Seguridad Logica Y Confidencial

Seguridad lógica y confidencial

La seguridad lógica se encarga de los controles de acceso que están diseñados para salvaguardar la integridad de la información almacenada de una computadora, así como de controlar el mal uso de la información.

La seguridad lógica se encarga de controlar y salvaguardar la información generada por los sistemas, por el software de desarrollo y por los programas en aplicación.

Identifica individualmente a cada usuario y sus actividades en el sistema, y restringe el acceso a datos, a los programas de uso general, de uso especifico, de las redes y terminales.

La falta de seguridad lógica o su violación puede traer las siguientes consecuencias a la organización:

Cambio de los datos antes o cuando se le da entrada a la computadora.

Copias de programas y /o información.

Código oculto en un programa

Entrada de virus

La seguridad lógica puede evitar una afectación de perdida de registros, y ayuda a conocer el momento en que se produce un cambio o fraude en los sistemas.

Un método eficaz para proteger sistemas de computación es el software de control de acceso. Los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden al usuario una contraseña antes de permitirle el acceso a información confidencial. Sin embargo, los paquetes de control de acceso basados en componentes pueden ser eludidos por delincuentes sofisticados en computación, por lo que no es conveniente depender de esos paquetes por si solos para tener una seguridad adecuada.

El sistema integral de seguridad debe comprender:

Elementos administrativos.

Definición de una política de seguridad.

Organización y división de responsabilidades.

Seguridad lógica

Tipos de usuarios:

Propietario. Es el dueño de la información, el responsable de ésta, y puede realizar cualquier función. Es responsable de la seguridad lógica, en cuanto puede realizar cualquier acción y puede autorizar a otros usuarios de acuerdo con el nivel que desee darles.

Administrador. Sólo puede actualizar o modificar el software con la debida autorización, pero no puede modificar la información. Es responsable de la seguridad lógica y de la integridad de los datos.

Usuario principal. Está autorizado por el propietario para hacer modificaciones, cambios, lectura y utilización de los datos, pero no puede dar autorización para que otros usuarios entren.

Usuario de explotación. Puede leer la información y utilizarla para explotación de la misma, principalmente para hacer reportes de diferente índole.

Usuario de auditoría. Puede utilizar la información y rastrearla dentro del sistema para fines de auditoria.

Los usuarios pueden ser múltiples, y pueden ser el resultado de la combinación de los antes señalados. Se recomienda que exista sólo un usuario propietario, y que el administrador sea una persona designada por la gerencia de informática.

Para conservar la integridad, confidencialidad y disponibilidad de los sistemas de información se debe tomar en cuenta lo siguiente:

La integridad es la responsabilidad de los individuos autorizados para modificar datos o programas o de los usuarios a los que se otorgan acceso a aplicaciones de sistema o funciones fuera de sus responsabilidades normales de trabajo.

La confidencialidad es responsabilidad de los individuos autorizados para consultar o para bajar archivos importantes para microcomputadoras.

La responsabilidad es responsabilidad de individuos autorizados para alterar los parámetros de control de acceso al sistema operativo, al sistema operativo, al sistema manejador de base de datos, al monitoreo de teleproceso o al software de telecomunicaciones.

La seguridad lógica abarca las siguientes áreas:

Rutas de acceso.

Claves de acceso.

Software de control de acceso.

Encriptamiento.

Rutas de acceso

Cada uno de los sistemas de información tiene una ruta de acceso, la cual puede definirse como la trayectoria seguida en el momento de acceso al sistema.

Los tipos de restricciones de acceso son:

Sólo lectura

Sólo consulta

Lectura y consulta

Lectura escritura para crear, actualizar, borrar, ejecutar o copiar

El esquema de las rutas de acceso sirve para identificar todos los puntos de control que pueden ser usados para proteger los datos en el sistema. El autor debe conocer las rutas de acceso para el evaluación de los puntos de control apropiados.

Claves de acceso

Un área importante en la seguridad lógica de las claves de acceso de los usuarios. Existen diferentes métodos de identificación para el usuario:

Un password, código o llaves de acceso. Las claves de acceso pueden ser usadas para controlar al acceso a la computadora, a sus recursos, así como definir nivel de acceso o funciones específicas.

Las llaves de acceso deben tener las siguientes características:

- El sistema debe verificar primero que el usuario tenga una llave de acceso válida.

- La llave de acceso debe ser de una longitud adecuada para ser un secreto.

- La llave de acceso no debe ser desplegada cuando es tecleada.

- Las llaves de acceso deben ser encintadas.

- Las llaves de acceso deben de prohibir el uso de nombres, palabras o caracteres difíciles de retener, además el password no debe ser cambiado por un valor pasado. Se recomienda la combinación de caracteres alfabéticos y numéricos.

Una credencial con banda magnética. La banda magnética de las credenciales es frecuentemente usada para la entrada del sistema. Esta credencial es como una bancaria, pero se recomienda que tenga fotografía y firma.

Algo especifico del usuario. Es un método para identificación del usuario, que es implantado con tecnología biométrica (características propias). Algunos de los dispositivos biométricos son:

- Las huellas dactilares.

- La retina

- La geometría de la mano.

- La firma.

- La voz.

Software de control de acceso

El software de control de acceso, tiene las siguientes funciones:

Definición de usuarios.

Definición de las funciones del usuario después de accesar el sistema.

Jobs

Establecimiento de auditoría a través del uso del sistema.

La mayor ventaja del software de seguridad es la capacidad para proteger los recursos de acceso no autorizados, incluyendo los siguientes:

Procesos en espera de modificación por un programa de aplicación.

Accesos por editores en línea.

Accesos por utilerías de software.

Accesos a archivos de las bases de datos, a través de un manejador de base de datos.

Acceso de terminales o estaciones no autorizadas.

Estos paquetes pueden restringir el acceso a los recursos, reduciendo así el riesgo de accesos no autorizados.

Otra característica de estos paquetes es que se pueden detectar las violaciones de seguridad, tomando las siguientes medidas:

Terminaciones de procesos.

Forzar a las terminales a apagarse.

Desplegar mensajes de error.

Escribir los riesgos para la auditoría.

Otros tipos de software de control de acceso

Algunos tipos de software son diseñados con características que pueden ser usadas para proveerles seguridad. Sin embargo, es preferible usar un software de control de acceso para asegurar el ambiente total y completar las características de seguridad con u software especifico.

a) Sistemas operativos. Se trata de una serie de programas que se encuentran dentro de los sistemas operativos, los cuales manejan los recursos de las computadoras y sirven como interfase entre software de aplicaciones y el hardware. Estos programas proporcionan seguridad ya que, internamente, dentro de los sistemas operativos manejan y controlan la ejecución de programas de aplicación y proveen los servicios que estos programas requieren, dependiendo del usuario y del sistema que esté trabajando.

b) Software manejador de base de datos. Es un software cuya finalidad es la de controlar, organizar y manipular los datos. Provee múltiples caminos para accesar los datos en una base de datos. Maneja la integridad de datos entre operaciones, funciones y tareas de la organización.

c) Software de consolas o terminales maestras. El software de consolas o terminales maestras puede ser definido como varios programas del sistema operativo que proveen soporte y servicio para que las terminales en línea acceden a los programas en aplicación.

d) Software de librerías. El software de librerías consta de datos y programas específicos escritos para ejecutar una función de la organización. Los programas en aplicación pueden ser guardados en archivos en el sistema, y el acceso a estos programas puede ser controlado por medio del software usado para controlar el acceso a estos archivos.

e) Software de utilerías. Existen dos tipos de utilerías. El primero es usado en los sistemas de desarrollo para proveer productividad. El desarrollo de programas y los editores en línea son los ejemplos de este tipo de software. El segundo es usado para asistir en el manejo de operaciones de la computadora. Monitoreos, calendarios de trabajo, sistema manejador de disco y cinta son ejemplos de este de software.

Referencia DEL PRIMER DOCUMENTO tomada de la siguiente pagina web:

BOLETIN RSS. BmcsoftwareI iso20000 .  [En línea]  2010.  [Fecha de acceso 10 de diciembre de 2010]. URL disponible en: http://www.mitecnologico.com/Main/SeguridadLogicaYConfidencial