P. 1
Seguridad Logica

Seguridad Logica

|Views: 2.236|Likes:
Publicado porJustManu

More info:

Published by: JustManu on Sep 08, 2010
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

09/23/2014

pdf

text

original

Escuela de Informática y Telecomunicaciones. Analista Programador Computacional. Alonso de Ovalle 1586, Santiago Centro.

(+56 2) 354 0600

Seguridad Lógica.

Asignatura: Modelamiento de Base de Datos. Profesor: Héctor Schulz.

Por Manuel Burgos Zúñiga.

DuocUC - Sede Padre Alonso de Ovalle Escuela de Informática y Telecomunicaciones

ÍNDICE
INTRODUCCIÓN. ................................ ................................................................................................ ............................................................ 3 SEGURIDAD LÓGICA. ................................ ................................................................................................ ...................................................... 4 1.Conceptos Generales. ................................................................................................ ................................ ............................................. 4 1.1.ID de usuario: ................................ ................................................................................................ ................................................... 4 1.2.Autenticación: ................................ ................................................................................................ .................................................. 5 2. Objetivos de la Seguridad Lógica. ................................................................ ........................................................... 6 3.Evaluación de Vulnerabilidades. ................................................................ .............................................................. 7 4.Controles de Acceso. ................................ ................................................................................................ ............................................... 8 5. Convergencia entre seguridad lógica y física. ................................................................ ........................................ 10 5.1.Autenticación Biométrica. .............................................................................................. 10 .............................. 5.2.Token de Autenticación. ................................................................................................ 10 ................................. CONCLUSIÓN. ................................ .............................................................................................................................. 11 .............................. BIBLIOGRAFÍA. ................................ ............................................................................................................................. 12 .............................

2
Seguridad Lógica

DuocUC - Sede Padre Alonso de Ovalle Escuela de Informática y Telecomunicaciones

INTRODUCCIÓN.
Hoy en día, es común que al escuchar hablar de base de datos y seguridad lógica inmediatamente lo relaciona relacionamos con algo de carácter electrónico, o más específicamente informático, en cuyo caso el almacenamiento de la información es electromagnético (en su gran mayoría) y a la que podemos acceder a través de distintos "dispositivos inteligentes" y una serie de comandos. Por otro lado, la información es un activo que ha ido ganando un valor que va más allá del dado únicamente por nuestro juicio, y ha adquirido un valor económico real y creciente. Esto nos plantea una nueva perspectiva de abordarla, puesto que se ha convertido en un bien al que debemos asignarle algún grado de seguridad según lo estimemos conveniente. Sin embargo ya en el año 500 A.C. los griegos se hacían el planteamiento sobre qué valor tenía la información y cómo debían resguardarla. Sin ir más lejos, desarrollaron un cilindro llamado "scytale" alrededor del cual enrollaban una tira de cuero. Al escribir un mensaje sobre el cuero y " desenrollarlo se veía una lista de letras sin sentido. El mensaje correcto sólo podía leerse al enrollar el cuero nuevamente en un cilindro de igual diámetro, tal vez uno de los primeros mente vestigios de encriptación de información. En el siglo XX, en la década de los 80, donde las bases de la computación fueron enraizadas 80 y la informática de red se basaba prácticamente en la confianza, la información fluía libre a través flu de estos canales y sus protagonistas. No obstante era sólo cosa de tiempo para que esto cambiara. Fue así como en 1986 Cliff Stoll ayudante de administrador del centro de informática del Stoll, Lawrence Berkeley Laboratory, detecta una pequeña anomalía en un sistema contable. Se da Laboratory a cuenta que alguien se ha introducido al sistema e incluso otros desde dicha red. Inicia un desde seguimiento detallado que se considerará el primer caso documentado de persecución de un do persecu hacker. Son los inicios de la seguridad informática. La seguridad lógica es un subconjunto de la seguridad informática, y se enfocará en determinar qué información mostrar por medio de barreras lógicas, tener sistemas menos propensos a vulnerabilidades y filtración de datos. Una manera de protección eficaz, versátil y muy s filtración discreta, cuyos precursores sentaban las bases hace más de 2000 años.

3
Seguridad Lógica

DuocUC - Sede Padre Alonso de Ovalle Escuela de Informática y Telecomunicaciones

SEGURIDAD LÓGICA LÓGICA.
1.Conceptos Generales enerales.
Entenderemos Seguridad Lógica como el nivel de seguridad informática que implica mantener la integridad y consistencia de nuestra base de datos cuando se realice cualquier tipo de operación dentro del sistema. Se utilizarán para tales efectos softwares de seguridad que incluyan n seguridad, la identificación de usuario y contraseña de acceso, los derechos de acceso y niveles de autoridad, acceso además de la convergencia entre seguridad física y lógica. Estas medidas garantizarán que sólo los f s usuarios autorizados sean capaces de realizar acciones o acceder a la información en una red o una estación de trabajo. Este tipo de seguridad constará de 2 elementos claves: ID de usuario y autenticación.

ID Usuario

Seguridad Lógica
Autenticación

1.1.ID de usuario: :

La ID de usuario, también conocida como "inicio de sesión", "nombre de usuario" o nombre usuario "cuentas", son identificadores únicos personales. Estos identificadores se basan en cadenas cortas , de caracteres alfanuméricos, y son asignados o elegidos por los mismos usuarios usuarios. Un ejemplo típico de ID de usuario es la cadena de caracteres previos al símbolo de @ en sí nuestra dirección de correo electrónico. En dicho caso esta ID de usuario pertenece a la cuenta electrónico. que nos proporciona el servicio de e-mail, pero es escogida por nosotros. No obstante, otro e , N servicio puede pedirnos que n nuestra ID sea nuestra dirección de correo electrónico completa, en

4
Seguridad Lógica

DuocUC - Sede Padre Alonso de Ovalle Escuela de Informática y Telecomunicaciones

cuyo caso no se almacenará como la dirección de nuestro correo electrónico sino que como un extensa ID. Ej. minombre@gmail.com → "minombre" sería nuestra ID en Gmail.com minombre@gm nombre@gmail.com → "minombre@gmail.com" sería nuestra ID en otra cuenta, como por ejemplo Facebook.

1.2.Autenticación Autenticación:

La autenticación es el proceso utilizado por un programa, computadora o la red para tratar de confirmar la identidad de un usuario. La confirmación de las identidades es esencial para el concepto de control de acceso, puesto que autoriza o excluye a los no autorizados. Ésta autenticación es por lo general mediante una contraseña. La contraseña es un conjunto de caracteres alfanuméricos asignado o escogidos por el propio usuario. Para que el nivel de seguridad sea elevado, la contraseña para la autenticación de la ID de autenticaci usuario, debe seguir ciertas directrices para un óptimo resultado entre las que podemos nombrar: nombrar • • • • • • • • • La contraseña debe ser asignada a cada usuario de manera individual. La distribución de contraseñas debe ser manejada con la más estricta confidencialidad. encialidad. Deben modificarse en forma periódica. Contraseñas como apodos, y fechas de nacimiento no deben ser autorizadas. Nunca deben compartirse con otro usuario. Deben tener una longitud mínima de 5 dígitos. Las contraseñas deben estar almacenadas en un computador con encriptación. un La no visibilidad de la contraseña debe usarse en todos los terminales para la evitar su exhibición. Debe existir un software que cumpla con el cambio de contraseñas previo apoyo de identificación personal del usuario, duración mínima, formato. duración

5
Seguridad Lógica

DuocUC - Sede Padre Alonso de Ovalle Escuela de Informática y Telecomunicaciones

Contraseña fuerte
Debe ser asignada de forma individual y confidencial, jamás compartirse. Modificar periódicamente Apodos, fechas Longitud mayor a Almacenamiento de cumpleaños y 5 caracteres y no encriptado y con obviedades no visible en posibilidad de deben ser terminal. cambio. autorizadas

2. Objetivos de la Seguridad Lógica Lógica.
Una empresa u organización deberá implementar necesariamente un manual de políticas y procedimientos administrativos en el área de informática y seguridad de redes. Además deberá implementar las políticas y procedimientos respecto de la responsabilidad del usuario informático, responsabilidad informá detallando los mecanismos a los que deben estar sujetos para mantener la integridad de los sistemas y la privacidad de los mismos, además de la privacidad entre usuarios y las consecuencias institucionales y/o legales que pudiesen tener según la ley vigente en caso contrario. n Los objetivos a plantear por este tipo de seguridad serán: • • • • • • Restringir el acceso a los programas y archivos. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no trabajar puedan modificar los programas ni los archivos que no correspondan. Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el procedimiento correcto. Que la información transmitida sea recibida sólo por el destinatario al cual ha sido recibida enviada y no a otro. Que la información recibida sea la misma que ha sido transmitida. Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos. 6
Seguridad Lógica

DuocUC - Sede Padre Alonso de Ovalle Escuela de Informática y Telecomunicaciones

Que se disponga de pasos alternativos de emergencia para la transmisión de alternativos información.

Todo lo anterior sin embargo es inútil si antes de poner en práctica dichas barreras no realizamos un procedimiento crítico en nuestro propósito: La Evaluación De Vulnerabilidades.

3.Evaluación de Vulnerabilidades lnerabilidades.
El objetivo de una evaluación de la vulnerabilidad es examinar los sistemas de puntos débiles que podrían ser usados, y determinar las probabilidades para que nadie pueda atacar a alguno de esos puntos débiles. Existen numerosos tipos de vulnerabilidades. Cada uno debe ser examinada y vulnerabilidades. documentada. El control de todos los riesgos asociados con el acceso a los sistemas es crítico, pues una deficiente evaluación puede dar la posibilidad de manipular nuestra información y modificar o filtrar los datos. Existen muchas herramientas para la evaluación de vulnerabilidades. Una muy usada y conocida es Internet Security Systems (ISS). El principal valor de esta herramienta radica en la automatización y detección, es decir, normalmente la ISS se utiliza para explorar los sistemas de utiliza configuraciones y servicios, comparar los resultados con una base de datos de vulnerabilidades conocidas, y elaborar un informe. Esto evita la laboriosa tarea de examinar los sistemas de forma manual e investigar las últimas hazañas. También proporciona un método fácil de obtener datos últimas consistentes sobre las vulnerabilidades del sistema.

Seguridad Lógica

Evaluación de Vulnerabilidades

Identificación Tipo de Usuario

ID usuario + Autenticación

Flujo de Información de Acuerdo a Perfil de Usuario

Una vez que una lista de vulnerabilidades por sistema se compila, cada punto vulnerable deben clasificarse según la probabilidad de que podría ser explotada. Esta probabilidad es la amenaza asociada a la vulnerabilidad, y métodos para la determinación de e nivel de amenaza este 7
Seguridad Lógica

DuocUC - Sede Padre Alonso de Ovalle Escuela de Informática y Telecomunicaciones

es probable. Pueden ser tan complicado como completar un análisis de árbol, que documenta las distintas series de condiciones que podrían conducir a la explotación de una vulnerabilidad, o un simple como confiar en los informes sobre la frecuencia de las hazañas en la naturaleza. in a La combinación de vulnerabilidades y amenazas proporciona una medida de exposiciones riesgosas de datos, y la probabilidad de que un atacante motivado podría explotarlos. Este es el nivel de riesgo inherente, o el riesgo que existe en la ausencia de medidas de control.

4.Controles de Acceso. .
Los controles de acceso pueden implementarse en el sistemas operativo, aplicaci perativo, aplicaciones, bases de datos, un paquete específico de seguridad o en cualquier otro utilitario. Una vez establecidos los controles de acceso sobre los sistemas y la aplicación, es necesario realizar una eficiente administración de estas medidas de seguridad lógica, lo que involucra la implementación, seguimientos, pruebas y modificaciones sobre los accesos de los usuarios de los sistemas. La accesos política de seguridad que se desarrolle respecto a la seguridad lógica debe guiar a las decisiones referidas a la determinación de los controles de accesos y especificando las consideraciones necesarias para el establecimiento de perfiles de usuarios. lecimiento La definición de los permisos d acceso requiere determinar cuál será el nivel de seguridad de l necesario sobre los datos, por lo que es imprescindible clasificar la información, determinando el riesgo que produciría una eventual exposición de la misma a usuarios no autorizados. Así los eventual diversos niveles de la información requerirán diferentes medidas y niveles de seguridad. Para empezar la implementación, es conveniente comenzar definiendo las medidas de seguridad sobre la información más sensible o las aplicaciones más críticas, y avanzar de acuerdo a formación un orden de prioridad descendiente, establecido alrededor de las aplicaciones. Una vez clasificados los datos, deberán establecerse las medidas de seguridad para cada uno de los niveles. Un programa específico para la administración de los usuarios informáticos desarrollado sobre la base de las consideraciones expuestas, puede constituir un compromiso vacío, si no existe una conciencia de la seguridad organizacional por parte de todos los empleados. Esta conciencia de la seguridad puede alcanzarse mediante el ejemplo del personal directivo en el cumplimiento de las políticas y el establecimiento de compromisos firmados por el personal, donde se especifique la responsabilidad de cada uno. ca Pero además de este compromiso debe existir una concientización por parte de la administración hacia el personal en donde se remarque la importancia de la información y las consecuencias posibles de su pérdida o apropiación de la misma por agentes extraños a la organización.

8
Seguridad Lógica

DuocUC - Sede Padre Alonso de Ovalle Escuela de Informática y Telecomunicaciones

Los controles de acceso constituyen una importante ayuda para proteger al sistema constituyen operativo de la red, al sistema de aplicación y demás software de la utilización o modificaciones no autorizadas; todo esto para mantener la integridad de la información (restringiendo la cantidad integ

de usuarios y procesos con acceso permitido) y para resguardar la información confidencial de accesos no autorizados.
CONTROLES DE ACCESO

MODIFICACIONES

IMPLEMENTACIÓN

PRUEBAS

SEGUIMIENTO

Al respecto, el National Institute for Standars and Technology (NIST) ha resumido los estándares de seguridad que se refieren a los requisitos mínimos de seguridad en cualquier sistema entre los que podemos destacar destacar: • • Identificación y Autentificación. Acceso por medio de ID de usuario y contraseña. Roles. El acceso a la información también puede controlarse a través de la función o rol del usuario que requiere dicho acceso. Algunos ejemplos de roles serían los siguientes: programador, líder de proyecto, gerente de un área usuaria, administrador del sistema, etc. En este caso los derechos de acceso pueden agruparse de acuerdo con el rol de los usuarios. Transacciones. Puede implementarse controles a través de las transacciones, por ejemplo solicitando una clave al requerir el procesamiento de una transacción determinada. Limitaciones a los Ser Servicios. Estos controles se refieren a las restricciones que dependen de parámetros propios de la utilización de la aplicación o preestablecidos por el administrador del sistema. Modalidad de Acceso. Donde podemos diferenciar el tipo de manejo sobre la Acceso información a la que tiene el acceso el usuario como sólo lectura, escritura, n ejecución, borrado o todas las anteriores. n, Ubicación y Horario. Acceso restringido a determinados días, horas o según la Horario ubicación geográfica de usuario.

9
Seguridad Lógica

DuocUC - Sede Padre Alonso de Ovalle Escuela de Informática y Telecomunicaciones

5. Convergencia entre seguridad lógica y física. seguri
La convergencia entre la seguridad física y lógica es algo inevitable para tener estándares de alta efectividad en el resguardo de nuestra información. El proceso de autenticación ya no sólo responde a una cadena de caracteres alfanuméricos, sino que también ya existe desde hace un tiempo la autenticación biométrica token de autenticación. biométrica,

5.1.Autenticación Biométrica. Autenticación

La autenticación biométrica consiste en la medición del comportamiento o características fisiológicas del usuario a un intento de confirmar su identidad. Los aspectos fisiológicos que se utilizan incluyen huellas dactilares, retinas e iris del ojo, los patrones de voz, patrones faciales y medidas de la mano. Otros comportamientos también se utilizan como el reconocimiento de la firma, el econocimiento reconocimiento de nuestra caminar, el reconocimiento de alguna emisión sonora o escribiendo el emisi n reconocimiento de patrones visuales. En el caso de las caracter características fisiológicas son obtenidas y gicas procesadas por un algoritmo numérico. Este número es ingresado en una base de datos y a las nu características del usuario.

5.2.Token de Autenticación Token Autenticación.

El token de autenticación es un pequeño dispositivo que tienen los usuarios autorizados de los sistemas informáticos o redes para ayudarles en el acceso a un ordenador o red del sistema de ayudarles acceso restringido. También puede almacenar las claves criptográficas y los datos biométricos. El . tipo más popular de token de seguridad (RSA SecurID) muestra un número que cambia cada minuto. Los usuarios se autentican mediante la introducción de un número de identificación ios personal. El token contiene un tiempo de reloj de día y un valor de inicialización única. Otro tipo similar de token (tarjeta criptográfica) puede producir un valor cada vez que se pulsa un botón. Otras fichas de seguridad se puede conectar directamente al ordenador a través de USB, Smart card o puertos Bluetooth, o a través de interfaces de uso especial. Los teléfonos celulares y PDAs 'también se puede utilizar como tokens de seguridad con la programación dad adecuada.

10
Seguridad Lógica

DuocUC - Sede Padre Alonso de Ovalle Escuela de Informática y Telecomunicaciones

CONCLUSIÓN.
Ya a estas alturas, y frente a lo expuesto en este breve informe, podemos concluir lo relevante y necesario que será para nuestro desarrollo profesional y el la seguridad de los datos en nuestro entorno de trabajo. La seguridad lógica se vislumbra como una fuente de inagotable . innovación y a la que nunca debemos dejar de auditar regularmente. La exposición de nuestros datos o de cualquier información contenida necesita inevitablemente de tres factores: un usuario que subvalora su información o la que está usuario manejando, un sistema con "agujeros" de seguridad que posibiliten la filtración o exposición indeseada, y una persona atenta a detectar dichas falencias y hacer uso de información privilegiada a la que normalmente no tendría acceso. lmente Es necesario además destacar que la omisión de algunos pasos críticos como la evaluación de vulnerabilidades, o el incorrecto manejo de contraseñas puede derivar en constante pérdida o robo de información clasificada o la inestabilidad de nuestro sistema. inestab Por otro lado, la convergencia actual que hay entre la seguridad lógica y física nos recuerda que los avances en materia de seguridad parecieran no tener límites, y los hacen mucho más robustos. Sin embargo, desde el momento en que el hombre denotó el valor de la que información, una lucha incesante se ha librado respecto a quién tiene derecho a acceder a ciert cierta información y en qué niveles. Nuestra labor como profesionales estará centrada en tener la real noción de la información que se nos hará entrega como persona de confianza, responder a estándares internacionales de seguridad y estar totalmente actualizado sobre las nuevas tecnologías que puedan integrar tanto seguridad física como lógica. Un desafío al cual están ya expuestos la gran mayoría de los profesionales informáticos desde los comienzos y que demanda de gran atención y exhaustivas pruebas y procedimientos periódicos a nuestros sistemas.

11
Seguridad Lógica

DuocUC - Sede Padre Alonso de Ovalle Escuela de Informática y Telecomunicaciones

BIBLIOGRAFÍA.
• • • • • • University of Huston http://www.uh.edu Segu - Info http://www.segu http://www.segu-info.com.ar Ezine Articles http://ezinearticles.com/ Got Root http://g0tr00t.wordpress.com/ g0tr00t.wordpress.com/ Wikipedia (english) http://en.wikipedia.org Alegsa http://www.alegsa.com.ar http://www.alegsa.com.

12
Seguridad Lógica

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->