Documentos de Académico
Documentos de Profesional
Documentos de Cultura
AP04 - OA - DiseñoMecanismosSeguridad y Control PDF
AP04 - OA - DiseñoMecanismosSeguridad y Control PDF
DISEÑO DE MECANISMOSDE
DSEGURIDAD
E SEGURID Y ACONTROL
D Y C O N- TADSI
ROL
Estructura de contenidos
Pág.
Introducción ................................................................................................. 3
Mapa de contenido ..................................................................................... 4
Desarrollo de contenidos ............................................................................ 5
1. Fundamentos de seguridad informática ................................................ 5
1.1. Integridad ............................................................................................. 6
1.2. Confidencialidad .................................................................................. 6
1.3. Disponibilidad ...................................................................................... 7
1.4. Autenticación ....................................................................................... 8
1.5. Control de acceso ................................................................................ 9
1.6. Cifrado de datos ................................................................................ 10
1.7. Firma digital ....................................................................................... 10
1.8. Controles criptográficos ..................................................................... 11
1.9. Servicios de no repudio .................................................................... 11
2. Controles de seguridad ........................................................................ 12
2.1. Políticas de seguridad ....................................................................... 13
2.2. Control de acceso .............................................................................. 14
2.3. Seguridad del personal ...................................................................... 14
2.4. Seguridad física y ambiental .............................................................. 14
2.5. Desarrollo y mantenimiento de sistemas ............................................ 15
2.6. Gestión de comunicaciones y operaciones ......................................... 15
2.7. Gestión del cambio .............................................................................. 15
2.8. Administración de la continuidad de los negocios ............................. 15
2.9. Cumplimiento ..................................................................................... 16
3. Seguridad en plataformas ................................................................... 17
3.1. Desde el punto del control de accesos ............................................ 17
3.2. Desde el punto de comunicaciones y operaciones .......................... 18
4. Seguridad en sistemas operativos ..................................................... 19
5. Seguridad de bases de datos ............................................................ 20
6. Seguridad de redes ............................................................................. 21
Glosario ..................................................................................................... 22
Bibliografía ................................................................................................ 23
Control del documento ............................................................................. 24
Introducción
Mapa de contenido
Desarrollo de contenidos
1. Fundamentos de seguridad informática
Es por ello, que para Evaluar la seguridad de los sistemas de información se requiere
que, en las diferentes fases del ciclo de vida de los sistemas de información, se planteen
protocolos claros que permitan lograr un buen nivel de calidad en el software.
Diseño de autorización: en este ítem se deben definir los roles, permisos y privilegios
de la aplicación.
Diseño de autenticación: aquí se debe diseñar el modo en el que los usuarios se van a
autenticar, contemplando aspectos tales como los mecanismos o factores de autenticación
con contraseñas, tokens, certificados, etc. También, y dependiendo del tamaño de la
organización, se puede pensar en la posibilidad de integrar la autenticación con servicios
externos como LDAP, Radius o Active Directory y mecanismos que tendrá la aplicación
para evitar ataques de diccionario o de fuerza bruta.
Diseño de los mensajes de error y advertencia: al diseñar estos mensajes se debe evitar
que los mismos brinden demasiada información y que ésta sea utilizada por atacantes.
• Datos: son los ataques más sencillos de practicar y, por lo tanto, donde más se
necesita la aplicación de estrategias de seguridad.
1.1. Integridad
Hace referencia a que los datos no sufran cambios no autorizados o que sean modificados.
La pérdida de integridad puede originar decisiones erróneas o fraudes.
El sistema de información debe de proteger modificaciones imprevistas, no autorizadas
o accidentales, para ello se debe identificar muy bien los perfiles o roles de los usuarios,
los permisos de acceso para la manipulación de los datos.
Flujo normal de la información Violación de la integridad
CANAL SEGURO
Flujo normal
Emisor Receptor
1.2. Confidencialidad
El sistema de información debe de proteger estas pérdidas por medio de las autorizaciones
de su uso, módulos permitidos y horarios establecidos y autorizados.
Violación de la confidencialidad
Emisor Receptor
Intercepción
1.3. Disponibilidad
Violación de la disponibilidad
Emisor Receptor
Interrupción
1.4. Autenticación
Este término se refiere a la verificación que se realiza a la identidad del usuario; este
proceso generalmente se lleva a cabo cuando se ingresa al sistema, a la red o a cualquier
base de datos.
Start session
Usuario
Password
Recordar Contraseña
Start Registro
• Característica de la contraseña:
• Confidencialidad de la contraseña:
La contraseña solo la debe manejar el usuario, no puede ser conocida por nadie más. Un
error muy común, es que los usuarios se prestan las contraseñas o que las escriben en
un papel y éste lo dejan pegado en el escritorio, lo que permite que cualquier otro usuario
conozca la contraseña, comprometiendo a la empresa y al propio dueño.
Un problema muy común entre los usuarios, es que difícilmente recuerdan contraseñas tan
elaboradas. También es muy común que se utilicen palabras muy obvias como el nombre,
el apellido, el nombre de usuario, el grupo musical preferido, la fecha de nacimiento, etc.,
que facilitan la tarea a quién quiere ingresar al sistema sin autorización.
Tipos de permisos
Registrar
Consultar
Modificar
Usuarios Rol
Procesar
Es el proceso de volver ilegible (encriptar) los datos que se transmiten. Una vez los
datos están encriptados solo pueden leerse aplicándole una clave generada según el
algoritmo de cifrado utilizado. Con esta técnica se asegura Autenticidad, Confidencialidad
e Integridad.
JUAN
3
Mensaje Cifrado del
original
1 resumen con
El resumen
cifrado es la
clave privada firma digital
del mensaje
2 Mensaje
firmado
Resumen
6 5
Comparación Obtención del
de resultados resumen de
mensaje
RECEPCIÓN
MARIO Resumen
Hash
<>
Resumen Resumen
Descifrado del
4 resumen con
clave pública
Texto
encriptado
Algoritmo de Algoritmo de
encriptación desencriptación
Resumen
Algoritmo de Comprobación
resumen de de firma
mensaje Clave prIvada (clave pública
del que envía del que envía)
Este tipo de servicio garantiza la participación de las partes en una comunicación. Existen
dos tipos de :
a) No repudio en origen: garantiza que la persona que envía el mensaje no puede negar
que es el emisor del mismo, debido a que el receptor tendrá pruebas del envío.
b) No repudio en destino: garantiza que la persona que recibe el mensaje no puede negar
que recibió el mensaje, porque el emisor tiene pruebas de la recepción del mismo.
Este servicio es muy importante en las transacciones comerciales por Internet, ya que
incrementa la confianza entre las partes en las comunicaciones y proporciona herramientas
para evitar que aquél que haya originado una transacción electrónica niegue haberla efectuado.
2. Controles de seguridad
Políticas de
seguridad
Desarrollo y Organización
mantenimiento de la
de sistemas seguridad
Gestión de Clasificación
comunicaciones y control de
y operaciones activos
Seguridad del
personal
Cumplimiento
Gestión de Seguridad
incidentes de física
seguridad
- Clasificar los activos a proteger, desde lo más críticos para el negocio de manera que
estos sean los más protegidos.
- Sensibilizar al personal que administra el sistema de información de los posibles
ataques, riesgos, problemas relacionados con la seguridad que pueden producirse.
- Elaborar las reglas o acciones a ejecutar en caso de que se produzca un ataque o se
materialice un riesgo, así como las personas involucradas.
- Definir los procedimientos para los servicios críticos.
Las medidas de control deben estar actualizadas, ser efectivas y funcionar en el momento
adecuado.
Características:
o Inventario de activos: todos los activos deben estar identificados y la entidad debe
elaborar y mantener un inventario de los mismos.
o Propiedad de los activos: los activos de información del inventario deben tener un
propietario.
o Clasificación de la información: la información se debería clasificar en función de su
criticidad, los requisitos legales, valor y susceptibilidad a divulgación o a modificación
no autorizada.
Se debe reducir los riesgos de error humano, robo, fraude o uso inadecuado de
instalaciones mediante la definición de responsabilidades del personal con respecto a la
seguridad de la información y definición de criterios de selección del personal.
Estrategias para reducir, a niveles aceptables, la interrupción causada por los desastres
y fallos de seguridad (fallas de equipos o acciones deliberadas, desastres naturales
o accidentes) mediante una combinación de controles preventivos y de recuperación.
2.9. Cumplimiento
3. Seguridad en plataformas
Es de ese análisis de donde salen los perfiles y permisos que van a configurarse en el
sistema de información, los accesos a las diferentes opciones, a sus datos y los horarios
en los cuales se va a autorizar su acceso.
Opc.1 Opc.1
ROL Opc.2 ROL Opc.2
´XXXXX´ Opc.3 ´XXXXX´ Opc.3
Opc.4 Opc.4
• Las claves deben tener fechas de inicio y caducidad de vigencia definidas, de tal
manera que sólo puedan ser utilizadas por un tiempo definido.
• Cambiar o actualizar claves, incluyendo reglas sobre cuándo y cómo deben cambiarse
las claves.
• Distribuir claves de forma segura a los usuarios que corresponda, incluyendo
información sobre cómo deben activarse cuando se reciban.
• Generar claves para diferentes sistemas criptográficos y diferentes aplicaciones.
• Recuperar claves pérdidas o alteradas como parte de la administración de la
continuidad de las actividades de la compañía, por ejemplo, para la recuperación de
la información cifrada.
• Registrar y auditar las actividades relativas a la administración de claves.
• Revocar claves, incluyendo cómo deben retirarse o desactivarse las mismas, por
ejemplo, cuando las claves están comprometidas o cuando un usuario se desvincula
de la compañía.
En este aspecto es clave tener presente que al usuario (actor) del sistema se le asignarán
permisos dependiendo de los procesos que maneje.
usuario XX usuario XX
Aprendiz Aprendiz
Aprendiz
Aspirante
CERTIFICACIÓN Equipo de diseño curricular CERTIFICACIÓN
Equipo desarrollo curricular
Gestor de Proyectos CERTIFICACIÓN
EJECUCIÓN DE LA Instructor Consultar constancias del aprendiz
Usuario Consultar motivos de rechazo
GESTIÓN DE AMBI Usuario SENA EVENTOS DE DIVULGACIÓN TECNOLÓGICA
El actor “instructor” puede Consultar las evidencias enviadas por el aprendiz, Guardar y
Actualizar el centro de calificaciones y tampoco tiene permitido realizar Borrado de datos
en el sistema.
Los sistemas Operativos (Windows, Unix, MacOs, Linux...) son los encargados de la
interacción entre los usuarios de los equipos de cómputo y los recursos informáticos, por
lo tanto, forman la primera línea de seguridad lógica.
La LBS incluye la revisión del modelo de autenticación, los servicios de sistema operativo
necesarios para la máquina y el esquema de permisos para los recursos del sistema
operativo.
Adicional a las medidas a implantar, en cada ambiente se deberán realizar los controles
necesarios para garantizar el control de acceso a los recursos del sistema. Los sistemas
deberán acceder únicamente a los archivos que les pertenecen para garantizar la
protección de los archivos en el disco duro, ningún programa podrá acceder a archivos
y/o carpetas en los sistemas que no sean de su propiedad.
- Identificación y autentificación.
- Control de acceso a los objetos (datos y recursos como consultas, procedimientos
almacenados, esquemas, funciones, Jobs, entre otros).
- Registro de auditoría.
- Protección criptográfica o encripción de alguno de los datos.
6. Seguridad de redes
Desde el punto de vista de seguridad una Red es “un entorno de computación con varios
computadores independientes comunicados entre sí”.
Vulnerabilidades:
- Autenticidad: no sólo hay que identificar a los usuarios sino también a los nodos.
- Disponibilidad: es muy fácil saturar una máquina lanzando ataques desde diversos
puntos de la Red.
- El mecanismo más utilizado para proporcionar seguridad en redes es la criptografía:
permite establecer conexiones seguras sobre canales inseguros.
Glosario
Autenticación: verificación que se realiza a la identidad del usuario.
Directorio Activo: Active Directory (AD) es el término que usa Microsoft para referirse
a su implementación de servicio de directorio en una red distribuida de computadores.
Su estructura jerárquica permite mantener una serie de objetos relacionados con
componentes de una red, como usuarios, grupos de usuarios, permisos y asignación de
recursos y políticas de acceso.
Hash: los hash o funciones de resumen son algoritmos que consiguen crear a partir
de una entrada (ya sea un texto, una contraseña o un archivo, por ejemplo) una salida
alfanumérica de longitud normalmente fija que representa un resumen de toda la
información que se le ha dado (es decir, a partir de los datos de la entrada crea una
cadena que sólo puede volverse a crear con esos mismos datos).
LDAP: son las siglas de Lightweight Directory Access Protocol (en español Protocolo
Ligero de Acceso a Directorios) que hacen referencia a un protocolo a nivel de aplicación
que permite el acceso a un servicio de directorio ordenado y distribuido para buscar
diversa información en un entorno de red.
Bibliografía
ICONTEC. (2013). Norma ISO-IEC-27001. Bogotá: Icontec.