• Categories
• Archivo de computadora
• Software
• Sistema operativo
• Biometría
• Bases de datos

Citation preview

Definición de Seguridad lógica Dentro de la seguridad informática, la seguridad lógica hace referencia a la aplicación de mecanismos y barreras para mantener el resguardo y la integridad de la información dentro de un sistema informático. La seguridad lógica contrasta con la seguridad física. La seguridad lógica de un sistema informático incluye: - Restringir al acceso a programas y archivos mediante claves y/o encriptación. - Asignar las limitaciones correspondientes a cada usuario del sistema informático. Esto significa, no darle más privilegios extras a un usuario, sino sólo los que necesita para realizar su trabajo. - Asegurarse que los archivos y programas que se emplean son los correctos y se usan correctamente. Por ejemplo, el mal uso de una aplicación puede ocasionar agujeros en la seguridad de un sistema informático. - Control de los flujos de entrada/salida de la información. Esto incluye que una determinada información llegue solamente al destino que se espera que llegue, y que la información llegue tal cual se envió. Los controles anteriormente mencionados se pueden hacer a nivel sistema operativo, a nivel aplicación, a nivel base de datos o archivo, o a nivel firmware.

Seguridad Lógica Luego de ver como nuestro sistema puede verse afectado por la falta de Seguridad Física, es importante recalcar que la mayoría de los daños que puede sufrir un centro de cómputos no será sobre los medios físicos sino contra información por él almacenada y procesada. Así, la Seguridad Física, sólo es una parte del amplio espectro que se debe cubrir para no vivir con una sensación ficticia de seguridad. Como ya se ha mencionado, el activo más importante que se posee es la información, y por lo tanto deben existir técnicas, más allá de la seguridad física, que la aseguren. Estas técnicas las brinda la Seguridad Lógica. Es decir que la Seguridad Lógica consiste en la "aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo." Existe un viejo dicho en la seguridad informática que dicta que "todo lo que no está permitido debe estar prohibido" y esto es lo que debe asegurar la Seguridad Lógica. Los objetivos que se plantean serán: 1. Restringir el acceso a los programas y archivos. 2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan. 3. Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el procedimiento correcto. 4. Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro. 5. Que la información recibida sea la misma que ha sido transmitida. 6. Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.

7. Que se disponga de pasos alternativos de emergencia para la transmisión de información.

Controles de Acceso Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de aplicación, en bases de datos, en un paquete específico de seguridad o en cualquier otro utilitario. Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de aplicación y demás software de la utilización o modificaciones no autorizadas; para mantener la integridad de la información (restringiendo la cantidad de usuarios y procesos con acceso permitido) y para resguardar la información confidencial de accesos no autorizados. Asimismo, es conveniente tener en cuenta otras consideraciones referidas a la seguridad lógica, como por ejemplo las relacionadas al procedimiento que se lleva a cabo para determinar si corresponde un permiso de acceso (solicitado por un usuario) a un determinado recurso. Al respecto, el National Institute for Standars and Technology (NIST)(1) ha resumido los siguientes estándares de seguridad que se refieren a los requisitos mínimos de seguridad en cualquier sistema:  Identificación y Autentificación (leer más)  Roles El acceso a la información también puede controlarse a través de la función o rol del usuario que requiere dicho acceso. Algunos ejemplos de roles serían los siguientes: programador, líder de proyecto, gerente de un área usuaria, administrador del sistema, etc. En este caso los derechos de acceso pueden agruparse de acuerdo con el rol de los usuarios.  Transacciones También pueden implementarse controles a través de las transacciones, por ejemplo solicitando una clave al requerir el procesamiento de una transacción determinada.  Limitaciones a los Servicios Estos controles se refieren a las restricciones que dependen de parámetros propios de la utilización de la aplicación o preestablecidos por el administrador del sistema. Un ejemplo podría ser que en la organización se disponga de licencias para la utilización simultánea de un determinado producto de software para cinco personas, en donde exista un control a nivel sistema que no permita la utilización del producto a un sexto usuario.  Modalidad de Acceso (leer más)  Ubicación y Horario El acceso a determinados recursos del sistema puede estar basado en la ubicación física o lógica de los datos o personas. En cuanto a los horarios, este tipo de controles permite limitar el acceso de los usuarios a determinadas horas de día o a determinados días de la semana. De esta forma se mantiene un control más restringido de los usuarios y zonas de ingreso. Se debe mencionar que estos dos tipos de controles siempre deben ir acompañados de alguno de los controles anteriormente mencionados.  Control de Acceso Interno (leer más)  Control de Acceso Externo (leer más)  Administración (leer más)

Niveles de Seguridad Informática El estándar de niveles de seguridad mas utilizado internacionalmente es el TCSEC Orange Book(2),

desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del Departamento de Defensa de los Estados Unidos. Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el mínimo grado de seguridad al máximo. Estos niveles han sido la base de desarrollo de estándares europeos (ITSEC/ITSEM) y luego internacionales (ISO/IEC). Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: así el subnivel B2 abarca los subniveles B1, C2, C1 y el D.  Nivel D Este nivel contiene sólo una división y está reservada para sistemas que han sido evaluados y no cumplen con ninguna especificación de seguridad. Sin sistemas no confiables, no hay protección para el hardware, el sistema operativo es inestable y no hay autentificación con respecto a los usuarios y sus derechos en el acceso a la información. Los sistemas operativos que responden a este nivel son MS-DOS y System 7.0 de Macintosh.  Nivel C1: Protección Discrecional Se requiere identificación de usuarios que permite el acceso a distinta información. Cada usuario puede manejar su información privada y se hace la distinción entre los usuarios y el administrador del sistema, quien tiene control total de acceso. Muchas de las tareas cotidianas de administración del sistema sólo pueden ser realizadas por este "super usuario" quien tiene gran responsabilidad en la seguridad del mismo. Con la actual descentralización de los sistemas de cómputos, no es raro que en una organización encontremos dos o tres personas cumpliendo este rol. Esto es un problema, pues no hay forma de distinguir entre los cambios que hizo cada usuario. A continuación se enumeran los requerimientos mínimos que debe cumplir la clase C1:  Acceso de control discrecional: distinción entre usuarios y recursos. Se podrán definir grupos de usuarios (con los mismos privilegios) y grupos de objetos (archivos, directorios, disco) sobre los cuales podrán actuar usuarios o grupos de ellos.  Identificación y Autentificación: se requiere que un usuario se identifique antes de comenzar a ejecutar acciones sobre el sistema. El dato de un usuario no podrá ser accedido por un usuario sin autorización o identificación.  Nivel C2: Protección de Acceso Controlado Este subnivel fue diseñado para solucionar las debilidades del C1. Cuenta con características adicionales que crean un ambiente de acceso controlado. Se debe llevar una auditoria de accesos e intentos fallidos de acceso a objetos. Tiene la capacidad de restringir aún más el que los usuarios ejecuten ciertos comandos o tengan acceso a ciertos archivos, permitir o denegar datos a usuarios en concreto, con base no sólo en los permisos, sino también en los niveles de autorización. Requiere que se audite el sistema. Esta auditoría es utilizada para llevar registros de todas las acciones relacionadas con la seguridad, como las actividades efectuadas por el administrador del sistema y sus usuarios. La auditoría requiere de autenticación adicional para estar seguros de que la persona que ejecuta el comando es quien dice ser. Su mayor desventaja reside en los recursos adicionales requeridos por el procesador y el subsistema de discos. Los usuarios de un sistema C2 tienen la autorización para realizar algunas tareas de administración del sistema sin necesidad de ser administradores. Permite llevar mejor cuenta de las tareas relacionadas con la administración del sistema, ya que









es cada usuario quien ejecuta el trabajo y no el administrador del sistema. Nivel B1: Seguridad Etiquetada Este subnivel, es el primero de los tres con que cuenta el nivel B. Soporta seguridad multinivel, como la secreta y ultrasecreta. Se establece que el dueño del archivo no puede modificar los permisos de un objeto que está bajo control de acceso obligatorio. A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un nivel de seguridad jerárquico (alto secreto, secreto, reservado, etc.) y con unas categorías (contabilidad, nóminas, ventas, etc.). Cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo y viceversa. Es decir que cada usuario tiene sus objetos asociados. También se establecen controles para limitar la propagación de derecho de accesos a los distintos objetos. Nivel B2: Protección Estructurada Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto inferior. La Protección Estructurada es la primera que empieza a referirse al problema de un objeto a un nivel mas elevado de seguridad en comunicación con otro objeto a un nivel inferior. Así, un disco rígido será etiquetado por almacenar archivos que son accedidos por distintos usuarios. El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y seguridad son modificadas; y el administrador es el encargado de fijar los canales de almacenamiento y ancho de banda a utilizar por los demás usuarios. Nivel B3: Dominios de Seguridad Refuerza a los dominios con la instalación de hardware: por ejemplo el hardware de administración de memoria se usa para proteger el dominio de seguridad de acceso no autorizado a la modificación de objetos de diferentes dominios de seguridad. Existe un monitor de referencia que recibe las peticiones de acceso de cada usuario y las permite o las deniega según las políticas de acceso que se hayan definido. Todas las estructuras de seguridad deben ser lo suficientemente pequeñas como para permitir análisis y testeos ante posibles violaciones. Este nivel requiere que la terminal del usuario se conecte al sistema por medio de una conexión segura. Además, cada usuario tiene asignado los lugares y objetos a los que puede acceder. Nivel A: Protección Verificada Es el nivel más elevado, incluye un proceso de diseño, control y verificación, mediante métodos formales (matemáticos) para asegurar todos los procesos que realiza un usuario sobre el sistema. Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores deben incluirse. El diseño requiere ser verificado de forma matemática y también se deben realizar análisis de canales encubiertos y de distribución confiable. El software y el hardware son protegidos para evitar infiltraciones ante traslados o movimientos del equipamiento.

(1) http://www.nist.gov Descargar DoD Orange Book - Department Of Defense Trusted Computer System Evaluation Criteria (2) Orange Book. Department Of Defense. Library N° S225, 711. EEUU. 1985. http://www.doe.gov Seguridad lógica y confidencial La seguridad lógica se encarga de los controles de acceso que están diseñados para salvaguardar la integridad de la información almacenada de una computadora, así como de controlar el mal uso de la

información. La seguridad lógica se encarga de controlar y salvaguardar la información generada por los sistemas, por el software de desarrollo y por los programas en aplicación. Identifica individualmente a cada usuario y sus actividades en el sistema, y restringe el acceso a datos, a los programas de uso general, de uso especifico, de las redes y terminales. La falta de seguridad lógica o su violación puede traer las siguientes consecuencias a la organización: Cambio de los datos antes o cuando se le da entrada a la computadora. Copias de programas y /o información. Código oculto en un programa Entrada de virus La seguridad lógica puede evitar una afectación de perdida de registros, y ayuda a conocer el momento en que se produce un cambio o fraude en los sistemas. Un método eficaz para proteger sistemas de computación es el software de control de acceso. Los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden al usuario una contraseña antes de permitirle el acceso a información confidencial. Sin embargo, los paquetes de control de acceso basados en componentes pueden ser eludidos por delincuentes sofisticados en computación, por lo que no es conveniente depender de esos paquetes por si solos para tener una seguridad adecuada. El sistema integral de seguridad debe comprender: Elementos administrativos. Definición de una política de seguridad. Organización y división de responsabilidades. Seguridad lógica Tipos de usuarios: Propietario. Es el dueño de la información, el responsable de ésta, y puede realizar cualquier función. Es responsable de la seguridad lógica, en cuanto puede realizar cualquier acción y puede autorizar a otros usuarios de acuerdo con el nivel que desee darles. Administrador. Sólo puede actualizar o modificar el software con la debida autorización, pero no puede modificar la información. Es responsable de la seguridad lógica y de la integridad de los datos. Usuario principal. Está autorizado por el propietario para hacer modificaciones, cambios, lectura y utilización de los datos, pero no puede dar autorización para que otros usuarios entren. Usuario de explotación. Puede leer la información y utilizarla para explotación de la misma, principalmente para hacer reportes de diferente índole. Usuario de auditoría. Puede utilizar la información y rastrearla dentro del sistema para fines de auditoria. Los usuarios pueden ser múltiples, y pueden ser el resultado de la combinación de los antes señalados. Se recomienda que exista sólo un usuario propietario, y que el administrador sea una persona designada por la gerencia de informática. Para conservar la integridad, confidencialidad y disponibilidad de los sistemas de información se debe

tomar en cuenta lo siguiente: La integridad es la responsabilidad de los individuos autorizados para modificar datos o programas o de los usuarios a los que se otorgan acceso a aplicaciones de sistema o funciones fuera de sus responsabilidades normales de trabajo. La confidencialidad es responsabilidad de los individuos autorizados para consultar o para bajar archivos importantes para microcomputadoras. La responsabilidad es responsabilidad de individuos autorizados para alterar los parámetros de control de acceso al sistema operativo, al sistema operativo, al sistema manejador de base de datos, al monitoreo de teleproceso o al software de telecomunicaciones. La seguridad lógica abarca las siguientes áreas: Rutas de acceso. Claves de acceso. Software de control de acceso. Encriptamiento. Rutas de acceso Cada uno de los sistemas de información tiene una ruta de acceso, la cual puede definirse como la trayectoria seguida en el momento de acceso al sistema. Los tipos de restricciones de acceso son: Sólo lectura Sólo consulta Lectura y consulta Lectura escritura para crear, actualizar, borrar, ejecutar o copiar El esquema de las rutas de acceso sirve para identificar todos los puntos de control que pueden ser usados para proteger los datos en el sistema. El autor debe conocer las rutas de acceso para el evaluación de los puntos de control apropiados. Claves de acceso Un área importante en la seguridad lógica de las claves de acceso de los usuarios. Existen diferentes métodos de identificación para el usuario: Un password, código o llaves de acceso. Las claves de acceso pueden ser usadas para controlar al acceso a la computadora, a sus recursos, así como definir nivel de acceso o funciones específicas. Las llaves de acceso deben tener las siguientes características: - El sistema debe verificar primero que el usuario tenga una llave de acceso válida. - La llave de acceso debe ser de una longitud adecuada para ser un secreto. - La llave de acceso no debe ser desplegada cuando es tecleada. - Las llaves de acceso deben ser encintadas. - Las llaves de acceso deben de prohibir el uso de nombres, palabras o caracteres difíciles de retener, además el password no debe ser cambiado por un valor pasado. Se recomienda la combinación de caracteres alfabéticos y numéricos.

Una credencial con banda magnética. La banda magnética de las credenciales es frecuentemente usada para la entrada del sistema. Esta credencial es como una bancaria, pero se recomienda que tenga fotografía y firma. Algo especifico del usuario. Es un método para identificación del usuario, que es implantado con tecnología biométrica (características propias). Algunos de los dispositivos biométricos son: - Las huellas dactilares. - La retina - La geometría de la mano. - La firma. - La voz. Software de control de acceso El software de control de acceso, tiene las siguientes funciones: Definición de usuarios. Definición de las funciones del usuario después de accesar el sistema. Jobs Establecimiento de auditoría a través del uso del sistema. La mayor ventaja del software de seguridad es la capacidad para proteger los recursos de acceso no autorizados, incluyendo los siguientes: Procesos en espera de modificación por un programa de aplicación. Accesos por editores en línea. Accesos por utilerías de software. Accesos a archivos de las bases de datos, a través de un manejador de base de datos. Acceso de terminales o estaciones no autorizadas. Estos paquetes pueden restringir el acceso a los recursos, reduciendo así el riesgo de accesos no autorizados. Otra característica de estos paquetes es que se pueden detectar las violaciones de seguridad, tomando las siguientes medidas: Terminaciones de procesos. Forzar a las terminales a apagarse. Desplegar mensajes de error. Escribir los riesgos para la auditoría. Otros tipos de software de control de acceso Algunos tipos de software son diseñados con características que pueden ser usadas para proveerles seguridad. Sin embargo, es preferible usar un software de control de acceso para asegurar el ambiente total y completar las características de seguridad con u software especifico. a) Sistemas operativos. Se trata de una serie de programas que se encuentran dentro de los sistemas operativos, los cuales manejan los recursos de las computadoras y sirven como interfase entre software

de aplicaciones y el hardware. Estos programas proporcionan seguridad ya que, internamente, dentro de los sistemas operativos manejan y controlan la ejecución de programas de aplicación y proveen los servicios que estos programas requieren, dependiendo del usuario y del sistema que esté trabajando. b) Software manejador de base de datos. Es un software cuya finalidad es la de controlar, organizar y manipular los datos. Provee múltiples caminos para accesar los datos en una base de datos. Maneja la integridad de datos entre operaciones, funciones y tareas de la organización. c) Software de consolas o terminales maestras. El software de consolas o terminales maestras puede ser definido como varios programas del sistema operativo que proveen soporte y servicio para que las terminales en línea acceden a los programas en aplicación. d) Software de librerías. El software de librerías consta de datos y programas específicos escritos para ejecutar una función de la organización. Los programas en aplicación pueden ser guardados en archivos en el sistema, y el acceso a estos programas puede ser controlado por medio del software usado para controlar el acceso a estos archivos. e) Software de utilerías. Existen dos tipos de utilerías. El primero es usado en los sistemas de desarrollo para proveer productividad. El desarrollo de programas y los editores en línea son los ejemplos de este tipo de software. El segundo es usado para asistir en el manejo de operaciones de la computadora. Monitoreos, calendarios de trabajo, sistema manejador de disco y cinta so ejemplos de este de software.

Tipos De Usuarios Del Sistema Los usuarios del sistema o usuarios cliente son personas que se conectan al sistema para hacer uso de los servicios que este les proporciona. Dentro de los usuarios del sistema podemos distinguir diferentes perfiles o niveles de usuario, y dependiendo de dicho nivel poseerá más o menos privilegios en su estancia dentro del sistema C.E.V. También debemos añadir que un usuario dentro del sistema puede pertenecer a diferentes perfiles, siempre con unas restricciones lógicas. Por ejemplo: un Administrador puede ser coordinador, pero este no se puede controlar así mismo. Los distintos perfiles que distinguimos dentro de nuestro sistema son: * Usuario Invitado * Usuario Alumno * Usuario Profesor * Usuario Tutor * Usuario Coordinador * Usuario Administrador 1.10 Administrador de Bases de Datos

Denominado por sus siglas como: DBA, Database Administrator. Es la persona encargada y que tiene el control total sobre el sistema de base de datos, sus funciones principales son:

Definición de esquema. Es el esquema original de la base de datos se crea escribiendo un conjunto de definiciones que son traducidas por el compilador de DDL a un conjunto de tablas que son almacenadas permanentemente en el diccionario de datos. Definición de la estructura de almacenamiento del método de acceso. Estructuras de almacenamiento y de acceso adecuados se crean escribiendo un conjunto de definiciones que son traducidas por e compilador del lenguaje de almacenamiento y definición de datos. Concesión de autorización para el acceso a los datos. Permite al administrador de la base de datos regular las partes de las bases de datos que van a ser accedidas por varios usuarios. Especificación de límitantes de integridad. Es una serie de restricciones que se encuentran almacenados en una estructura especial del sistema que es consultada por el gestor de base de datos cada vez que se realice una actualización al sistema. 1.11 Usuarios de las bases de datos.

Podemos definir a los usuarios como toda persona que tenga todo tipo de contacto con el sistema de base de datos desde que este se diseña, elabora, termina y se usa. Los usuarios que accesan una base de datos pueden clasificarse como: Programadores de aplicaciones. Los profesionales en computación que interactuan con el sistema por medio de llamadas en DML (Lenguaje de Manipulación de Datos), las cuales están incorporadas en un programa escrito en un lenguaje de programación (Por ejemplo, COBOL, PL/I, Pascal, C, etc.) Usuarios sofisticados. Los usuarios sofisticados interactuan con el sistema sin escribir programas. En cambio escriben sus preguntas en un lenguaje de consultas de base de datos. Usuarios especializados. Algunos usuarios sofisticados escriben aplicaciones de base de datos especializadas que no encajan en el marco tradicional de procesamiento de datos. Usuarios ingenuos. Los usuarios no sofisticados interactuan con el sistema invocando a uno de los programas de aplicación permanentes que se han escrito anteriormente en el sistema de base de datos, podemos mencionar al usuario ingenuo como el usuario final que utiliza el sistema de base de datos sin saber nada del diseño interno del mismo por ejemplo: un cajero.