Administración del control de accesos, adecuado a los

sistemas de información

¿Qué es el control de accesos? El control de acceso

implica quién tiene acceso a sistemas informáticos
específicos y recursos en un momento dado. El concepto de
control de acceso consta de tres pasos. Estos pasos son la
identificación, autenticación y
autorización. Con el uso de estos tres principios un
administrador del sistema puede controlar que recursos
están disponibles para los usuarios de un sistema.
OBJETIVOS DEL CONTROL DE ACCESO Impedir el acceso no autorizado a
los sistemas de información, bases de datos y servicios de
información. Implementar seguridad en los accesos de
usuarios por medio de técnicas de autenticación y
autorización. Controlar la seguridad en la conexión
entre la red del Organismo y otras redes públicas o
privadas. Registrar y revisar eventos y actividades
críticas llevadas a cabo por los usuarios en los sistemas.
Concientizar a los usuarios respecto de su responsabilidad frente
a la utilización de contraseñas y equipos.
Garantizar la seguridad de la información cuando se
utiliza computación móvil e instalaciones de
trabajo remoto.
PRINCIPIOS DEL CONTROL DE ACCESO Uno de los principios que deben
incorporarse al establecer una política de control de
acceso eficaz es la práctica de un acceso mínimo o
menos privilegios. Lo que esto significa es que un usuario debe
tener la menor cantidad de acceso requerido para hacer su
trabajo. El principio del menor privilegio incluye la
limitación de los recursos y aplicaciones accesibles por
el usuario, así como el acceso en tiempo permitido. Por,
ejemplo, a veces, puede no ser aconsejable permitir el acceso a
los registros financieros a las 3:00 am por la mañana,
cuando las instalaciones deberían estar cerradas.
PASOS PARA UN CONTROL DE ACCESO La identificación se
refiere las cosas como nombres de usuario y tarjetas de
identificación. Es el medio por el cual un usuario del
sistema identifica quiénes son. Este paso se realiza
generalmente al iniciar sesión. La autenticación es
el segundo paso del proceso de control de acceso.
Contraseñas, reconocimiento de voz, y escáneres
biométricos son métodos comunes de
autenticación. El objetivo de la autenticación es
para verificar la identidad del usuario del sistema. La
autorizacion se produce después de que un usuario del
sistema se autentica y luego es autorizado a utilizar el sistema.
El usuario esta generalmente sólo autorizado a usar una
porción de los recursos del sistema en función de
su papel en la organización. Por ejemplo, el personal de
ingeniería tiene acceso a diferentes aplicaciones y
archivos que el personal de finanzas, o recursos humanos
no.
TIPOS DE CONTROL DE ACCESOS Gestión de accesos de usuario
Control de accesos al sistema operativo Control de acceso a la
información y aplicaciones Control de accesos en red
TIPOS DE CONTROL DE ACCESOSGestión de accesos de usuario
Registro de usuarios Gestión de privilegios Gestión
de contraseñas de usuario Revisión de los derechos
de acceso de los usuarios
TIPOS DE CONTROL DE ACCESOS Control de accesos al sistema
operativo Procedimientos de conexión de terminales
Identificación y autenticación de los usuarios
Sistema de gestión de contraseñas
Utilización de utilidades del sistema Timeout de sesiones
Limitación del tiempo de conexión
TIPOS DE CONTROL DE ACCESOS Control de acceso a la
información y aplicaciones Restricción de acceso a
la información Aislamiento de sistemas sensibles
TIPOS DE CONTROL DE ACCESOS Control de accesos en red
Política de uso de los servicios de red
Autenticación para conexiones externas
Identificación de equipos en la red Protección a
puertos de diagnóstico remoto y configuración
Segregación en las redes Control de conexión a las
redes Control de enrutamiento en red
METODOS DE CONTROL DE ACCESOS Contraseñas Certificados
Limitación del tiempo de conexión Control de acceso
a las aplicaciones Restricciones por IP Dispositivos Biometricos
ETC…
ASIGNACION DE PRIVILEGIOS El objetivo es asegurar el acceso
autorizado de usuario y prevenir accesos no autorizados a los
sistemas de información. Debería restringirse y
controlarse el uso y asignación de privilegios:
identificar los privilegios; asignar privilegios a los individuos
según los principios de “necesidad de uso”;
mantener un proceso de autorización y un registro de todos
los privilegios asignados. No se otorgarán privilegios
hasta que el proceso de autorización haya concluido;
promover el desarrollo y uso de rutinas del sistema; promover el
desarrollo y uso de programas; asignar los privilegios a un
identificador de usuario distinto al asignado para un uso normal.
Un uso inapropiado de los privilegios puede ser causa de
fallas.
REQUERIMIENTOS LEGALES Ley Orgánica de
Protección de Datos Real Decreto 994/1999 que desarrolla
el Reglamento de Medidas de Seguridad
REQUERIMIENTOS LEGALES Es importante señalar que tanto la
Ley Orgánica como el Real Decreto 994/1999 que desarrolla
el Reglamento de Medidas de Seguridad ligan el concepto
de seguridad de los datos a los conceptos de:
a) Confidencialidad: entendido como el acceso
autorizado a los datos. b) Exactitud: la
información no debe sufrir alteraciones no deseadas, en
cuanto a su contenido. c) Disponibilidad: sólo
las personas autorizadas pueden tener acceso a la
información.
REQUERIMIENTOS LEGALES Las medidas que deberán ser
adoptadas e implantadas por el Responsable del Fichero son:
Medidas Organizativas: aquellas medidas destinadas a
establecer procedimientos, normas, reglas y estándares de
seguridad, cuyos destinatarios son los usuarios que tratan los
datos de los ficheros. Medidas Técnicas: medidas
destinadas principalmente a la conservar la integridad de la
información (su no alteración, pérdida o
robo) y en menor medida a la confidencialidad de los datos
personales. Se encuentran delimitadas en función del nivel
de seguridad de los datos tratados: básico, medio y
alto.
REQUERIMIENTOS LEGALES Los niveles de seguridad en el Reglamento.
Nivel Básico: Para todos los ficheros de datos de
carácter personal. Nivel Medio: Serán adoptadas
para: Ficheros que contengan datos relativos a la comisión
de infracciones administrativas o penales. Ficheros que contengan
datos sobre Hacienda Pública. Ficheros que contengan datos
sobre Servicios Financieros. Ficheros que contengan datos sobre
solvencia patrimonial y crédito. Ficheros que contengan un
conjunto de datos suficientes que permitan elaborar un perfil del
afectado (se les aplican las medidas descritas en los art.17 a
20). Nivel Alto: Aquellos que contengan datos de
ideología, religión, creencias, origen racial,
salud, vida sexual.
REQUERIMIENTOS LEGALES
ACTIVE DIRECTORY – LDAP¿Qué es un Directorio
Activo? El directorio activo es un servicio de directorio. El
término servicio de directorio se refiere a dos cosas: un
directorio donde la información sobre usuarios y recursos
está almacenada, un servicio o servicios te dejan acceder
y manipular estos recursos. El directorio activo es una manera de
manejar todos los elementos de una red, incluidos ordenadores,
grupos, usuarios, dominios, políticas de seguridad, y
cualquier tipo de objetos definidos para el usuario.
Además de esto, provee de funciones adicionales más
allá de estas herramientas y servicios. El directorio
activo está construido alrededor de la tecnología
DNS y LDAP. Al ser protocolos de plataforma independiente, Los
ordenadores Unix, Linux y Macintosh pueden tener acceso a los
recursos de igual modo que los clientes de Windows.
ACTIVE DIRECTORY – LDAPProtocolos LDAP: Es un
protocolo que permite el acceso a un servicio de
directorio ordenado y distribuido para buscar diversa
información en un entorno de red, es un protocolo de
acceso unificado a un conjunto de información sobre una
red. También es considerado una base de datos a la que
pueden realizarse consultas. DNS: Es una base de
datos que almacena información asociada
a nombres de dominio, los usos más comunes son la
asignación de nombres de dominio a direcciones
IP y la localización de los servidores de correo
electrónico de cada dominio.
DHCP (Dynamic Host Configuration Protocol) Es
un protocolo de asignacion de direcciones ip automaticamente.
kerberos: es
un protocolo de autenticación, permite a
dos computadores en una red insegura demostrar su identidad
mutuamente de manera segura.
ACTIVE DIRECTORY – LDAPEstructura La estructura de
directorio activo tiene una forma jerárquica donde se
localizan los objetos. Estos objetos caen en tres tipos de
categorías: Recursos, como por ejemplo impresoras.
Servicios, como correo, Web, FTP, etc. Usuarios, los cuales
incluyen cuentas para conectarse, grupos de trabajo, etc. Un
objeto es únicamente identificado por su nombre y tiene un
serie de atributos definidos por un esquema, que también
determina la clase de objetos que se pueden almacenar en
él. Los atributos son las características y la
información que el objeto contiene.