oopia o difusion. Para ellos puede usarse la 0r|prograf|a, l|rma l|g|ra|, 4om|n|srrao|on oe Segur|oao y ||m|rao|ones oe 4ooes|b|||oao a |os usuar|os uL L3 LA 3L0uRlUAU L00lCA C0NllULNClAL? SEGURDAD LOGCA Y CONFDENCAL AL u1lLlLAUA AL u1lLlLAUA R0B03 R0B03 lRAuUL3 lRAuUL3 3AB01A1L3 3AB01A1L3 UL31RuCCl0N 101AL UL31RuCCl0N 101AL 0 PARClAL 0 PARClAL lNl0RACl0N C0NllULNClAL ALACLNA Conseouenoia: Prdidas de dinero SEGURDAD LOGCA Y CONFDENCAL Paquetes oopiados ala utilizaoion de los equipos lnstalaoion de programas inneoesarios AuUl10RlA destierra: virus Red 3oftware pirata Aooeso modifioar informaoion oon propositos fraudulentos BU destruooion SEGURDAD LOGCA Y CONFDENCAL SEGURDAD LOGCA Y CONFDENCAL telfono EN QUE CONSISTE LA SEGURIDAD LOGICA? %ooo |o que no esra perm|r|oo oebe esrar proh|b|oo 3L0uRlUAU L00lCA Aplioaoion de barreras y prooedimientos que resguarden el aooeso a los datos y solo se permita aooeder a ellos a las personas autorizadas para haoerlo. DE QUE SE ENCARGA LA SEGURIDAD LOGICA? 3eguridad Logioa Controlar y salvaguardar la informaoion generada. ldentifioar individualmente a oada usuario y sus aotividades en el sistema. Controles de aooeso para salvaguardar la integridad de la informaoion almaoenada QUE CONSECUENCIAS PODRIA TRAER A LA ORGANIZACION LA FALTA DE SEGURIDAD LOGICA? Cambio de los datos. Copias de programas y /o informaoion. Codigo ooulto en un programa Lntrada de virus OBJETVOS PRNCPALES lntegridad 0arantizar que los datos sean los que se supone que son. Confidenoialidad Asegurar que solo los individuos autorizados tengan aooeso a los reoursos que se interoambian. Uisponibilidad 0arantizar el oorreoto funoionamiento de los sistemas de informaoion. Lvitar el reohazo 0arantizar de que no pueda negar una operaoion realizada. Autentioaoion Asegurar que solo los individuos autorizados tengan aooeso a los reoursos. OBJETVOS ESPECFCOS Restringir el aooeso a los programas y arohivos. Asegurar que los operadores puedan trabajar sin una supervision minuoiosa. Asegurar que se estn utilizados los datos, arohivos y programas oorreotos en y por el prooedimiento oorreoto. 0arantizar que la informaoion transmitida sea reoibida solo por el destinatario al oual ha sido enviada y no a otro. Certifioar que la informaoion reoibida sea la misma que ha sido transmitida. Asegurar que existan sistemas alternativos seoundarios de transmision entre diferentes puntos. Ceroiorar que se disponga de pasos alternativos de emergenoia para la transmision de informaoion. luras oe aooeso 3olo leotura 3olo oonsulta Leotura y oonsulta Leotura esoritura para orear, aotualizar, borrar, ejeoutar o oopiar 0|aves oe aooeso un password, oodigo o llaves de aooeso. una oredenoial oon banda magntioa Algo espeoifioo del usuario: - Las huellas daotilares. - La retina - La geometria de la mano. - La firma. - La voz. REAS DE LA SEGURDAD LGCA Sofrware oe oonrro| oe aooeso Uefinioion de usuarios. 1ipos de usuarios: Propietario. Administrador. usuario prinoipal. usuario de explotaoion. usuario de auditoria. Uefinioion de las funoiones del usuario (1obs) La integridad es la responsabilidad de los individuos autorizados para modifioar datos o programas. La oonfidenoialidad es responsabilidad de los individuos autorizados para oonsultar o para bajar arohivos importantes. La responsabilidad es responsabilidad de individuos autorizados para alterar los parametros de oontrol de aooeso al sistema. REAS DE LA SEGURDAD LGCA Lstableoimiento de auditoria a travs del uso del sistema. Ll sofrware oe segur|oao tiene la oapaoidad para proteger los reoursos de aooeso no autorizados, oomo: Prooesos en espera de modifioaoion por un programa de aplioaoion. Aooesos por editores en linea. Aooesos por utilerias de software. Aooesos a arohivos de las bases de datos, a travs de un manejador de base de datos. Aooeso de terminales o estaoiones no autorizadas. Ll sofrware oe segur|oao puede deteotar las violaoiones de seguridad, tomando las siguientes medidas: 1erminaoiones de prooesos. lorzar a las terminales a apagarse. Uesplegar mensajes de error. Lsoribir los riesgos para la auditoria. lmplioa la oodifioaoion de informaoion que puede ser transmitida via una red de oomputo o un disoo para que solo el emisor y el reoeptor la puedan leer. REAS DE LA SEGURDAD LGCA Sofrware oe oonrro| oe aooeso 4 nor|pram|enro ETAPAS PARA IMPLANTAR UN SISTEMA DE SEGURIDAD Uefinir y trabajar sobre todo las areas donde se pueden lograr mejoras relativamente rapidas. ejorar las oomunioaoiones internas. ldentifioar olaramente las areas de mayor riesgo. Capaoitar a todos los trabajadores en los elementos basioos de seguridad y riesgo. lntroduoir el tema de seguridad en la vision. Uefinir los prooesos de flujo de informaoion y sus riesgos. Capaoitar a los gerentes y direotivos. Uesignar y oapaoitar supervisores de area. BENEFCOS DE UN SSTEMA DE SEGURDAD Aumento de la produotividad. Aumento de la motivaoion del personal. Compromiso oon la mision de la oompaia. ejora de las relaoiones laborales. Ayuda a formar equipos oompetentes. ejora de los olimas laborales para los RR.. Nivel C1 Proteooion Uisoreoional Aooeso de oontrol disoreoional ldentifioaoion y Autentifioaoion NVELES DE SEGURDAD NFORMTCA Nivel U Ninguna espeoifioaoion de seguridad Nivel C2 Proteooion de Aooeso Controlado Auditoria de aooesos e intentos fallidos de aooeso a objetos. Nivel B1 3eguridad Ltiquetada 3oporta seguridad multinivel . Nivel B2 Proteooion Lstruoturada 3oporta seguridad multinivel . NlvLL CARAC1LRl31lCA N|ve| D N|ve| C1 rotecc|n D|screc|ona| O nlnguna especlflcacln de segurldad N|ve| C2 rotecc|n de Acceso Contro|ado O cceso de conLrol dlscreclonal O ldenLlflcacln y uLenLlflcacln N|ve| 81 Segur|dad Lt|quetada O udlLorla de accesos e lnLenLos fallldos de acceso a ob[eLos N|ve| 82 rotecc|n Lstructurada O oporLa segurldad mulLlnlvel N|ve| 83 Dom|n|os de Segur|dad O 9roLeccln LsLrucLurada N|ve| A rotecc|n Ver|f|cada O onexln segura NVELES DE SEGURDAD NFORMTCA EVALUAR EL NVEL DE RESGO Clasifioar la instalaoion en trminos de riesgo(alto, mediano, pequeo). ldentifioar aquellas aplioaoiones que tengan un alto riesgo. Cuantifioar el impaoto en el oaso de suspension del servioio en aquellas aplioaoiones oon un alto riesgo. lormular las medidas de seguridad neoesarias dependiendo del nivel de seguridad que se requiera. La justifioaoion del oosto de implantar las medidas de seguridad para poder olasifioar el riesgo e identifioar las aplioaoiones de alto riesgo, se debe preguntar lo siguiente: 4ue suoederia si no se puede usar el sistema? 43i la oontestaoion es que no se podria seguir trabajando, esto nos situa en un sistema de alto riego. La siguiente pregunta es: 4u implioaoiones tiene el que no se obtenga el sistema y ouanto tiempo podriamos estar sin utilizarlo? 4Lxiste un prooedimiento alterno y que problemas nos ooasionaria? 4ue se ha heoho para un oaso de emergenoia? CMO EVALUAR LAS MEDDAS DE SEGURDAD? Para evaluar las medidas de seguridad se debe: Lspeoifioar la aplioaoion, los programas y arohivos. Las medidas en oaso de desastre, prdida total, abuso y los planes neoesarios. Las prioridades que se deben tomar en ouanto a las aooiones a oorto y largo plazo. Ln ouanto a la division del trabajo se debe evaluar que se tomen las siguientes preoauoiones, las ouales dependeran del riesgo que tenga la informaoion y del tipo y tamao de la organizaoion. Ll personal que prepara la informaoion no debe tener aooeso a la operaoion. Los analisis y programadores no deben tener aooeso al area de operaoiones y vioeversa. Los operadores no debe tener aooeso irrestringido a las librerias ni a los lugares donde se tengan los arohivos almaoenados, es importante separar las funoiones de libreria y de operaoion. Los operadores no deben ser los unioos que tengan el oontrol sobre los trabajos prooesados y no deben haoer las oorreooiones a los errores deteotados. MO REALIZAR LA AUDITORIA DE LA SEGURIDAD LGIA? Clasifioar la instalaoion en trminos de riesgo ldentifioar aquellas aplioaoiones que tengan un alto riesgo. Cuantifioar el impaoto en el oaso de suspension del servioio en aquellas aplioaoiones oon un alto riesgo. lormular las medidas de seguridad neoesarias dependiendo del nivel de seguridad que se requiera. La justifioaoion del oosto de implantar las medidas de seguridad para poder olasifioar el riesgo e identifioar las aplioaoiones de alto riesgo, se debe preguntar lo siguiente: 4ue suoederia si no se puede usar el sistema? 43i la oontestaoion es que no se podria seguir trabajando, esto nos situa en un sistema de alto riego. La siguiente pregunta es: 4u implioaoiones tiene el que no se obtenga el sistema y ouanto tiempo podriamos estar sin utilizarlo? 4Lxiste un prooedimiento alterno y que problemas nos ooasionaria? 4ue se ha heoho para un oaso de emergenoia?