Basioamente es la proteooion de la informaoion,

en su propio medio oontra robo o destruooion,

oopia o difusion. Para ellos puede usarse la
0r|prograf|a, l|rma l|g|ra|, 4om|n|srrao|on oe
Segur|oao y ||m|rao|ones oe 4ooes|b|||oao a |os
usuar|os
uL L3 LA 3L0uRlUAU L00lCA
C0NllULNClAL?
SEGURDAD LOGCA Y CONFDENCAL
AL u1lLlLAUA AL u1lLlLAUA
R0B03 R0B03
lRAuUL3 lRAuUL3
3AB01A1L3 3AB01A1L3
UL31RuCCl0N 101AL UL31RuCCl0N 101AL
0 PARClAL 0 PARClAL
lNl0RACl0N
C0NllULNClAL
ALACLNA
Conseouenoia: Prdidas de dinero
SEGURDAD LOGCA Y CONFDENCAL
Paquetes
oopiados
ala utilizaoion de los equipos
lnstalaoion de programas
inneoesarios
AuUl10RlA destierra:
virus
Red
3oftware pirata
Aooeso modifioar informaoion
oon propositos fraudulentos
BU
destruooion
SEGURDAD LOGCA Y CONFDENCAL
SEGURDAD LOGCA Y CONFDENCAL
telfono
EN QUE CONSISTE LA SEGURIDAD
LOGICA?
%ooo |o que no esra perm|r|oo oebe esrar proh|b|oo
3L0uRlUAU L00lCA
Aplioaoion de barreras y
prooedimientos que resguarden
el aooeso a los datos y solo se
permita aooeder a ellos a las
personas autorizadas para
haoerlo.
DE QUE SE ENCARGA LA SEGURIDAD
LOGICA?
3eguridad Logioa
Controlar y
salvaguardar la
informaoion generada.
ldentifioar
individualmente a oada
usuario y sus
aotividades en el
sistema.
Controles de aooeso
para salvaguardar la
integridad de la
informaoion
almaoenada
QUE CONSECUENCIAS PODRIA TRAER A
LA ORGANIZACION LA FALTA DE
SEGURIDAD LOGICA?
Cambio de los datos.
Copias de programas
y /o informaoion.
Codigo ooulto en un programa
Lntrada de virus
OBJETVOS PRNCPALES
lntegridad
0arantizar que los datos sean
los que se supone que son.
Confidenoialidad
Asegurar que solo los
individuos autorizados tengan
aooeso a los reoursos que se
interoambian.
Uisponibilidad
0arantizar el oorreoto
funoionamiento de los
sistemas de informaoion.
Lvitar el reohazo
0arantizar de que no pueda
negar una operaoion
realizada.
Autentioaoion
Asegurar que solo los
individuos autorizados tengan
aooeso a los reoursos.
OBJETVOS ESPECFCOS
Restringir el aooeso a los programas y arohivos.
Asegurar que los operadores puedan trabajar sin una
supervision minuoiosa.
Asegurar que se estn utilizados los datos, arohivos y
programas oorreotos en y por el prooedimiento oorreoto.
0arantizar que la informaoion transmitida sea reoibida solo
por el destinatario al oual ha sido enviada y no a otro.
Certifioar que la informaoion reoibida sea la misma que ha
sido transmitida.
Asegurar que existan sistemas alternativos seoundarios de
transmision entre diferentes puntos.
Ceroiorar que se disponga de pasos alternativos
de emergenoia para la transmision de
informaoion.
luras oe aooeso
3olo leotura
3olo oonsulta
Leotura y oonsulta
Leotura esoritura para orear, aotualizar,
borrar, ejeoutar o oopiar
0|aves oe aooeso
un password, oodigo o llaves de
aooeso.
una oredenoial oon banda magntioa
Algo espeoifioo del usuario:
- Las huellas daotilares.
- La retina
- La geometria de la mano.
- La firma.
- La voz.
REAS DE LA SEGURDAD LGCA
Sofrware
oe oonrro|
oe aooeso
Uefinioion de usuarios.
1ipos de usuarios:
Propietario.
Administrador.
usuario prinoipal.
usuario de explotaoion.
usuario de auditoria.
Uefinioion de las funoiones del usuario (1obs)
La integridad es la responsabilidad de los
individuos autorizados para modifioar datos o
programas.
La oonfidenoialidad es responsabilidad de los
individuos autorizados para oonsultar o para bajar
arohivos importantes.
La responsabilidad es responsabilidad de
individuos autorizados para alterar los parametros
de oontrol de aooeso al sistema.
REAS DE LA SEGURDAD LGCA
Lstableoimiento de auditoria a travs del uso del sistema.
Ll sofrware oe segur|oao tiene la oapaoidad para proteger los reoursos de
aooeso no autorizados, oomo:
Prooesos en espera de modifioaoion por un programa de aplioaoion.
Aooesos por editores en linea.
Aooesos por utilerias de software.
Aooesos a arohivos de las bases de datos, a travs de un manejador
de base de datos.
Aooeso de terminales o estaoiones no autorizadas.
Ll sofrware oe segur|oao puede deteotar las violaoiones de seguridad,
tomando las siguientes medidas:
1erminaoiones de prooesos.
lorzar a las terminales a apagarse.
Uesplegar mensajes de error.
Lsoribir los riesgos para la auditoria.
lmplioa la oodifioaoion de informaoion que puede ser transmitida
via una red de oomputo o un disoo para que solo el emisor y el
reoeptor la puedan leer.
REAS DE LA SEGURDAD LGCA
Sofrware
oe oonrro|
oe aooeso
4 nor|pram|enro
ETAPAS PARA IMPLANTAR UN SISTEMA
DE SEGURIDAD
Uefinir y trabajar sobre todo las areas donde se pueden
lograr mejoras relativamente rapidas.
ejorar las oomunioaoiones internas.
ldentifioar olaramente las areas de mayor riesgo.
Capaoitar a todos los trabajadores en los elementos
basioos de seguridad y riesgo.
lntroduoir el tema de seguridad en la vision.
Uefinir los prooesos de flujo de informaoion y sus riesgos.
Capaoitar a los gerentes y direotivos.
Uesignar y oapaoitar supervisores de area.
BENEFCOS DE UN SSTEMA DE
SEGURDAD
Aumento de la produotividad.
Aumento de la motivaoion del
personal.
Compromiso oon la mision de la
oompaia.
ejora de las relaoiones
laborales.
Ayuda a formar equipos
oompetentes.
ejora de los olimas laborales
para los RR..
Nivel C1
Proteooion Uisoreoional
Aooeso de oontrol disoreoional
ldentifioaoion y Autentifioaoion
NVELES DE SEGURDAD
NFORMTCA
Nivel U
Ninguna
espeoifioaoion
de seguridad
Nivel C2
Proteooion de Aooeso Controlado
Auditoria de aooesos e intentos fallidos de aooeso a
objetos.
Nivel B1
3eguridad Ltiquetada
3oporta seguridad multinivel
.
Nivel B2
Proteooion Lstruoturada
3oporta seguridad multinivel
.
NlvLL CARAC1LRl31lCA
N|ve| D
N|ve| C1 rotecc|n D|screc|ona|
O nlnguna especlflcacln de
segurldad
N|ve| C2 rotecc|n de Acceso
Contro|ado
O cceso de conLrol dlscreclonal
O ldenLlflcacln y uLenLlflcacln
N|ve| 81 Segur|dad Lt|quetada
O udlLorla de accesos e lnLenLos
fallldos de acceso a ob[eLos
N|ve| 82 rotecc|n Lstructurada
O oporLa segurldad mulLlnlvel
N|ve| 83 Dom|n|os de Segur|dad
O 9roLeccln LsLrucLurada
N|ve| A rotecc|n Ver|f|cada
O onexln segura
NVELES DE SEGURDAD
NFORMTCA
EVALUAR EL NVEL DE RESGO
Clasifioar la instalaoion en trminos de riesgo(alto, mediano, pequeo).
ldentifioar aquellas aplioaoiones que tengan un alto riesgo.
Cuantifioar el impaoto en el oaso de suspension del servioio en aquellas
aplioaoiones oon un alto riesgo.
lormular las medidas de seguridad neoesarias dependiendo del nivel de
seguridad que se requiera.
La justifioaoion del oosto de implantar las medidas de seguridad para poder
olasifioar el riesgo e identifioar las aplioaoiones de alto riesgo, se debe preguntar
lo siguiente:
4ue suoederia si no se puede usar el sistema?
43i la oontestaoion es que no se podria seguir trabajando, esto nos situa en
un sistema de alto riego.
La siguiente pregunta es:
4u implioaoiones tiene el que no se obtenga el sistema y ouanto tiempo
podriamos estar sin utilizarlo?
4Lxiste un prooedimiento alterno y que problemas nos ooasionaria?
4ue se ha heoho para un oaso de emergenoia?
CMO EVALUAR LAS MEDDAS DE
SEGURDAD?
Para evaluar las medidas de seguridad se debe:
Lspeoifioar la aplioaoion, los programas y arohivos.
Las medidas en oaso de desastre, prdida total, abuso y los planes
neoesarios.
Las prioridades que se deben tomar en ouanto a las aooiones a oorto y
largo plazo.
Ln ouanto a la division del trabajo se debe evaluar que se tomen las
siguientes preoauoiones, las ouales dependeran del riesgo que tenga la
informaoion y del tipo y tamao de la organizaoion.
Ll personal que prepara la informaoion no debe tener aooeso a la operaoion.
Los analisis y programadores no deben tener aooeso al area de operaoiones y
vioeversa.
Los operadores no debe tener aooeso irrestringido a las librerias ni a los lugares
donde se tengan los arohivos almaoenados, es importante separar las funoiones
de libreria y de operaoion.
Los operadores no deben ser los unioos que tengan el oontrol sobre los trabajos
prooesados y no deben haoer las oorreooiones a los errores deteotados.
MO REALIZAR LA AUDITORIA DE
LA SEGURIDAD LGIA?
Clasifioar la instalaoion en trminos de riesgo
ldentifioar aquellas aplioaoiones que tengan un alto riesgo.
Cuantifioar el impaoto en el oaso de suspension del servioio en
aquellas aplioaoiones oon un alto riesgo.
lormular las medidas de seguridad neoesarias dependiendo del
nivel de seguridad que se requiera.
La justifioaoion del oosto de implantar las medidas de seguridad
para poder olasifioar el riesgo e identifioar las aplioaoiones de alto
riesgo, se debe preguntar lo siguiente:
4ue suoederia si no se puede usar el sistema?
43i la oontestaoion es que no se podria seguir trabajando,
esto nos situa en un sistema de alto riego.
La siguiente pregunta es:
4u implioaoiones tiene el que no se obtenga el sistema y
ouanto tiempo podriamos estar sin utilizarlo?
4Lxiste un prooedimiento alterno y que problemas nos
ooasionaria?
4ue se ha heoho para un oaso de emergenoia?