Seguridad lógica


Dentro de la seguridad informática, la seguridad lógica hace referencia a la seguridad en el uso de software y los sistemas, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información.


La “seguridad lógica” involucra todas aquellas medidas establecidas por la administración -usuarios y administradores de recursos de tecnología de información- para minimizar los riesgos de seguridad asociados con sus operaciones cotidianas llevadas a cabo utilizando la tecnología de información.
Con la seguridad lógica se persiguen los siguientes objetivos:
 Restringir el acceso a los programas y archivos.
 Los operadores debe trabajar sin supervisión minuciosa y no podrán modificar ni programas archivos que no correspondan.
 Asegurar que se estén utilizando los datos, archivos y programas correctos en y por el procedimiento correcto.
 Asegurar que la información transmitida sea recibida sólo por el destinatario al cual sea dirigida y por ningún otro.
 Asegurar que la información que el destinatario ha recibido sea la misma que ha sido transmitida.
 Se debe disponer de sistemas alternativos de transmisión de información entre diferentes puntos.

Amenazas
Amenazas del sistema
Son las amenazas que afectan principalmente al hardware, al software y a los datos. Estas se deben a fenómenos de:
 Interrupción.
 Intercepción.
 Modificación.
 Generación.

Amenazas de interrupción
 Se daña, pierde o deja de funcionar un punto del sistema.
 Detección inmediata.

Ejemplos: destrucción del hardware, borrado de programas, datos, fallos en el sistema operativo, etc.
Amenazas de interceptación

 Acceso a la información por parte de personas no autorizadas. Uso de privilegios no adquiridos.
 Detección difícil, no deja huellas.

Ejemplos: copias ilícitas de programas, escucha en línea de datos.
Amenazas de modificación
 Acceso no autorizado que cambia el entorno para su beneficio.
 Detección difícil según circunstancias.

Ejemplo: modificación de base de datos, modificación de elementos del hardware.
Amenazas de generación
 Creación de nuevos objetos dentro del sistema.
 Detección difícil. Delitos de falsificación.

Ejemplos: añadir transacciones en red, añadir registros en base de datos.
Amenazas humanas
Robo y fraude
Los sistemas de TI pueden ser usados para estas acciones de manera tradicional o usando nuevos métodos, por ejemplo, un individuo puede usar el ordenador para sustraer pequeñas cantidades de dinero de un gran número de cuentas financieras bajo la suposición de que pequeñas diferencias de saldo no serán investigadas, los sistemas financieros no son los únicos que están bajo riesgo, también lo están los sistemas que controlan el acceso a recursos de diversos tipos, como: sistemas de inventario, sistemas de calificaciones, de control de llamadas telefónicas, etc.
Los robos y fraudes usando sistemas de TI pueden ser cometidos por personas internas o externas a las organizaciones, estadísticamente los responsables de la mayoría de los fraudes son personas internas a la organización.
Sabotaje
Una gran parte de las empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la protección contra esta amenaza es uno de los retos más duros, el saboteador puede ser un empleado o un sujeto ajeno a la empresa y sus motivos pueden ser de lo más variados.
Al estar más familiarizados con las aplicaciones, los empleados saben que acciones causarían más daño, por otra parte el downsizing ha generado grupos de personas con conocimientos sobre diversas organizaciones y con conocimiento de acceso a sus sistemas. Entre las acciones de sabotaje más comunes tenemos:
 Destrucción de hardware.
 “Bombas lógicas” para destrucción de programas y/o datos.
 Ingreso erróneo de datos.
 Exposición de medios magnéticos de almacenamiento de información a imanes.
 Introducción de suciedad, partículas de metal o gasolina por los conductos de aire acondicionado.
 Corte de las líneas de comunicaciones y/o eléctricas.

Espionaje
Se refiere a la acción de recolectar información propiedad de una compañía para ayudar a otra compañía. Desde que la información es procesada y almacenada en ordenadores, la seguridad informática puede ayudar a proteger este recurso, sin embargo, es muy poco lo que se puede hacer para evitar que un empleado con autorización de acceso a información pueda entregarla o venderla.
Hackers y código malicioso
El término hacker, se refiere a los atacantes que se introducen en un sistema sin autorización y pueden ser internos o externos a la organización, existen diferencias entre estos atacantes, el hacker tiene por finalidad introducirse en el sistema y hacer notar que lo logró, el que además de introducirse sin autorización destruye sistemas e información en el “cracker”, y los que hacen uso de sus conocimientos de hardware, software y telefonía para no pagar las llamadas que hacen son los “phreakers”.
El código malicioso se refiere a los virus, Works, caballos de Troya, bombas lógicas y otros ejemplos de software no deseados que son introducidos en los sistemas.
Protección de la información
Los tres principios de la seguridad informática son:
Existirá una diversidad de frentes desde los que puede producirse un ataque. Esto dificulta el análisis de riesgos porque el delincuente aplica la filosofía del punto más débil de este principio.
Se habla por tanto, de la caducidad del sistema de protección: tiempo en el que debe mantenerse la confidencialidad o secreto del dato. Esto nos levará a la fortaleza del sistema de cifra.








 Que funcionen en el momento oportuno.
 Que lo hagan optimizando los recursos del sistema.
 Que pasen desapercibidas para el usuario.

Ningún sistema de control resulta efectivo hasta que es utilizado al surgir la necesidad de aplicarlo.
Políticas de seguridad
Controles de acceso
Los controles de acceso pueden implementarse a nivel de Sistema operativo, de sistema de información, en bases de datos, en un paquete específico de seguridad o en cualquier otro utilitario. Estos controles constituyen una ayuda importante para proteger al sistema operativo de la red, a los sistemas de información y software adicional; de que puedan ser utilizadas/os o modificadas/os sin autorización; también para mantener la integridad de la información (restringiendo la cantidad de usuarios y procesos con autorización de acceso) y para resguardar la información confidencial de accesos no autorizados.
Identificación y autentificación
Se constituye en la primera línea de defensa para la mayoría de los sistemas computarizados, al prevenir el ingreso de personas no autorizadas y es la base para casi todos los controles de acceso, además permite efectuar un seguimiento de las actividades de los usuarios. Identificación es cuando el usuario se da a conocer en el sistema; y Autentificación es la verificación que realiza el sistema de la identificación.
Roles
El acceso a la información puede ser controlado también, considerando la función o rol del usuario que requiere dicho acceso. Algunos ejemplos de roles serían los siguientes: líder de proyecto, programador, operador, jefe de un área de usuaria, etc. Los derechos de acceso se agrupan de acuerdo con un rol determinando y el uso de los recursos se restringe a las personas autorizadas a asumir dicho rol, cambiar de rol implicaría salir del sistema y reingresar. El uso de roles es una manera bastante efectiva de implementar el control de accesos, siempre que el proceso de definición de roles esté basado en un profundo análisis de cómo la organización opera. Es importante aclarar que el uso de roles no es lo mismo que el uso compartido de cuentas.
Transacciones
Otro planteamiento para implementar controles de acceso en una organización son las transacciones, sería del modo siguiente: el ordenador conoce de antemano el número de cuenta que proporciona a un usuario el acceso a la cuenta respectiva, este acceso tiene la duración de una transacción, cuando esta es completada entonces la autorización de acceso termina, esto significa que el usuario no tiene más oportunidad de operar.
Limitaciones a los servicios
Las limitaciones a los servicios son controles que se refieren a las restricciones que dependen de parámetros propios de la utilización de la aplicación o que han sido preestablecidos por el administrador del sistema. Un ejemplo de este tipo de control es: cuando en un cajero automático establece un límite para la cantidad de dinero que se puede transferir de una cuenta a otra, y también para los retiros. Otro ejemplo, podría ser cuando los usuarios de una red, tienen permitido intercambiar e-mails entre sí, perno no tiene permitido conectarse para intercambiar e-mails con usuarios de redes externas.
Modalidad de acceso
Adicionalmente a considerar cuando un acceso puede permitirse, se debe tener en cuenta también que tipo de acceso o modo de acceso se permitirá. El concepto de modo de acceso es fundamental para el control respectivo, los modos de acceso que pueden ser usados son: Lectura, Escritura, Ejecución, Borrado. Además existen otras modalidades de acceso especiales, que generalmente se incluyen en los sistemas de aplicación: Creación, Búsqueda.
Estos criterios puede ser usados de manera conjunta con otros, por ejemplo, una organización puede proporcionar a un grupo de usuarios acceso de Escritura en una aplicación en cualquier momento dentro del horario de oficina, y acceso sólo de Lectura fuera de él.
Ubicación y horario
El acceso a determinados recursos del sistema puede estar basado en la ubicación física o lógica de los datos o personas. En cuanto al horario, el uso de parámetros como horario de oficina o día de la semana son comunes cuando se implementa este tipo de controles, que permiten limitar el acceso de los usuarios a determinadas horas.
Control de acceso interno
Los controles de acceso interno determinan lo que un usuario (o grupo de usuarios) puede o no hacer con los recursos del sistema. Se detallarán cinco métodos de control de acceso interno:
Palabras clave (Passwords): las palabras clave o passwords, están comúnmente asociadas con la autentificación del usuario, experto también son usadas para proteger datos, aplicaciones e incluso PC´s. Por ejemplo, una aplicación de contabilidad puede solicitar al usuario un password, en caso de que aquel desee acceder a cierta información financiera. Los controles implementados a través de la utilización de palabras clave resultan de muy bajo costo e incluyen una gran variedad de aplicaciones.
Encriptación: la información encriptada solamente puede ser desencriptada por quienes posean la clave apropiada.
Listas de control de accesos: estas listas se refieren a un registro de:
o Usuarios (incluye grupos de usuarios, ordenadores, procesos), a quienes se les ha proporcionado autorización para usar un recursos del sistema.
o Los tipos de acceso que han sido proporcionados.

Hay una gran flexibilidad para el manejo de estas listas, pueden definir también a que usuario o grupos de usuarios se les niega específicamente el acceso a un recurso. Se pueden implementar Listas de Control de Accesos Elementales y Avanzadas.
Límites sobre la interfase de usuario: comúnmente utilizados en conjunto con listas de control de accesos, estos límites restringen a los usuarios a funciones específicas. Pueden ser de tres tipos:
o Menús.
o Vistas sobre la base de datos.
o Límites físicos sobre la interfase de usuario.

Los límites sobre la interfase del usuario pueden proporcionar una forma de control de acceso muy parecida a la forma en que la organización opera, es decir, el Administrador del Sistema restringe al usuario a ciertos comandos, generalmente a través de un menú.
Las vistas sobre la base de datos, limitan el acceso de los usuarios a los datos contenidos en la BD, de tal forma que los usuarios dispongan sólo de aquellos que puedan para cumplir con sus funciones en la organización.
 Etiquetas de seguridad: son denominaciones que se dan a los recursos (puede ser un archivo), las etiquetas pueden utilizarse para varios propósitos, por ejemplo: control de accesos, especificación de pruebas de protección, etc. En muchas implementaciones, una vez que la denominación ha sido hecha, ya no puede ser cambiada, excepto, quizás, bajo cuidadosas condiciones de control, que están sujetas a auditoría. Las etiquetas de seguridad son una forma muy efectiva de control de acceso, pero a veces resultan inflexibles y pueden ser costosas de administrar, y estos factores pueden desanimar en su uso.

Control de acceso externo
Los controles de acceso externo son una protección contra la interacción de nuestro sistema con los sistemas, servicios y gente externa a la organización.
Dispositivos de control de puertos: estos dispositivos autorizan el acceso a un puerto determinado del ordenador host y pueden estar físicamente separados o incluidos en otro dispositivo de comunicaciones, como por ejemplo un módem. Los dispositivos de control de puertos actúan de manera previa e independiente de las funciones de control de acceso propias del ordenador y comúnmente son usados en comunicaciones seriales.
Firewalls o puertas de seguridad: los firewalls permiten bloquear o filtrar el acceso entre dos redes, generalmente una privada y otra externa (por ejemplo Internet), entendiendo como red privada una “separada” de otras. Las puertas de seguridad permiten que los usuarios internos se conecten a la red exterior al mismo tiempo que previenen la intromisión de atacantes o virus a los sistemas de la organización. Adicionalmente a estos beneficios los firewalls reducen la carga del sistema en proceso de seguridad y facilitan la centralización de servicios.
Autentificación basada en el host: proporciona el acceso según la identificación del Host en el que se origina el requerimiento de acceso, en lugar de hacerlo según la identificación del usuario solicitante.


Wikipedia

Resultados de la búsqueda

Se ha producido un error en este gadget.