seguridad lógica
DESCRIPTION
SeguridadTRANSCRIPT
Seguridad LógicaAdministración de Centros de Cómputo
ICT- 2014 | UNADECA, Prof. Edy Echenique
Introducción
• Se conoce seguridad lógica como la manera de
aplicar procedimientos que aseguren que sólo
podrán tener acceso a los datos las personas o
sistemas de información autorizados.
Las condiciones de mercado y el entorno global exigen a las
unidades de seguridad de los bancos, manejar plataformas
inteligentes donde se pueda gestionar con eficacia y eficiencia
los riesgos inherentes
a los procesos críticos.
Nuevo modelo integral
Escenario global
Protección de: Personas Dinero y valores Infraestructura
Protección de: Personas Dinero y valores Infraestructura Información / conocimiento Procesos, productos y servicios
Modelo tradicional de seguridad
Escenario local
Antecedentes
70´s
• Robo
• Asalto
90´s
• Estafas
• Falsificaciones
• Fraudes
• Lavado de activos
• Asalto/Robo
2000….
• Delitos informáticos
• Robo de información
• Sabotaje
• Espionaje electrónico
• Lavado de activos
• Asalto/Robo
Local Internacional Global
Evolución
Física reactiva Electrónica y lógica
Tecnología de seguridad inteligente
Actual
Tradicional
Innovadora
BiometríaAnálisis de imágenes
Sistemas inteligentes de seguridad
CCTV SensoresFirewall
VigilantesBarreras físicas
Evolución
56%
1%
6%
13%
20%
4%
48%
1%
7%
17%
21% 7%
Robo o pérdida de equipos
Atacante interno
Fraude
Políticas inseguras
Hacking
Desconocido
Fuente: Symantec - Global Internet security threat report (2008 -- 2009)
Cambios de escenarios Global
20.547 18.82769.107
113.025140.690
624.267
1.656.227
0
200.000
400.000
600.000
800.000
1.000.000
1.200.000
1.400.000
1.600.000
1.800.000
2002 2003 2004 2005 2006 2007 2008
Firm
as d
e c
ód
igo
mal
icio
so
Fuente: Symantec - Global Internet security threat report (2009)
Cambios de escenarios Global
Convergencia, nueva tendencia de la seguridad
• Reducción de costos.
• Eficiencia de procesos.
• Optimización de recursos.
Económicos
• Organizaciones más complejas.
• Entorno globalizado.
Crecimiento
• Antes: Activos tangibles (edificios, equipos, otros).
• Actualidad: Activos tangibles, información, conocimiento, productos y servicios.
Activos críticos
• Nuevas tecnologías para minimizar riesgos.
Innovación
• Regulación, estándares y mejores prácticas internacionales.
Cumplimiento
Convergencia, nueva tendencia de la seguridad
Procesos de seguridad física y electrónica
Procesos de seguridad de información
Procesos de gestión de riesgos Procesos de continuidad operativa
Convergencia
Convergencia, nueva tendencia de la seguridad
• La mayoría de los daños que puede sufrir un sistema informático no
será solo los medios físicos sino contra información almacenada y
procesada.
• El activo mas importante que se posee es la información y por tanto
deben existir técnicas mas allá de la seguridad física que la aseguren,
estas técnicas las brinda la seguridad lógica.
Principios de la seguridad lógica
• Estos controles pueden implementarse en la BIOS, el S.O,
sobre los sistemas de aplicación, en las DB, en un paquete
especifico de seguridad o en cualquier otra aplicación.
Constituyen una importante ayuda para proteger al S.O de la
red, al sistema de aplicación y demás software de la
utilización o modificaciones no autorizadas.
Técnicas de control de acceso
• Se denomina identificación al momento en que el usuario se
da a conocer en el sistema y autenticación a la verificación
que se realiza en el sistema sobre esta identificación.
• Existen 4 tipos de técnicas que permiten realizar la
autenticación de la identidad del usuario, las cuales pueden
ser utilizadas individualmente o combinadas:
Identificación y autenticación
• Algo que solamente el individuo conoce: Una clave, un pin
etc.
• Algo que la persona posee: Una tarjeta.
• Algo que el individuo es: Huella digital o voz
• Algo que el individuo es capaz de hacer: Patrones de
escritura.
Identificación y autenticación
• Para un atacante una contraseña segura debe parecerse a una cadena
aleatoria de caracteres.
• Que no sea corta
• Combina letras, números y símbolos.
• Utiliza todo tipo de teclas
• Utiliza palabras y frases que te resulten fáciles de recordar pero que a
otras personas les sea difícil de adivinar.
Password seguras
• Algunas estrategias que deben evitarse son:
• No incluya secuencias ni caracteres repetidos
• Evita utilizar sustituciones de letras por símbolos o números
similares.
• No utilice el nombre de inicio de sesión
• Utiliza varias contraseñas para distintos entornos
Password seguras
• El acceso a la información también puede controlarse
a través de la función perfil o rol del usuario que
requiere dicho acceso. Algunos ejemplos de roles
serían programador, líder del proyecto, administrador
del sistema etc.
Roles
• Estos controles se refieren a las restricciones que dependen
de parámetros propios de la utilización de la aplicación o
preestablecidos por el administrador del sistema. Un
ejemplo podría ser licencias para la utilización simultanea de
un determinado producto software para 5 personas de
manera que desde el sistema no se permita la utilización del
producto simultáneamente a un sexto usuario.
Limitaciones a los servicios
• Se refiere al modo de acceso que se permite al usuario sobre los
recursos y la información esta modalidad puede ser:
• Lectura
• Escritura
• Ejecución
• Borrado
Modalidad de acceso
• Se refiere al modo de acceso que se permite al usuario sobre los recursos y la información esta modalidad puede ser:
• Lectura
• Escritura
• Ejecución
•Borrado
Modalidad de acceso
Los 3 principios de seguridad informática
Casos prácticos