Dentro de la seguridad
informática, la seguridad lógica hace referencia a la seguridad en el uso de
software y los sistemas, la protección de los datos, procesos y programas, así
como la del acceso ordenado y autorizado de los usuarios a la información.
La “seguridad lógica”
involucra todas aquellas medidas establecidas por la administración -usuarios y
administradores de recursos de tecnología de información- para minimizar los
riesgos de seguridad asociados con sus operaciones cotidianas llevadas a cabo
utilizando la tecnología de información.
Con la seguridad lógica se
persiguen los siguientes objetivos:
Restringir el acceso a los
programas y archivos.
Los operadores debe
trabajar sin supervisión minuciosa y no podrán modificar ni programas archivos
que no correspondan.
Asegurar que se estén
utilizando los datos, archivos y programas correctos en y por el procedimiento
correcto.
Asegurar que la
información transmitida sea recibida sólo por el destinatario al cual sea
dirigida y por ningún otro.
Asegurar que la
información que el destinatario ha recibido sea la misma que ha sido
transmitida.
Se debe disponer de
sistemas alternativos de transmisión de información entre diferentes puntos.
Amenazas
Amenazas del sistema
Son las amenazas que afectan
principalmente al hardware, al software y a los datos. Estas se deben a
fenómenos de:
Interrupción.
Intercepción.
Modificación.
Generación.
Amenazas de interrupción
Se daña, pierde o deja de
funcionar un punto del sistema.
Detección inmediata.
Ejemplos: destrucción del
hardware, borrado de programas, datos, fallos en el sistema operativo, etc.
Amenazas de interceptación
Acceso a la información
por parte de personas no autorizadas. Uso de privilegios no adquiridos.
Detección difícil, no deja
huellas.
Ejemplos: copias ilícitas de
programas, escucha en línea de datos.
Amenazas de modificación
Acceso no autorizado que
cambia el entorno para su beneficio.
Detección difícil según
circunstancias.
Ejemplo: modificación de
base de datos, modificación de elementos del hardware.
Amenazas de generación
Creación de nuevos objetos
dentro del sistema.
Detección difícil. Delitos
de falsificación.
Ejemplos: añadir
transacciones en red, añadir registros en base de datos.
Amenazas humanas
Robo y fraude
Los sistemas de TI pueden
ser usados para estas acciones de manera tradicional o usando nuevos métodos,
por ejemplo, un individuo puede usar el ordenador para sustraer pequeñas
cantidades de dinero de un gran número de cuentas financieras bajo la suposición
de que pequeñas diferencias de saldo no serán investigadas, los sistemas
financieros no son los únicos que están bajo riesgo, también lo están los
sistemas que controlan el acceso a recursos de diversos tipos, como: sistemas
de inventario, sistemas de calificaciones, de control de llamadas telefónicas,
etc.
Los robos y fraudes usando
sistemas de TI pueden ser cometidos por personas internas o externas a las
organizaciones, estadísticamente los responsables de la mayoría de los fraudes
son personas internas a la organización.
Sabotaje
Una gran parte de las
empresas que han intentado implementar programas de seguridad de alto nivel,
han encontrado que la protección contra esta amenaza es uno de los retos más
duros, el saboteador puede ser un empleado o un sujeto ajeno a la empresa y sus
motivos pueden ser de lo más variados.
Al estar más familiarizados
con las aplicaciones, los empleados saben que acciones causarían más daño, por
otra parte el downsizing ha generado grupos de personas con conocimientos sobre
diversas organizaciones y con conocimiento de acceso a sus sistemas. Entre las
acciones de sabotaje más comunes tenemos:
Destrucción de hardware.
“Bombas lógicas” para
destrucción de programas y/o datos.
Ingreso erróneo de datos.
Exposición de medios
magnéticos de almacenamiento de información a imanes.
Introducción de suciedad,
partículas de metal o gasolina por los conductos de aire acondicionado.
Corte de las líneas de
comunicaciones y/o eléctricas.
Espionaje
Se refiere a la acción de
recolectar información propiedad de una compañía para ayudar a otra compañía.
Desde que la información es procesada y almacenada en ordenadores, la seguridad
informática puede ayudar a proteger este recurso, sin embargo, es muy poco lo
que se puede hacer para evitar que un empleado con autorización de acceso a
información pueda entregarla o venderla.
Hackers y código malicioso
El término hacker, se
refiere a los atacantes que se introducen en un sistema sin autorización y
pueden ser internos o externos a la organización, existen diferencias entre
estos atacantes, el hacker tiene por finalidad introducirse en el sistema y
hacer notar que lo logró, el que además de introducirse sin autorización
destruye sistemas e información en el “cracker”, y los que hacen uso de sus
conocimientos de hardware, software y telefonía para no pagar las llamadas que
hacen son los “phreakers”.
El código malicioso se
refiere a los virus, Works, caballos de Troya, bombas lógicas y otros ejemplos
de software no deseados que son introducidos en los sistemas.
Protección de la información
Los tres principios de
la seguridad informática son:
Existirá una diversidad de
frentes desde los que puede producirse un ataque. Esto dificulta el análisis de
riesgos porque el delincuente aplica la filosofía del punto más débil de este
principio.
Se habla por tanto, de la
caducidad del sistema de protección: tiempo en el que debe mantenerse la
confidencialidad o secreto del dato. Esto nos levará a la fortaleza del sistema
de cifra.
Que funcionen en el
momento oportuno.
Que lo hagan optimizando
los recursos del sistema.
Que pasen desapercibidas
para el usuario.
Ningún sistema de control
resulta efectivo hasta que es utilizado al surgir la necesidad de aplicarlo.
Políticas de seguridad
Controles de acceso
Los controles de acceso
pueden implementarse a nivel de Sistema operativo, de sistema de información,
en bases de datos, en un paquete específico de seguridad o en cualquier otro
utilitario. Estos controles constituyen una ayuda importante para proteger al
sistema operativo de la red, a los sistemas de información y software
adicional; de que puedan ser utilizadas/os o modificadas/os sin autorización;
también para mantener la integridad de la información (restringiendo la
cantidad de usuarios y procesos con autorización de acceso) y para resguardar
la información confidencial de accesos no autorizados.
Identificación y
autentificación
Se constituye en la primera
línea de defensa para la mayoría de los sistemas computarizados, al prevenir el
ingreso de personas no autorizadas y es la base para casi todos los controles
de acceso, además permite efectuar un seguimiento de las actividades de los
usuarios. Identificación es cuando el usuario se da a conocer en el sistema; y
Autentificación es la verificación que realiza el sistema de la identificación.
Roles
El acceso a la información
puede ser controlado también, considerando la función o rol del usuario que
requiere dicho acceso. Algunos ejemplos de roles serían los siguientes: líder
de proyecto, programador, operador, jefe de un área de usuaria, etc. Los
derechos de acceso se agrupan de acuerdo con un rol determinando y el uso de los
recursos se restringe a las personas autorizadas a asumir dicho rol, cambiar de
rol implicaría salir del sistema y reingresar. El uso de roles es una manera
bastante efectiva de implementar el control de accesos, siempre que el proceso
de definición de roles esté basado en un profundo análisis de cómo la
organización opera. Es importante aclarar que el uso de roles no es lo mismo
que el uso compartido de cuentas.
Transacciones
Otro planteamiento para
implementar controles de acceso en una organización son las transacciones,
sería del modo siguiente: el ordenador conoce de antemano el número de cuenta
que proporciona a un usuario el acceso a la cuenta respectiva, este acceso
tiene la duración de una transacción, cuando esta es completada entonces la
autorización de acceso termina, esto significa que el usuario no tiene más
oportunidad de operar.
Limitaciones a los servicios
Las limitaciones a los
servicios son controles que se refieren a las restricciones que dependen de
parámetros propios de la utilización de la aplicación o que han sido
preestablecidos por el administrador del sistema. Un ejemplo de este tipo de
control es: cuando en un cajero automático establece un límite para la cantidad
de dinero que se puede transferir de una cuenta a otra, y también para los
retiros. Otro ejemplo, podría ser cuando los usuarios de una red, tienen
permitido intercambiar e-mails entre sí, perno no tiene permitido conectarse
para intercambiar e-mails con usuarios de redes externas.
Modalidad de acceso
Adicionalmente a considerar
cuando un acceso puede permitirse, se debe tener en cuenta también que tipo de
acceso o modo de acceso se permitirá. El concepto de modo de acceso es
fundamental para el control respectivo, los modos de acceso que pueden ser
usados son: Lectura, Escritura, Ejecución, Borrado. Además existen otras
modalidades de acceso especiales, que generalmente se incluyen en los sistemas
de aplicación: Creación, Búsqueda.
Estos criterios puede ser
usados de manera conjunta con otros, por ejemplo, una organización puede
proporcionar a un grupo de usuarios acceso de Escritura en una aplicación en
cualquier momento dentro del horario de oficina, y acceso sólo de Lectura fuera
de él.
Ubicación y horario
El acceso a determinados
recursos del sistema puede estar basado en la ubicación física o lógica de los
datos o personas. En cuanto al horario, el uso de parámetros como horario de
oficina o día de la semana son comunes cuando se implementa este tipo de
controles, que permiten limitar el acceso de los usuarios a determinadas horas.
Control de acceso interno
Los controles de acceso
interno determinan lo que un usuario (o grupo de usuarios) puede o no hacer con
los recursos del sistema. Se detallarán cinco métodos de control de acceso
interno:
Palabras clave (Passwords):
las palabras clave o passwords, están comúnmente asociadas con la
autentificación del usuario, experto también son usadas para proteger datos,
aplicaciones e incluso PC´s. Por ejemplo, una aplicación de contabilidad puede
solicitar al usuario un password, en caso de que aquel desee acceder a cierta
información financiera. Los controles implementados a través de la utilización
de palabras clave resultan de muy bajo costo e incluyen una gran variedad de
aplicaciones.
Encriptación: la
información encriptada solamente puede ser desencriptada por quienes posean la
clave apropiada.
Listas de control de
accesos: estas listas se refieren a un registro de:
o Usuarios (incluye grupos
de usuarios, ordenadores, procesos), a quienes se les ha proporcionado
autorización para usar un recursos del sistema.
o Los tipos de acceso que
han sido proporcionados.
Hay una gran flexibilidad
para el manejo de estas listas, pueden definir también a que usuario o grupos
de usuarios se les niega específicamente el acceso a un recurso. Se pueden
implementar Listas de Control de Accesos Elementales y Avanzadas.
Límites sobre la
interfase de usuario: comúnmente utilizados en conjunto con listas de
control de accesos, estos límites restringen a los usuarios a funciones
específicas. Pueden ser de tres tipos:
o Menús.
o Vistas sobre la base de
datos.
o Límites físicos sobre la
interfase de usuario.
Los límites sobre la interfase
del usuario pueden proporcionar una forma de control de acceso muy parecida a
la forma en que la organización opera, es decir, el Administrador del Sistema
restringe al usuario a ciertos comandos, generalmente a través de un menú.
Las vistas sobre la base de
datos, limitan el acceso de los usuarios a los datos contenidos en la BD, de
tal forma que los usuarios dispongan sólo de aquellos que puedan para cumplir
con sus funciones en la organización.
Etiquetas de seguridad:
son denominaciones que se dan a los recursos (puede ser un archivo), las
etiquetas pueden utilizarse para varios propósitos, por ejemplo: control de
accesos, especificación de pruebas de protección, etc. En muchas
implementaciones, una vez que la denominación ha sido hecha, ya no puede ser
cambiada, excepto, quizás, bajo cuidadosas condiciones de control, que están
sujetas a auditoría. Las etiquetas de seguridad son una forma muy efectiva de
control de acceso, pero a veces resultan inflexibles y pueden ser costosas de
administrar, y estos factores pueden desanimar en su uso.
Control de acceso externo
Los controles de acceso
externo son una protección contra la interacción de nuestro sistema con los
sistemas, servicios y gente externa a la organización.
Dispositivos de control
de puertos: estos dispositivos autorizan el acceso a un puerto determinado
del ordenador host y pueden estar físicamente separados o incluidos en otro
dispositivo de comunicaciones, como por ejemplo un módem. Los dispositivos de
control de puertos actúan de manera previa e independiente de las funciones de
control de acceso propias del ordenador y comúnmente son usados en
comunicaciones seriales.
Firewalls o puertas de
seguridad: los firewalls permiten bloquear o filtrar el acceso entre dos
redes, generalmente una privada y otra externa (por ejemplo Internet),
entendiendo como red privada una “separada” de otras. Las puertas de seguridad
permiten que los usuarios internos se conecten a la red exterior al mismo
tiempo que previenen la intromisión de atacantes o virus a los sistemas de la
organización. Adicionalmente a estos beneficios los firewalls reducen la carga
del sistema en proceso de seguridad y facilitan la centralización de servicios.
Autentificación basada
en el host: proporciona el acceso según la identificación del Host en el
que se origina el requerimiento de acceso, en lugar de hacerlo según la
identificación del usuario solicitante.
Entradas
