos y con el procedimiento adecuado. La información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro. La información recibida sea la misma que ha sido transmitida.

CONTROL DE ACCESO LÓGICO Se puede lograr con los siguientes métodos: • Identificación y autentificación • Roles • Limitaciones de servicios • Modalidades de acceso • Ubicación y horario • Control de acceso interno.

IDENTIFICACIÓN Y AUTENTIFICACIÓN • La identificación: está vinculada a la identidad, que es el conjunto de los rasgos propios de un sujeto u objeto. • Es la acción de reconocer o probar que una persona o cosa es la misma que se busca o se supone. • Autenticación: es la acción de comprobar que una identidad es la correcta.

MÉTODOS DE AUTENTICACIÓN • Sistemas basados en algo conocido: Ejemplo, uso de contraseña. • Sistemas basados en algo que se posee: Ejemplo, tarjeta de identidad, tarjeta inteligente. • Sistemas basados en una característica física del usuario o un acto involuntario del mismo: Ejemplo, verificación de voz, de escritura, de huellas, de patrones oculares

Roles

MÉTODOS DE AUTENTICACIÓN

Los roles se pueden dar con estrategias como creación de perfiles de usuario. También se puede dar roles dentro del sistema como por ejemplo; programadores, líder de proyecto, gerente de área, administrador, etc. Estos mismo puede ser agrupados como por ej; usuario, súper usuario, administrador, visita. (según estos se ven los distintos privilegios)

MÉTODOS DE AUTENTICACIÓN Limitaciones de Servicios • Se refieren a controles en las restricciones que dependen de parámetros propios de la utilización de la aplicación o preestablecidos por el administrador del sistema.

MÉTODOS DE AUTENTICACIÓN Modalidad de Acceso • Es el modo de acceso que se permite al usuario sobre los recursos y a la información. Pueden ser: • • • • • •

Escritura Ejecución Borrado Creación Búsqueda Todas las anteriores

CONTROL DE ACCESO INTERNO

Contraseñas:

Sugerencias Fácil de recordar, difícil de adivinar. Se sugiere que la contraseña inicial sea asignada por el administrador. Número predeterminado de intentos fallidos. Deben ser cambiadas periódicamente Deben ser únicas y conocidas por su propietario

ENCRIPTACIÓN

• Proceso mediante el cual la información es cifrada, de forma que el resultado sea ilegible a menos que se conozcan los datos necesarios para su interpretación. Métodos de encriptación Algoritmos HASH: Se efectúa un cálculo matemático sobre los datos que constituyen el documento y da como resultado un número llamado MAC. Un mismo documento dará siempre un mismo MAC.

Criptografía de Clave Secreta o Simétrica • Utiliza una clave con la cual se encripta y desencripta el documento. Todo documento encriptado con una clave, deberá desencriptarse, en el proceso inverso, con la misma clave.

NIVELES DE SEGURIDAD INFORMÁTICA

NIVELES DE SEGURIDAD INFORMÁTICA

• El estándar de niveles de seguridad más utilizado internacionalmente es el TCSEC Orange Book(2), desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del Departamento de Defensa de los Estados Unidos.

NIVELES DE SEGURIDAD INFORMÁTICA

• Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el mínimo grado de seguridad al máximo. • Estos niveles han sido la base de desarrollo de estándares europeos (ITSEC/ITSEM) y luego internacionales (ISO/IEC). • Cada nivel requiere todos los niveles definidos anteriormente: así el subnivel B2 abarca los subniveles B1, C2, C1 y el D.

NIVEL D • Contiene sólo una división y está reservada para sistemas que han sido evaluados y no cumplen con ninguna especificación de seguridad. • Son sistemas no confiables • No hay protección para el hardware • El sistema operativo es inestable • No hay autentificación con respecto a los usuarios y sus derechos en el acceso a la información. • Los sistemas operativos que responden a este nivel son MS-DOS

NIVEL C1: PROTECCIÓN DISCRECIONAL

• Se solicita identificación de usuarios que permite el acceso a distinta información. Los usuario pueden manejar su información de manera privada haciendo la diferencia entre perfil usuario y administrador de sistema, el que tendrá control total de acceso.

NIVEL C1: PROTECCIÓN DISCRECIONAL Requerimientos Mínimos Identificación y Autentificación: se requiere que un usuario se identifique antes de comenzar a ejecutar acciones sobre el sistema. El dato de un usuario no podrá ser accedido por un usuario sin autorización o identificación. Acceso de control discrecional: distinción entre usuarios y recursos. Se podrán definir grupos de usuarios (con los mismos privilegios) y grupos de objetos (archivos, directorios, disco) sobre los cuales podrán actuar usuarios o grupos de ellos.

NIVEL C2: PROTECCIÓN DE ACCESO CONTROLADO

• Nivel diseñado para solucionar las debilidades del C1. Cuenta con características adicionales que crean un ambiente de acceso controlado. Se debe llevar una auditoria de accesos e intentos fallidos de acceso a objetos.

NIVEL C2: PROTECCIÓN DE ACCESO CONTROLADO

• Tiene la capacidad de restringir aún más el que los usuarios ejecuten ciertos comandos o tengan acceso a ciertos archivos, permitir o denegar datos a usuarios en concreto, con base no sólo en los permisos, sino también en los niveles de autorización.

NIVEL B1: SEGURIDAD ETIQUETADA

• A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un nivel de seguridad jerárquico (alto secreto, secreto, reservado, etc.) y con unas categorías (contabilidad, nóminas, ventas, etc.)

NIVEL B1: SEGURIDAD ETIQUETADA

Cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo y viceversa. Es decir que cada usuario tiene sus objetos asociados.

NIVEL B2: PROTECCIÓN ESTRUCTURADA • Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto inferior. La Protección Estructurada es la primera que empieza a referirse al problema de un objeto a un nivel mas elevado de seguridad en comunicación con otro objeto a un nivel inferior.

NIVEL B2: PROTECCIÓN ESTRUCTURADA

Así, un disco rígido será etiquetado por almacenar archivos que son accedidos por distintos usuarios. El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y seguridad son modificadas; y el administrador es el encargado de fijar los canales de almacenamiento y ancho de banda a utilizar por los demás usuarios.

NIVEL B3: DOMINIOS DE SEGURIDAD

• En este nivel los dominios se refuerzan con la instalación de hardware. Existe un monitor de referencia que recibe las peticiones de acceso de cada usuario y las permite o las deniega según las políticas de acceso que se hayan definido.

NIVEL A: PROTECCIÓN VERIFICADA

• Es el nivel más elevado, incluye un proceso de diseño, control y verificación, mediante métodos formales (matemáticos) para asegurar todos los procesos que realiza un usuario sobre el sistema. • El software y el hardware son protegidos para evitar infiltraciones ante traslados o movimientos del equipamiento.