Documentos de Académico
Documentos de Profesional
Documentos de Cultura
En Informtica administrativa
Evaluacin de la seguridad
Elaborado por: Tania Cruz Cervantes y Diana Hernndez Granados
La seguridad lgica identifica individualmente a cada usuario y sus actividades en el sistema, y restringe el acceso a datos, a los programas de uso general, de uso especfico, de las redes y terminales.
La falta de seguridad lgica o su violacin puede traer las siguientes consecuencias a la organizacin:
Cambio de los datos antes o cuando se le da entrada a la computadora. Copias de programas y /o informacin. Cdigo oculto en un programa Entrada de virus
La seguridad lgica puede evitar una afectacin de perdida de registros, y ayuda a conocer el momento en que se produce un cambio o fraude en los sistemas. Los sistemas de seguridad normalmente no consideran la posibilidad de fraude cometida por los empleados en el desarrollo de sus funciones.
Un mtodo eficaz para proteger sistemas de computacin es el software de control de acceso. Los paquetes de control de acceso protegen contra el acceso no autorizado. Sin embargo, los paquetes de control de acceso basados en componentes pueden ser eludidos por delincuentes sofisticados en computacin.
Seguridad lgica
Tipos de usuarios:
Propietario. Es el dueo de la informacin, el responsable de sta, y puede realizar cualquier funcin. Es responsable de la seguridad lgica.
Usuario principal. Est autorizado por el propietario para hacer modificaciones, cambios, lectura y utilizacin de los datos, pero no puede dar autorizacin para que otros usuarios entren.
Administrador. Slo puede actualizar o modificar el software con la debida autorizacin, pero no puede modificar la informacin. Es responsable de la seguridad lgica y de la integridad de los datos.
Tipos de usuarios:
Usuario de explotacin. Puede leer la informacin y utilizarla para explotacin de la misma, principalmente para hacer reportes de diferente ndole.
Tipos de usuarios:
Usuario de auditora. Puede utilizar la informacin y rastrearla dentro del sistema para fines de auditoria.
Se recomienda que exista slo un usuario propietario, y que el administrador sea una persona designada por la gerencia de informtica
El control implantado para minimizar estos riesgos debe considerar los siguientes factores:
El valor de los datos siendo procesados La probabilidad de que ocurra un acceso no autorizado. Las consecuencias para la organizacin si ocurre un acceso no autorizado. El riesgo y repercusiones en caso de que un usuario no autorizado utilice la informacin.
Rutas de acceso.
Software de control de acceso.
Claves de acceso.
Encriptamiento.
Rutas de acceso
Los tipos de restricciones de acceso son: Slo lectura Slo consulta Lectura y consulta Lectura escritura para crear, actualizar, borrar, ejecutar o copiar
Claves de acceso
Existen diferentes mtodos de identificacin para el usuario: Un password o cdigo. Una credencial con banda magntica. Algo especfico del usuario (caractersticas propias).
La mayor ventaja del software de seguridad es la capacidad para proteger los recursos de acceso no autorizados, incluyendo los siguientes:
Procesos en espera de modificacin por un programa de aplicacin. Accesos por editores en lnea. Accesos por utileras de software. Accesos a archivos de las bases de datos, a travs de un manejador de base de datos. Acceso de terminales o estaciones no autorizadas.
Paquetes de seguridad
Estos paquetes pueden restringir el acceso a los recursos, reduciendo as el riesgo de accesos no autorizados. Otra caracterstica de estos paquetes es que se pueden detectar las violaciones de seguridad, tomando las siguientes medidas: Terminaciones de procesos. Forzar a las terminales a apagarse. Desplegar mensajes de error. Escribir los registros para la auditora.
Sistemas operativos:
se trata de una serie de programas, los cuales manejan los recursos de la computadora y sirven como interface entre el software de aplicacin y el hardware.
Tareas de un S.O.
Proporcionan Seguridad
Dentro de los S.O
Controlan
La ejecucin de los programas de aplicacin.
Manejan
Proveen servicios que requieren. Usuarios y del sistema que se est trabajando.
Dependiendo
Job Schedule. Manejador de equipos perifricos. Contador de trabajo. Compilador de programas. Pruebas. Debugs.
Debe incluir
Software de libreras
Consta de datos y programas especficos escritos para ejecutar una funcin en la organizacin. Los controles de los cambios de emergencia deben estar en algn lugar debido a la naturaleza de estos cambios: o Acceso de emergencia. o Todas las acciones realizadas durante la emergencia debern ser automticamente registradas.
Cuando se instala el software de libreras se define las libreras y sus respectivos niveles de proteccin. Los tipos de acceso a libreras pueden ser restringidos durante las instalaciones.
Software de utileras
Existen dos tipos de software de utileras. Es usado en los sistemas de desarrollo para proveer productividad Es usado para asistir en el manejo de operaciones de la computadora.
Sistemas operativos:
Los password. El acceso a software. Administradores de seguridad. Acceso a utileras. Uso de todas las funciones del software. Revisin de bitcoras.
Software de libreras:
Bitcora de auditora de todas las actividades realizadas. Comparacin de dos versiones de programas en cdigo fuente. Negar el acceso a password o cdigo de autorizacin. Tendrn que ser protegidos y controlados. Versiones correctas de los programas.
Software de utileras:
Restriccin de archivos de utileras. Establece niveles de utilizacin por cada funcin. Genera una bitcora de auditora de usos y actividades. Tomar precauciones para asegurar la manipulacin de datos. Asegurar que nicamente personal autorizado tenga acceso a correr aplicaciones. No deben ser mantenidas en el en el ambiente de produccin. Las bitcoras de auditora deben ser cuidadosamente revisadas.
Software de telecomunicaciones:
Controlar el acceso a datos. Los comandos del operador solo pueden ser usados por usuarios autorizados. Monitorear y proteger el acceso diario al sistema. Asegurar que los datos no sean accesados o modificados por un usuario no autorizado.
Consideraciones al auditar:
Control de acceso a programas y a la informacin. Control de cambios. Bitcoras de auditora.
Entre las consideraciones especficas al auditar estn: Software de control de acceso Software de telecomunicaciones. Software manejador de libreras Software manejador de base de datos. Software de utileras. Software de sistemas operativos.
Ciclo de vida
Instalacin
Integridad Confidencialidad
Mantenimiento
Operacin
Instalacin y mantenimiento:
Procedimientos para nuevas pruebas o modificaciones al software. Procedimientos para iniciacin. Procedimientos para la generacin y modificacin al software. Procedimientos usados para ejecutar software. Procedimientos para dar solucin a un problema especfico de software. Modificaciones del diccionario de datos. Bitcoras a los parmetros del software. Acceso a libreras de programas.
Operacin:
Controles de acceso. Procedimiento de seguridad. Disponibilidad y control de acceso a los comandos que pueden ser usados para desactivar el software. reas de disponibilidad para el control del software, operacin y consistencia de capacidad de acceso. Horas durante las cuales el software esta disponibles. Control de acceso sobre consola y terminales maestras. Operaciones automatizadas o dependencia del calendario de actividades.
Sistemas operativos:
Las facilidades del sistema operativo. Programas y funciones. Controles de acceso sobre consolas o terminales maestras y privilegios asociados. Bitcoras de auditora. Uso del control de acceso sobre los default de inicio de ID de usuarios y passwword. Comandos de software o funciones que son consideradas importantes. Diagnostico de utileras del sistema operativo.
Software de utileras:
Comandos o funciones de utileras. Los controles de acceso sobre comandos o funciones de utileras. Seguridad de acceso a los programadores para la utilizacin de funciones o comandos de utileras. Si el software ejecuta las funciones de identificacin del usuario y procedimientos de autentificacin. Capacidades de uso de utileras para cada grupo de usuarios. Bitcoras de usuario.
Software de telecomunicaciones:
Restricciones al acceso de la red basada en tiempo. Apagado automtico de terminales inactivas en un tiempo especifico. Facilidad de acceso no autorizado. Nmeros de seguridad de entrada. Horas durante las cuales la lnea est disponible. Recursos y funciones posibles a travs del acceso de entrada. Uso de identificacin de la terminal fsicamente. Controles de acceso sobre los recursos de la red. Controles de acceso sobre las tablas de configuracin de red. Controles de acceso a funciones de la red. Procedimientos para la proteccin de comunicaciones. Uso de encriptacin de datos.