Seguridad Lógica
José Luis Dominikow
Seguridad Lógica
“Aplicación de barreras y procedimientos que resguarden el acceso a los datos y solo se
permita acceder a ellos a las personas autorizadas para hacerlo.”
Seguridad Lógica
Objetivos:
Restringir al acceso a programas y archivos mediante claves y/o encriptación.
Asignar las limitaciones correspondientes a cada usuario del sistema informático.
Asegurarse que los archivos y programas que se emplean son los correctos y se usan correctamente.
Control de los flujos de entrada/salida de la información.
Seguridad Lógica
Control de Acceso: Evitar el acceso no autorizado a la información
digital e instalaciones de procesamiento de datos.
Componentes:Administración de usuarios
RolesTransaccionesTipos de acceso Ubicaciones y horarios
Identificación y AutenticaciónClaves de accesoEncriptación
Seguridad Lógica
Administración de usuarios:
El nivel de acceso asignado debe ser consistente con el propósito del negocio.
Todo usuario que acceda a los sistemas de información de la empresa, debe tener asignado un identificador único (user ID), que permita establecer responsabilidades individuales en el uso de los sistemas de información.
Los permisos asignados a los usuarios deben estar adecuadamente registrados y protegidos.
Cualquier cambio de posición o función de un rol, amerita evaluación de los permisos asignados, con el fin de realizar las modificaciones que correspondan en forma oportuna .
Los sistemas de información de la organización, deben contar con mecanismos robustos de autenticación de usuarios, sobre todo de aquellos usuarios conectados desde redes externas.
La creación, modificación y eliminación de claves debe ser controlada a través de un procedimiento formal.
Seguridad Lógica
Identificación: Momento en que el usuario se da a conocer en el
sistema
Autenticación: Verificación realizada por el sistema en base a la
identificación recibida.
Técnicas de autenticación: Algo que la persona conoce Passwords
Algo que la persona tiene Tarjetas magnéticasAlgo propia de la persona Huella digital, vozAlgo que la persona hace Reconocimiento de escritura
Seguridad Lógica
Claves de Accesos (Password):Forma de autentificación que utiliza información
secreta para controlar el acceso hacia algún recurso.
Puntos a tener en cuenta:
Bajo costo de implementaciónFortaleza asociada a la longitud y variedad de
símbolos utilizadosDependencia del usuarioPersonal e Intransferible
Seguridad Lógica
Claves de Accesos (Password):
Seguridad Lógica
Procedimiento de creación de claves de acceso:Normas establecidas por la compañía al momento
de generación de claves por parte de un usuario del sistema.
Puntos a cubrir:Cantidad minina de caracteresInclusión de caracteres numéricos, especiales y uso
de mayúsculas.CaducidadIntentos fallidosHistorial de palabras claves.Relación con características propias del usuario.
Seguridad Lógica
Claves débiles:La clave contiene menos de ocho caracteres.La clave es encontrada en un diccionario.La clave es una palabra de uso común tal como:
nombre de un familiar, mascota, amigo, colega, etc.
La clave es fecha de cumpleaños u otra información personal como direcciones y números telefónicos.
Ejemplos:
123 qwe123 jose2005josedominikow joseluis01
Seguridad Lógica
Claves seguras:La clave contiene mas de ocho caracteres.
La clave contiene caracteres en minúscula y mayúscula.
La clave tiene dígitos de puntuación, letras y números intercalados.
La clave no obedece a una palabra o lenguaje, dialecto o jerga
Fácil de recordar.
Ejemplos:
Mi3_clave4 SlHsPlDlDa cl4v3d3acc3s0
Seguridad Lógica
Análisis de vulnerabilidad de claves:
Asumiendo una velocidad de búsqueda de 100.000 claves por segundoCantidad de caracteres
Combinatoria de letras
Combinatoria de letras + números
Combinatoria de letras
(minúsculas y mayúsculas)
Combinatoria de letras + números + caracteres especiales
6 0.9 horas 6 horas 2,3 días 3 meses
7 22,3 horas 9 días 4 meses 24 años
8 24 días 10,5 meses 17 años 2288 años
9 21 meses 32,6 años 890 años 219601 años
10 45 años 1160 años 45840 años 21081705 años
Seguridad Lógica
Administración de claves
Las claves deben estar protegidas contra accesos y modificación no autorizada, perdida y destrucción.
El equipamiento utilizado para generar y almacenar las claves debe estar físicamente protegido.
La protección de las claves debe impedir su visualización, aun si se vulnera el acceso al medio que la contiene.
Seguridad Lógica
Sincronización de claves “Single Log-In”:
Técnica que permite una mayor eficiencia en los procesos de autenticación de usuarios, mediante la cual el usuario se registra solamente una vez y desde allí se habilitan todas las aplicaciones a las cuales esa persona tiene acceso.
Seguridad Lógica
EncriptaciónEl nivel de protección de información debe estar
basado en un análisis de riesgo.Este análisis debe permitir identificar cuando es
necesario encriptar la información, el tipo, calidad del algoritmo de encriptación y el largo de las claves criptográficas a ser usadas.
Toda información clasificada como restringida y confidencial debe ser almacenada, procesada y transmitida en forma encriptada.
Todas las claves criptográficas deben estar protegidas contra modificación, perdida y destrucción.
Seguridad Lógica
Intercambio de Información: Prevenir la perdida, modificación o acceso no
autorizado y el mal uso de la información que la empresa intercambia como parte de sus procesos de negocio.
Acuerdos de intercambio: En todos los casos de intercambio de información
sensible, se deben tomar todos los resguardos que eviten su revelación no autorizada.
Todo intercambio de información debe estar autorizada expresamente por el dueño de esta.
Seguridad Lógica
Intercambio de Información (cont.).
Seguridad de los medios removibles:El dueño de la información es quien autoriza a
través de algún medio removible desde la organización.
Los dispositivos que permiten a los computadores manejar medios removibles, deben ser habilitados cuando haya una razón de negocio para hacerlo y previa autorización del dueño de la información.
Seguridad Lógica
Intercambio de Información (cont.).
Seguridad en el comercio electrónico:La información involucrada en comercio
electrónico y que pasa por redes publicas, debe estar protegida de actividades fraudulentas, disputas contractuales y revelaciones o modificaciones no autorizadas.
Seguridad Lógica
Intercambio de Información (cont.).
Seguridad en el correo electrónico.El correo electrónico es provisto por la empresa
a los empleados y terceras partes, para facilitar el desempeño de sus funciones.
La asignación de esta herramienta de trabajo debe hacerse considerando una evaluación de riesgo.
El correo es personalizado, es decir no es aceptable la utilización del correo de otra persona, por tanto se asume responsable del envío al remitente (DE:) y no quien lo firma.