Seguridad LógicaAdministración de Centros de Cómputo

ICT- 2014 | UNADECA, Prof. Edy Echenique

Introducción

• Se conoce seguridad lógica como la manera de

aplicar procedimientos que aseguren que sólo

podrán tener acceso a los datos las personas o

sistemas de información autorizados.

Las condiciones de mercado y el entorno global exigen a las

unidades de seguridad de los bancos, manejar plataformas

inteligentes donde se pueda gestionar con eficacia y eficiencia

los riesgos inherentes

a los procesos críticos.

Nuevo modelo integral

Escenario global

Protección de: Personas Dinero y valores Infraestructura

Protección de: Personas Dinero y valores Infraestructura Información / conocimiento Procesos, productos y servicios

Modelo tradicional de seguridad

Escenario local

Antecedentes

70´s

• Robo

• Asalto

90´s

• Estafas

• Falsificaciones

• Fraudes

• Lavado de activos

• Asalto/Robo

2000….

• Delitos informáticos

• Robo de información

• Sabotaje

• Espionaje electrónico

• Lavado de activos

• Asalto/Robo

Local Internacional Global

Evolución

Física reactiva Electrónica y lógica

Tecnología de seguridad inteligente

Actual

Tradicional

Innovadora

BiometríaAnálisis de imágenes

Sistemas inteligentes de seguridad

CCTV SensoresFirewall

VigilantesBarreras físicas

Evolución

56%

1%

6%

13%

20%

4%

48%

1%

7%

17%

21% 7%

Robo o pérdida de equipos

Atacante interno

Fraude

Políticas inseguras

Hacking

Desconocido

Fuente: Symantec - Global Internet security threat report (2008 -- 2009)

Cambios de escenarios Global

20.547 18.82769.107

113.025140.690

624.267

1.656.227

0

200.000

400.000

600.000

800.000

1.000.000

1.200.000

1.400.000

1.600.000

1.800.000

2002 2003 2004 2005 2006 2007 2008

Firm

as d

e c

ód

igo

mal

icio

so

Fuente: Symantec - Global Internet security threat report (2009)

Cambios de escenarios Global

Convergencia, nueva tendencia de la seguridad

• Reducción de costos.

• Eficiencia de procesos.

• Optimización de recursos.

Económicos

• Organizaciones más complejas.

• Entorno globalizado.

Crecimiento

• Antes: Activos tangibles (edificios, equipos, otros).

• Actualidad: Activos tangibles, información, conocimiento, productos y servicios.

Activos críticos

• Nuevas tecnologías para minimizar riesgos.

Innovación

• Regulación, estándares y mejores prácticas internacionales.

Cumplimiento

Convergencia, nueva tendencia de la seguridad

Procesos de seguridad física y electrónica

Procesos de seguridad de información

Procesos de gestión de riesgos Procesos de continuidad operativa

Convergencia

Convergencia, nueva tendencia de la seguridad

• La mayoría de los daños que puede sufrir un sistema informático no

será solo los medios físicos sino contra información almacenada y

procesada.

• El activo mas importante que se posee es la información y por tanto

deben existir técnicas mas allá de la seguridad física que la aseguren,

estas técnicas las brinda la seguridad lógica.

Principios de la seguridad lógica

• Estos controles pueden implementarse en la BIOS, el S.O,

sobre los sistemas de aplicación, en las DB, en un paquete

especifico de seguridad o en cualquier otra aplicación.

Constituyen una importante ayuda para proteger al S.O de la

red, al sistema de aplicación y demás software de la

utilización o modificaciones no autorizadas.

Técnicas de control de acceso

• Se denomina identificación al momento en que el usuario se

da a conocer en el sistema y autenticación a la verificación

que se realiza en el sistema sobre esta identificación.

• Existen 4 tipos de técnicas que permiten realizar la

autenticación de la identidad del usuario, las cuales pueden

ser utilizadas individualmente o combinadas:

Identificación y autenticación

• Algo que solamente el individuo conoce: Una clave, un pin

etc.

• Algo que la persona posee: Una tarjeta.

• Algo que el individuo es: Huella digital o voz

• Algo que el individuo es capaz de hacer: Patrones de

escritura.

Identificación y autenticación

• Para un atacante una contraseña segura debe parecerse a una cadena

aleatoria de caracteres.

• Que no sea corta

• Combina letras, números y símbolos.

• Utiliza todo tipo de teclas

• Utiliza palabras y frases que te resulten fáciles de recordar pero que a

otras personas les sea difícil de adivinar.

Password seguras

• Algunas estrategias que deben evitarse son:

• No incluya secuencias ni caracteres repetidos

• Evita utilizar sustituciones de letras por símbolos o números

similares.

• No utilice el nombre de inicio de sesión

• Utiliza varias contraseñas para distintos entornos

Password seguras

• El acceso a la información también puede controlarse

a través de la función perfil o rol del usuario que

requiere dicho acceso. Algunos ejemplos de roles

serían programador, líder del proyecto, administrador

del sistema etc.

Roles

• Estos controles se refieren a las restricciones que dependen

de parámetros propios de la utilización de la aplicación o

preestablecidos por el administrador del sistema. Un

ejemplo podría ser licencias para la utilización simultanea de

un determinado producto software para 5 personas de

manera que desde el sistema no se permita la utilización del

producto simultáneamente a un sexto usuario.

Limitaciones a los servicios

• Se refiere al modo de acceso que se permite al usuario sobre los

recursos y la información esta modalidad puede ser:

• Lectura

• Escritura

• Ejecución

• Borrado

Modalidad de acceso

• Se refiere al modo de acceso que se permite al usuario sobre los recursos y la información esta modalidad puede ser:

• Lectura

• Escritura

• Ejecución

•Borrado

Modalidad de acceso

Los 3 principios de seguridad informática

Casos prácticos