DISEÑO DEMECANISMOS

DISEÑO DE MECANISMOSDE
DSEGURIDAD
E SEGURID Y ACONTROL
D Y C O N- TADSI
ROL

FAVA - Formación en Ambientes Virtuales de Aprendizaje

SENA - Servicio Nacional de Aprendizaje.

 Diseño de mecanismos de seguridad y control

Estructura de contenidos
Pág.
Introducción ................................................................................................. 3
Mapa de contenido ..................................................................................... 4
Desarrollo de contenidos ............................................................................ 5
1. Fundamentos de seguridad informática ................................................ 5
1.1. Integridad ............................................................................................. 6
1.2. Confidencialidad .................................................................................. 6
1.3. Disponibilidad ...................................................................................... 7
1.4. Autenticación ....................................................................................... 8
1.5. Control de acceso ................................................................................ 9
1.6. Cifrado de datos ................................................................................ 10
1.7. Firma digital ....................................................................................... 10
1.8. Controles criptográficos ..................................................................... 11
1.9. Servicios de no repudio .................................................................... 11
2. Controles de seguridad ........................................................................ 12
2.1. Políticas de seguridad ....................................................................... 13
2.2. Control de acceso .............................................................................. 14
2.3. Seguridad del personal ...................................................................... 14
2.4. Seguridad física y ambiental .............................................................. 14
2.5. Desarrollo y mantenimiento de sistemas ............................................ 15
2.6. Gestión de comunicaciones y operaciones ......................................... 15
2.7. Gestión del cambio  .............................................................................. 15
2.8. Administración de la continuidad de los negocios ............................. 15
2.9. Cumplimiento ..................................................................................... 16
3. Seguridad en plataformas ................................................................... 17
3.1. Desde el punto del control de accesos ............................................ 17
3.2. Desde el punto de comunicaciones y operaciones .......................... 18
4. Seguridad en sistemas operativos ..................................................... 19
5. Seguridad de bases de datos ............................................................ 20
6. Seguridad de redes ............................................................................. 21
Glosario ..................................................................................................... 22
Bibliografía ................................................................................................ 23
Control del documento ............................................................................. 24

FAVA - Formación en Ambientes Virtuales de Aprendizaje

SENA - Servicio Nacional de Aprendizaje. 2

 Diseño de mecanismos de seguridad y control

Diseño de mecanismos de seguridad y control

Introducción

Ante los avances en las tecnologías de la información y las comunicaciones (TICs) y la

expansión de internet, se ha incorporado sistemas informáticos en diferentes áreas como
la banca, el comercio, la industria, investigación, entre otros; también se ha evidenciado
una mayor cantidad de puntos vulnerables como el aumento de ataques informáticos; y el
acceso cada vez mayor a Internet, hace que dichos ataques puedan provenir de cualquier
lugar, es por esto, que se deben conocer estrategias que permitan que el principal activo
de una organización, que es su Información; esté menos expuesta a riegos de ataques,
fraudes, robos o suplantaciones. Así mismo, se da a conocer las protecciones más
comunes que toda compañía debe tener para resguardar sus datos.
​
En este recurso didáctico se presentan los objetivos al aplicar las normas de calidad en
la seguridad de la información, a nivel de sistemas operativos, redes, bases de datos y
sistemas de información. De aquí la importancia de recopilar y poner en práctica estas
normas que permitan diseñar y desarrollar sistemas de información más seguros.

FAVA - Formación en Ambientes Virtuales de Aprendizaje

SENA - Servicio Nacional de Aprendizaje. 3

 Diseño de mecanismos de seguridad y control

Mapa de contenido

FAVA - Formación en Ambientes Virtuales de Aprendizaje

SENA - Servicio Nacional de Aprendizaje. 4

 Diseño de mecanismos de seguridad y control

Desarrollo de contenidos
1. Fundamentos de seguridad informática

La Seguridad de la información comprende la protección de información ante la revelación

no autorizada, de su modificación, de su eliminación o destrucción intencional o accidental
o la No disponibilidad de procesar esa información.

Es por ello, que para Evaluar la seguridad de los sistemas de información se requiere
que, en las diferentes fases del ciclo de vida de los sistemas de información, se planteen
protocolos claros que permitan lograr un buen nivel de calidad en el software.

Para el diseño de estos mecanismos de seguridad y control, se debe ir de la mano de la

seguridad informática, es por ello que en este tema tocaremos varios conceptos claves,
como son:

Diseño de autorización: en este ítem se deben definir los roles, permisos y privilegios
de la aplicación.

Diseño de autenticación: aquí se debe diseñar el modo en el que los usuarios se van a
autenticar, contemplando aspectos tales como los mecanismos o factores de autenticación
con contraseñas, tokens, certificados, etc. También, y dependiendo del tamaño de la
organización, se puede pensar en la posibilidad de integrar la autenticación con servicios
externos como LDAP, Radius o Active Directory y mecanismos que tendrá la aplicación
para evitar ataques de diccionario o de fuerza bruta.

Diseño de los mensajes de error y advertencia: al diseñar estos mensajes se debe evitar
que los mismos brinden demasiada información y que ésta sea utilizada por atacantes.

Diseño de los mecanismos de protección de datos: se debe contemplar el modo en

el que se protegerá la información sensible en tránsito o almacenada; según el caso, se
puede definir la implementación de encriptación, hash o truncamiento de la información.

Un sistema informático está compuesto por elementos software, hardware, datos y

personas que permiten el almacenamiento, procesamiento y transmisión de información.

Algunos de los elementos de un sistema de información que son vulnerables:

• Software: denegación de Servicios, Scripts maliciosos, Ausencia de Certificados

digitales “SSL”, Virus, Gusanos, Troyanos, Malware, Rasomware, Phishing, entre
otros.

FAVA - Formación en Ambientes Virtuales de Aprendizaje

SENA - Servicio Nacional de Aprendizaje. 5

 Diseño de mecanismos de seguridad y control

• Hardware: A nivel de Centros de Procesamiento de Datos tenemos: Indisponibilidad de

UPS o fallas en sistemas de alimentación eléctrica, Sistemas contra incendios, Fallas
o ineficiente configuración de firewalls, VPNs, Accesos no autorizados a Centros de
Procesamiento de datos, entre otros.

• Datos: son los ataques más sencillos de practicar y, por lo tanto, donde más se
necesita la aplicación de estrategias de seguridad.

Se define como Seguridad Informática, como el conjunto de directrices, estrategias,

procedimientos, y herramientas que permiten garantizar la integridad, la disponibilidad
y la confidencialidad de la información de una compañía. El objetivo de la Seguridad
Informática es asegurar que los recursos informáticos sean utilizados de acuerdo a las
normas organizacionales y que el acceso a la información allí contenida, así como su
eliminación o modificación, sólo sea posible por las personas autorizadas y según sus
permisos otorgados.

1.1. Integridad

Hace referencia a que los datos no sufran cambios no autorizados o que sean modificados.
La pérdida de integridad puede originar decisiones erróneas o fraudes.
El sistema de información debe de proteger modificaciones imprevistas, no autorizadas
o accidentales, para ello se debe identificar muy bien los perfiles o roles de los usuarios,
los permisos de acceso para la manipulación de los datos.
Flujo normal de la información Violación de la integridad
CANAL SEGURO

Flujo normal
Emisor Receptor

Emisor Receptor Modificación

(Tampering)

Figura 1. Flujo normal de la información. Figura 2. Violación de la Integridad

Fuente: Gascó, E. (2013). Seguridad Informática. Macmillan Iberia, S.A.

1.2. Confidencialidad

Hace referencia a la protección de datos frente a la distribución o difusión no autorizada. La

pérdida de confidencialidad puede resultar en problemas legales o de credibilidad. Entre
los ejemplos de pérdidas de datos tenemos: divulgación no autorizada de información
personal o confidencial de la compañía.

FAVA - Formación en Ambientes Virtuales de Aprendizaje

SENA - Servicio Nacional de Aprendizaje. 6

 Diseño de mecanismos de seguridad y control

El sistema de información debe de proteger estas pérdidas por medio de las autorizaciones
de su uso, módulos permitidos y horarios establecidos y autorizados.
Violación de la confidencialidad

Emisor Receptor

Intercepción

Figura 3. Violación de la Confidencialidad.

Fuente: Gascó, E. (2013). Seguridad Informática. Macmillan Iberia, S.A.

1.3. Disponibilidad

Hace referencia a la disponibilidad y continuidad de la operación de la compañía. La

pérdida de Disponibilidad puede implicar, la pérdida de productividad o de credibilidad de
la compañía.

Violación de la disponibilidad

Emisor Receptor

Interrupción

Figura 4. Violación de la Confidencialidad.

Fuente: Gascó, E. (2013). Seguridad Informática. Macmillan Iberia, S.A.

El sistema de información debe de tener medidas de seguridad cuyo objetivo fundamental

es reducir cualquier riesgo asociado, algunas de estas medidas de seguridad pueden ser:

FAVA - Formación en Ambientes Virtuales de Aprendizaje

SENA - Servicio Nacional de Aprendizaje. 7

 Diseño de mecanismos de seguridad y control

• Identificación y autenticación de usuarios.

• Control de flujo de información.
• Confidencialidad.
• Integridad.

Estas medidas de seguridad se ponen en práctica mediante mecanismos de protección

como:

1.4. Autenticación

Este término se refiere a la verificación que se realiza a la identidad del usuario; este
proceso generalmente se lleva a cabo cuando se ingresa al sistema, a la red o a cualquier
base de datos.

Normalmente para ingresar a cualquier sistema informático se utiliza un nombre de

usuario y una contraseña, aunque actualmente se están utilizando técnicas más seguras,
como una tarjeta magnética, o por huellas digitales, la utilización de más de un método a
la vez disminuye el riesgo de ataques a la seguridad de la información.

Start session

Usuario

Password

I´m not a robot

reCAPTCHA
Privacy - Terms

Recordar Contraseña
Start Registro

Existen otros tipos de Autenticación, donde se confronta la información contenida en

bases de datos y cuestionarios de validación de identidad por medio de preguntas y
respuestas respecto a información autorizada y proporcionada a organismos nacionales
y financieros de orden nacional que solamente el usuario conoce. Ante el surgimiento
de código malicioso, donde existen robots informáticos que simulan el acceso de un
usuario a un sistema informático, han surgido otra característica llamada CAPTCHA
que permite validar si es un usuario real quien está intentando acceder al sistema. Para
esta validación el CAPTCHA muestra una serie de imágenes y una pregunta para que el
usuario seleccione las imágenes correspondientes a la pregunta realizada. Por ejemplo,
seleccionar todas las imágenes de “Coches”.

FAVA - Formación en Ambientes Virtuales de Aprendizaje

SENA - Servicio Nacional de Aprendizaje. 8

 Diseño de mecanismos de seguridad y control

Al momento de construir la contraseña de autenticación del sistema tenga en cuenta las

siguientes recomendaciones:

• Característica de la contraseña:

o Tamaño: número de caracteres, que debe de contener la contraseña. Se recomienda

mínimo 6 caracteres.
o Complejidad: combinación de caracteres, símbolos especiales, números y
Mayúsculas.
o Vigencia: se debe de establecer un tiempo límite de vigencia de la contraseña, por
ejemplo: Vigencia de tres meses.

• Confidencialidad de la contraseña:

La contraseña solo la debe manejar el usuario, no puede ser conocida por nadie más. Un
error muy común, es que los usuarios se prestan las contraseñas o que las escriben en
un papel y éste lo dejan pegado en el escritorio, lo que permite que cualquier otro usuario
conozca la contraseña, comprometiendo a la empresa y al propio dueño.

Un problema muy común entre los usuarios, es que difícilmente recuerdan contraseñas tan
elaboradas. También es muy común que se utilicen palabras muy obvias como el nombre,
el apellido, el nombre de usuario, el grupo musical preferido, la fecha de nacimiento, etc.,
que facilitan la tarea a quién quiere ingresar al sistema sin autorización.

1.5. Control de acceso

Hace referencia a los permisos autorizados a un usuario en particular, basado en perfiles

o roles. Una vez el usuario se autentica y se obtiene el acceso a la aplicación, el sistema
de información debe de poder habilitar las opciones del mismo, según los permisos y
autorizaciones asignadas por el administrador del sistema. De esta manera, se logra
una mayor granularidad en las opciones permitidas, de manera que el usuario solo tiene
acceso a los módulos permitidos dando un mayor nivel de seguridad al sistema.

Tipos de permisos

Registrar

Consultar

Modificar
Usuarios Rol
Procesar

FAVA - Formación en Ambientes Virtuales de Aprendizaje

SENA - Servicio Nacional de Aprendizaje. 9

 Diseño de mecanismos de seguridad y control

1.6. Cifrado de datos

Es el proceso de volver ilegible (encriptar) los datos que se transmiten. Una vez los
datos están encriptados solo pueden leerse aplicándole una clave generada según el
algoritmo de cifrado utilizado. Con esta técnica se asegura Autenticidad, Confidencialidad
e Integridad.

1.7. Firma digital

Es un mecanismo similar a la firma manuscrita que garantiza la identidad y responsabilidad

del autor de un documento o transacción electrónica y permite comprobar la integridad de
que la información no ha sido alterada.

La firma digital tiene la capacidad de incorporar confidencialidad, es decir, que la

información solo es conocida por el emisor y el receptor autorizados. La firma electrónica
se guarda o almacena de manera segura en un dispositivo criptográfico.

Las firmas digitales proporcionan un medio de protección de la autenticidad e integridad

de los documentos electrónicos. Se implementan mediante el uso de una técnica
criptográfica sobre la base de dos claves relacionadas de manera única, donde una
clave, denominada privada, se utiliza para crear una firma y la otra, denominada pública,
para verificarla.

JUAN

Hash Resumen Resumen

ENVIO

3
Mensaje Cifrado del
original
1 resumen con
El resumen
cifrado es la
clave privada firma digital
del mensaje
2 Mensaje
firmado
Resumen
6 5
Comparación Obtención del
de resultados resumen de
mensaje
RECEPCIÓN

MARIO Resumen

Hash

<>
Resumen Resumen

Descifrado del
4 resumen con
clave pública

FAVA - Formación en Ambientes Virtuales de Aprendizaje

SENA - Servicio Nacional de Aprendizaje. 10

 Diseño de mecanismos de seguridad y control

1.8. Controles criptográficos

Texto claro Texto claro

Texto
encriptado
Algoritmo de Algoritmo de
encriptación desencriptación

Los controles criptográficos usan algoritmos de cifrado como técnicas criptográficas

para la protección de la información que es riesgosa para la compañía, con el objeto de
asegurar una adecuada protección de la confidencialidad e integridad.

1.9. Servicios de no repudio

Mensaje

Resumen del Encriptación

mensaje

Resumen

Algoritmo de Comprobación
resumen de de firma
mensaje Clave prIvada (clave pública
del que envía del que envía)

Este tipo de servicio garantiza la participación de las partes en una comunicación. Existen
dos tipos de :

a) No repudio en origen: garantiza que la persona que envía el mensaje no puede negar
que es el emisor del mismo, debido a que el receptor tendrá pruebas del envío.
b) No repudio en destino: garantiza que la persona que recibe el mensaje no puede negar
que recibió el mensaje, porque el emisor tiene pruebas de la recepción del mismo.

Este servicio es muy importante en las transacciones comerciales por Internet, ya que
incrementa la confianza entre las partes en las comunicaciones y proporciona herramientas
para evitar que aquél que haya originado una transacción electrónica niegue haberla efectuado.

FAVA - Formación en Ambientes Virtuales de Aprendizaje

SENA - Servicio Nacional de Aprendizaje. 11

 Diseño de mecanismos de seguridad y control

2. Controles de seguridad

Para gestionar de forma adecuada la seguridad de la información se han desarrollado

un conjunto de normas o estándares que se han convertido en el marco para gestionar,
mejorar e implantar un Sistema de Gestión de la Seguridad de la información “SGS”.
Son las normas ISO/IEC 27001, desarrolladas por la ISO (International Organization for
Standarization) e IEC (International Electrotechnical Commission).

El siguiente gráfico hace un resumen de la norma:

Políticas de
seguridad
Desarrollo y Organización
mantenimiento de la
de sistemas seguridad

Gestión de Clasificación
comunicaciones y control de
y operaciones activos

Alcance de la Norma ISO 27001

Administración Sistema de Gestión de la Calidad Control de
accesos
de la conntinuidad
del negocio

Seguridad del
personal
Cumplimiento

Gestión de Seguridad
incidentes de física
seguridad

FAVA - Formación en Ambientes Virtuales de Aprendizaje

SENA - Servicio Nacional de Aprendizaje. 12

 Diseño de mecanismos de seguridad y control

2.1. Políticas de seguridad

Son una serie de lineamientos o protocolos a seguir para la protección de la seguridad

del sistema y los mecanismos para controlar su funcionamiento. Pretende concientizar
a los miembros de una compañía sobre la importancia y sensibilidad de la información y
los procesos críticos.

Aspectos a tener en cuenta en una política de seguridad:

- Clasificar los activos a proteger, desde lo más críticos para el negocio de manera que
estos sean los más protegidos.
- Sensibilizar al personal que administra el sistema de información de los posibles
ataques, riesgos, problemas relacionados con la seguridad que pueden producirse.
- Elaborar las reglas o acciones a ejecutar en caso de que se produzca un ataque o se
materialice un riesgo, así como las personas involucradas.
- Definir los procedimientos para los servicios críticos.

Las medidas de control deben estar actualizadas, ser efectivas y funcionar en el momento
adecuado.

Organización de la Seguridad: busca administrar la seguridad de la información dentro

de la organización mediante el establecimiento de órdenes claras y asignación de
responsabilidades de la seguridad de la información.
Características a considerar:

• Creación del comité de seguridad.

• Asignación del responsable de seguridad.
• Acuerdos de confidencialidad de la información con terceros.

Clasificación y Control de Activos: su objetivo es lograr y mantener una apropiada

protección de los activos organizacionales. Todos los activos debieran ser inventariados
y contar con un “doliente” o propietario asignado. Los propietarios debieran identificar
todos los activos y tienen responsabilidad por la protección apropiada de los activos.

Características:

o Inventario de activos: todos los activos deben estar identificados y la entidad debe
elaborar y mantener un inventario de los mismos.
o Propiedad de los activos: los activos de información del inventario deben tener un
propietario.
o Clasificación de la información: la información se debería clasificar en función de su
criticidad, los requisitos legales, valor y susceptibilidad a divulgación o a modificación
no autorizada.

FAVA - Formación en Ambientes Virtuales de Aprendizaje

SENA - Servicio Nacional de Aprendizaje. 13

 Diseño de mecanismos de seguridad y control

o Etiquetado y manipulación de la información: procedimientos para el etiquetado de la

información, de acuerdo con el esquema de clasificación de información adoptado por
la organización.

2.2. Control de acceso

Se debe controlar el acceso a la información y los procesos de negocio tomando como

referencia los requerimientos de la seguridad y los negocios. Actualmente se tienen
disponibles recursos como los firewalls, los VPN, las IPS y los dispositivos biométricos.

2.3. Seguridad del personal

Hace referencia a otra situación potencialmente peligrosa y es la dependencia hacia

cierto tipo de personal clave (personas con conocimientos técnicos) y que en la mayoría
de los casos están dentro de la misma empresa. Fallas en controles internos o falta de
cláusulas de confidencialidad o de buen uso de la información corporativa en los contratos
de trabajo, pueden ocasionar puertas abiertas y vulnerabilidad a todos los sistemas de la
compañía.

Se debe reducir los riesgos de error humano, robo, fraude o uso inadecuado de
instalaciones mediante la definición de responsabilidades del personal con respecto a la
seguridad de la información y definición de criterios de selección del personal.

2.4. Seguridad física y ambiental

Su función principal es proteger los activos de información de amenazas físicas: el acceso

no autorizado, daños e interferencia a las sedes y centros informáticos de la empresa,
indisponibilidades y los perjuicios causados por la acción humana, además de eventos
ambientales perjudiciales.

Áreas seguras Seguridad de Controles

los equipos generales

Perímetro de Instalación y Política de

seguridad protección pantallas y
mesas limpias
Control de Electricidad
accesos Salidas de
Cableado equipos o
Oficinas y información
despachos
Mantenimiento
El trabajo en
áreas seguras Seguridad fuera
de la oficina
Zonas de carga
y descarga Reutiización o
eliminación

FAVA - Formación en Ambientes Virtuales de Aprendizaje

SENA - Servicio Nacional de Aprendizaje. 14

 Diseño de mecanismos de seguridad y control

2.5. Desarrollo y mantenimiento de sistemas

Se debe asegurar que el sistema de información pueda funcionar correctamente para

lo que fue construido y evitando el acceso de intrusos, para ello se deben incorporar
medidas de seguridad en los aplicativos.

La seguridad en las aplicaciones comprende la Validación de ingreso de datos,

Autenticación de usuarios y perfiles de acceso, Autenticación de mensajes, Validación
de los datos de salida, Uso de encriptación, firmas digitales, certificados digitales “SSL”,
Servicios de no repudio, entre otros.

2.6. Gestión de comunicaciones y operaciones

Busca garantizar el funcionamiento correcto y seguro de las instalaciones o centros

de datos, para ello se deben establecer procedimientos de operación apropiados para
reducir el riesgo del mal uso de estas instalaciones.

Los procedimientos de operación se deben de documentar, mantener y poner a disposición

de los usuarios que los necesiten. Por ejemplo, los procedimientos de encender y apagar
servidores o determinados equipos, copias de seguridad y restauración, mantenimiento
a los equipos, procesamiento y manejo de información, manejo del correo y seguridad
entre otros.

2.7. Gestión del cambio

Controla los cambios sistemas de procesamiento de la información. Los sistemas

operacionales y el software de aplicación deben estar sujetos a un estricto control
gerencial del cambio. Cuando se realizan los cambios, se debe de mantener un registro
de auditoria conteniendo toda la información relevante:

o Identificación y registro de cambios significativos.

o Evaluación de los impactos de los cambios, incluyendo los impactos de seguridad.
o Procedimiento de aprobación formal para los cambios propuestos.
o Comunicación de los detalles del cambio para todas las personas interesadas.
o Planeación y prueba de cambios.
o Procedimientos de emergencia y respaldo, incluyendo los procedimientos y
responsabilidades para recuperarse de cambios fallidos y eventos.

2.8. Administración de la continuidad de los negocios

Estrategias para reducir, a niveles aceptables, la interrupción causada por los desastres
y fallos de seguridad (fallas de equipos o acciones deliberadas, desastres naturales
o accidentes) mediante una combinación de controles preventivos y de recuperación.

FAVA - Formación en Ambientes Virtuales de Aprendizaje

SENA - Servicio Nacional de Aprendizaje. 15

 Diseño de mecanismos de seguridad y control

Reaccionar ante la interrupción de actividades del negocio y proteger sus procesos

críticos frente a desastres o grandes fallos de los sistemas de información.

Hace énfasis en la Alta disponibilidad de los servicios informáticos, replicación de datos

en sites o sitios alternos.

2.9. Cumplimiento

Verifica la compatibilidad del sistema de gestión de seguridad de la información con las

leyes del derecho civil y penal actuales.

• Gestión de incidentes de seguridad: busca minimizar el impacto causado por un

problema (riesgo de seguridad ya materializado), es decir ocurrió una falla de seguridad.
Para ello se deben definir procedimientos claros que permitan realizar la investigación
e identificar el origen del riesgo, así como las acciones para solucionarlo.

Dependiendo del tamaño de la organización se habla de computación forense y se manejan

Equipos de respuesta a incidentes los cuales, actualmente, toman como referente una
serie de documentos de interés general sobre seguridad de la información, conocidos
como “serie 800 del NIST”, algunas de ellas son, NIST SP800-61 Y NIST SP800-94.

FAVA - Formación en Ambientes Virtuales de Aprendizaje

SENA - Servicio Nacional de Aprendizaje. 16

 Diseño de mecanismos de seguridad y control

3. Seguridad en plataformas

Los capítulos correspondientes al “control de Acceso” y “Gestión de Comunicaciones

y Operaciones” de la norma ISO 27001, son los encargados de presentar algunos
parámetros a tener en cuenta al momento de definir protocolos para la seguridad de las
plataformas de la organización.

Es de vital importancia el análisis de riesgos a las plataformas para minimizarlos

adecuadamente con medidas de arquitectura de seguridad, algunos de los aspectos a
considerar son:

3.1. Desde el punto del control de accesos

Se deben definir estrategias para:

• La administración de acceso a los usuarios.
• Control de acceso al Sistema Operativo.
• Control de acceso a las aplicaciones.

Desde el momento que se inicia el proceso de definición de requerimientos y el análisis

de procesos y datos, se identifican diferentes actores (usuarios) con sus respectivas
responsabilidades dentro del sistema de información.

Es de ese análisis de donde salen los perfiles y permisos que van a configurarse en el
sistema de información, los accesos a las diferentes opciones, a sus datos y los horarios
en los cuales se va a autorizar su acceso.

Opc.1 Opc.1
ROL Opc.2 ROL Opc.2
´XXXXX´ Opc.3 ´XXXXX´ Opc.3
Opc.4 Opc.4

Opc.2 Opc.2 Opc.2 Opc.4 Opc.4 Opc.4

Opc.3 Opc.3 Opc.3
Opc.4

FAVA - Formación en Ambientes Virtuales de Aprendizaje

SENA - Servicio Nacional de Aprendizaje. 17

 Diseño de mecanismos de seguridad y control

Se redactarán procedimientos necesarios para:

• Las claves deben tener fechas de inicio y caducidad de vigencia definidas, de tal
manera que sólo puedan ser utilizadas por un tiempo definido.
• Cambiar o actualizar claves, incluyendo reglas sobre cuándo y cómo deben cambiarse
las claves.
• Distribuir claves de forma segura a los usuarios que corresponda, incluyendo
información sobre cómo deben activarse cuando se reciban.
• Generar claves para diferentes sistemas criptográficos y diferentes aplicaciones.
• Recuperar claves pérdidas o alteradas como parte de la administración de la
continuidad de las actividades de la compañía, por ejemplo, para la recuperación de
la información cifrada.
• Registrar y auditar las actividades relativas a la administración de claves.
• Revocar claves, incluyendo cómo deben retirarse o desactivarse las mismas, por
ejemplo, cuando las claves están comprometidas o cuando un usuario se desvincula
de la compañía.

3.2. Desde el punto de comunicaciones y operaciones

Se deben tener en cuenta los siguientes parámetros:

• Control de cambio de las operaciones.

• Procedimiento de manejo de incidentes.
• Separación de funciones.
• Separación de ambientes de desarrollo, pruebas y producción.
• Instalación de nuevos servidores.
• Controles contra software malicioso.
• Registro de actividades de los usuarios administradores.
• Registro de fallas.
• Eliminación de medios de almacenamiento.
• Seguridad del comercio electrónico.
• Seguridad del correo electrónico.
• Seguridad en los equipos de oficina.

FAVA - Formación en Ambientes Virtuales de Aprendizaje

SENA - Servicio Nacional de Aprendizaje. 18

 Diseño de mecanismos de seguridad y control

En este aspecto es clave tener presente que al usuario (actor) del sistema se le asignarán
permisos dependiendo de los procesos que maneje.

usuario XX usuario XX

Aprendiz Aprendiz
Aprendiz
Aspirante
CERTIFICACIÓN Equipo de diseño curricular CERTIFICACIÓN
Equipo desarrollo curricular
Gestor de Proyectos CERTIFICACIÓN
EJECUCIÓN DE LA Instructor Consultar constancias del aprendiz
Usuario Consultar motivos de rechazo
GESTIÓN DE AMBI Usuario SENA EVENTOS DE DIVULGACIÓN TECNOLÓGICA

Un ejemplo muy puntual es el aplicativo SOFIA PLUS, al actor “aprendiz” se le permite

Consultar constancias y horarios, Guardar o salvar evidencias en las fechas estipuladas,
Actualizar evidencias una vez el instructor le ha configurado una nueva disponibilidad
para la evidencia, y no está permitido Eliminar nada.

El actor “instructor” puede Consultar las evidencias enviadas por el aprendiz, Guardar y
Actualizar el centro de calificaciones y tampoco tiene permitido realizar Borrado de datos
en el sistema.

4. Seguridad en sistemas operativos

Los sistemas Operativos (Windows, Unix, MacOs, Linux...) son los encargados de la
interacción entre los usuarios de los equipos de cómputo y los recursos informáticos, por
lo tanto, forman la primera línea de seguridad lógica.

Un sistema operativo “seguro” debería contemplar:

- Identificación y autentificación de los usuarios.

- Auditoría de los eventos de posible riesgo.
- Control de acceso a los recursos del sistema.
- Garantía de la disponibilidad de los recursos.
- Monitorizar las acciones realizadas por los usuarios, sobre todo las que sean sensibles
desde el punto de vista de seguridad.
- Garantía de integridad de los datos almacenados.

Antes de realizar estas configuraciones, pensemos ¿Cómo combinar el modelo de

autenticación, servicios inseguros y controles de acceso de tal manera que los riesgos
resultantes sean mínimos?

FAVA - Formación en Ambientes Virtuales de Aprendizaje

SENA - Servicio Nacional de Aprendizaje. 19

 Diseño de mecanismos de seguridad y control

La respuesta se encuentra en la LINEA BASE DE SEGURIDAD (LBS), donde se define

la configuración de seguridad necesaria para que, sin el uso de medidas adicionales de
arquitectura de seguridad como firewalls e IPS, los riesgos de seguridad de la plataforma
sean minimizados.

La LBS incluye la revisión del modelo de autenticación, los servicios de sistema operativo
necesarios para la máquina y el esquema de permisos para los recursos del sistema
operativo.

Adicional a las medidas a implantar, en cada ambiente se deberán realizar los controles
necesarios para garantizar el control de acceso a los recursos del sistema. Los sistemas
deberán acceder únicamente a los archivos que les pertenecen para garantizar la
protección de los archivos en el disco duro, ningún programa podrá acceder a archivos
y/o carpetas en los sistemas que no sean de su propiedad.

Esto deberá cumplirse independientemente del lugar donde se encuentren alojadas

las aplicaciones; que pueden ser, en Servidores de Aplicaciones o en Computadoras
de Escritorio. Los archivos propios de cada aplicación deberán guardarse en lugares
predefinidos.

En el caso de las aplicaciones alojadas en servidores deberá acordarse un lugar donde

la aplicación deberá acceder, Los servidores de aplicaciones solo deberán acceder a
los archivos que le pertenecen, y deberá mantenerse el debido aislamiento entre las
aplicaciones de un mismo servidor de aplicaciones y entre los recursos que utilizan.

5. Seguridad de bases de datos

Es el propio Sistema de Gestión de Bases de Datos (SGBD) el que proporciona la

seguridad de las bases de datos.

Un SGBD debe mantener los tres criterios básicos:

- Confidencialidad.
- Integridad.
- Disponibilidad.

La seguridad en Bases de Datos se implementa mediante mecanismos de:

- Identificación y autentificación.
- Control de acceso a los objetos (datos y recursos como consultas, procedimientos
almacenados, esquemas, funciones, Jobs, entre otros).
- Registro de auditoría.
- Protección criptográfica o encripción de alguno de los datos.

FAVA - Formación en Ambientes Virtuales de Aprendizaje

SENA - Servicio Nacional de Aprendizaje. 20

 Diseño de mecanismos de seguridad y control

6. Seguridad de redes

Desde el punto de vista de seguridad una Red es “un entorno de computación con varios
computadores independientes comunicados entre sí”.

Las redes suponen un incremento:

- Cuantitativo: el número de computadores a proteger se dispara.
- Cualitativo: aparecen un conjunto de nuevas vulnerabilidades y amenazas.
- La “explosión” de Internet es el cambio más significativo en el mundo informático en
los últimos años.
- Internet también puede considerarse como la revolución más importante en el mundo
de la información desde la aparición de la imprenta.

Vulnerabilidades:

- Privacidad: es más difícil de mantener debido a:

• Aumento de posibles usuarios que pueden penetrar en cada nodo.
• Aumento de los puntos en que la información puede ser interceptada.
- Integridad:

La transmisión de la información supone un riesgo claro.

- Autenticidad: no sólo hay que identificar a los usuarios sino también a los nodos.
- Disponibilidad: es muy fácil saturar una máquina lanzando ataques desde diversos
puntos de la Red.
- El mecanismo más utilizado para proporcionar seguridad en redes es la criptografía:
permite establecer conexiones seguras sobre canales inseguros.

FAVA - Formación en Ambientes Virtuales de Aprendizaje

SENA - Servicio Nacional de Aprendizaje. 21

 Diseño de mecanismos de seguridad y control

Glosario
Autenticación: verificación que se realiza a la identidad del usuario.

Directorio Activo: Active Directory (AD) es el término que usa Microsoft para referirse
a su implementación de servicio de directorio en una red distribuida de computadores.
Su estructura jerárquica permite mantener una serie de objetos relacionados con
componentes de una red, como usuarios, grupos de usuarios, permisos y asignación de
recursos y políticas de acceso.

Encripción: es un proceso para convertir la información a un formato más seguro. En

otras palabras, los datos que están en un formato claro, o sea entendible, se convierten
mediante un proceso matemático a un formato encriptado o codificado, o sea ininteligible.
Una vez que llegan a su destino, se decodifican para poder ser legibles de nuevo, se
desencriptan.

Firma digital: proporcionan un medio de protección de la autenticidad e integridad de los

documentos electrónicos.

Granularidad fina: implica que se adquieren muchos recursos para administrar el

bloqueo, pero se asegura la consistencia de los datos.

Hash: los hash o funciones de resumen son algoritmos que consiguen crear a partir
de una entrada (ya sea un texto, una contraseña o un archivo, por ejemplo) una salida
alfanumérica de longitud normalmente fija que representa un resumen de toda la
información que se le ha dado (es decir, a partir de los datos de la entrada crea una
cadena que sólo puede volverse a crear con esos mismos datos).

ISO27001: Sistema de Gestión de Seguridad de la Información.

LDAP: son las siglas de Lightweight Directory Access Protocol (en español Protocolo
Ligero de Acceso a Directorios) que hacen referencia a un protocolo a nivel de aplicación
que permite el acceso a un servicio de directorio ordenado y distribuido para buscar
diversa información en un entorno de red.

FAVA - Formación en Ambientes Virtuales de Aprendizaje

SENA - Servicio Nacional de Aprendizaje. 22

 Diseño de mecanismos de seguridad y control

Bibliografía
ICONTEC. (2013). Norma ISO-IEC-27001. Bogotá: Icontec.

Pressman, R. (2010). Ingeniería del software, un enfoque práctico. Bogotá: McGraw-Hill.

Sommerville. (2005). Ingeniería del software. Madrid: Pearson Bourque.

FAVA - Formación en Ambientes Virtuales de Aprendizaje

SENA - Servicio Nacional de Aprendizaje. 23

 Diseño de mecanismos de seguridad y control

Control del documento

FAVA - Formación en Ambientes Virtuales de Aprendizaje

SENA - Servicio Nacional de Aprendizaje. 24