Documentos de Académico
Documentos de Profesional
Documentos de Cultura
De Seguridad
PUA: Estela Evangelina Vogelmannn Martinez
2009
Introduccin
Los requerimientos de seguridad
informtica en pocos aos han
cobrado un gran auge.
Las instituciones se ven inmersas en
ambientes agresivos.
Las tecnologas se han esparcido lo
cual las han transformado en un
continuo riesgo.
Importancia y sensibilidad de la
informacin y servicios crticos.
Alto compromiso con la institucin.
La necesidad de las polticas
Las polticas de alto nivel son pautas sobre la seguridad
de la informacin.
Sin polticas es imposible la creacin de sistemas
seguros.
Una poltica de seguridad se divide en los estados de un
sistema autorizado y no autorizado.
La institucin de polticas de seguridad incluye las leyes,
normas y prcticas que regulan cmo una institucin
gestiona y protege los recursos.
Los sistemas informticos de la institucin deben hacer
cumplir estas polticas que se ven reejan en sus
mecanismos (ej. El modelo de capas).
Las polticas de seguridad (I)
Sistemas Abiertos / Cerrados:
- En un sistema cerrado, nada es accesible al menos que se autorice
expresamente.
- En un sistema abierto o institucin todo es accesible a menos que
est explcitamente denegado.
Menos privilegio (lo que necesita conocer):
- Deben ser autorizadas slo para tener acceso a los recursos que
necesitan.
Maximizar el intercambio:
- Hacer a la informacin lo ms accesible posible.
Autorizacin:
- Las normas explcitas deben denir quin puede
utilizar qu recursos y cmo.
Las polticas de seguridad (II)
Obligacin:
-Estas polticas denen qu debe o no debe realizarse.
Separacin de los derechos:
- Las funciones crticas deben ser asignadas a ms de una persona o
sistema.
Auditoria:
- Debe llevar un registro de lo que se hizo y en qu momento.
Control Centralizado / Descentralizado:
- En un sistema descentralizado sus divisiones tienen autoridad para
denir sus propias polticas.
Propiedad y administracin:
- Una poltica administrativa separa la administracin de
los datos de su uso.
- La propiedad puede violar la separacin de los
derechos cuando el usuario de la informacin tambin es
su administrador.
Las polticas de seguridad (III)
Rendicin de cuentas individuales:
- Deben ser identicados y sus actuaciones
grabadas y revisadas.
Roles:
- Un grupo de derechos que se le da a los usuarios de acuerdo a sus
funciones.
Nombre o nmero dependiendo de su control de
acceso:
- El acceso de control est designado por su nmero.
Contenido- dependiendo del control de acceso-:
-El acceso a los datos depende de los requerimientos de
los archivos especcos.
Las polticas de seguridad (IV)
Contexto-dependiendo
del control de acceso-:
- El acceso a los datos
depende de que otra
informacin tambin la
requiere.
Historia-dependiendo
del control de acceso-:
- Se considera todos o
subgrupos de requerimientos
para la decisin de acceso.
Aplicacin - Polticas Especcas (I)
1. Polticas de condencialidad.
Clasicacin de documentos:
- Los documentos son clasicados en funcin de la sensibilidad
de su informacin.
Categoras:
- Denen particiones verticales de los niveles.
Originator controlled (ORCON):
-Un documento slo se libera a las personas o unidades que
estn en una lista especca hecha por el inventor.
Acceso a lo total:
-Los usuarios estn autorizados a leer slo los valores de los
datos agregados.
Aplicacin - Polticas Especcas
(II)
2. Polticas de integridad.
La integridad de los documentos:
- Un documento no puede ser modicado o slo se puede registrar las
modicaciones.
Cambio limitado:
-Los datos slo se pueden modicar en la forma prescripta.
3. Grupo de polticas.
Acciones autorizadas:
- Slo pueden realizar acciones para las que fueron autorizadas.
Rotacin de los derechos:
-Una tarea no debe ser realizada siempre por la misma persona.
Operacin de la secuenciacin:
-Los pasos de algunas tareas deben llevarse a cabo en un orden especco.
Aplicacin - Polticas Especcas
(III)
4. Polticas de conicto de
intereses.
Poltica de Muralla:
-La informacin se agrupa en clases de
conicto de intereses.
Conicto de roles:
- Un usuario no puede tener dos
funciones que pueden implicar un conicto
de intereses.
Sistema de polticas (I)
La mayora de estas polticas pueden
aplicarse tambin a bajo nivel.
Solucin
Denir un proceso abstracto que intercepta
todas las peticiones de recursos y controles
para el cumplimiento de las autorizaciones.
El modelo Monitor de Referencia
(III)