Básicamente es la protección de la
información, en su propio medio contra robo o
destrucción, copia o difusión. Para ellos puede
usarse la Criptografía, Firma Digital,
Administración de Seguridad y limitaciones de
Accesibilidad a los usuarios
SEGURIDAD LOGICA Y CONFIDENCIAL
INFORMACIÓN
CONFIDENCIAL
ALMACENA
MAL UTILIZADA
ROBOS DESTRUCCIÓN
FRAUDES TOTAL O PARCIAL
SABOTAJES
Consecuencia: Pérdidas de
dinero
SEGURIDAD LOGICA Y CONFIDENCIAL
AUDITORIA destierra:
Paquetes
copiados
Virus
Software
Red pirata
destrucción
teléfono
¿EN QUÉ CONSISTE LA SEGURIDAD LÓGICA?
SEGURIDAD LÓGICA
“Aplicación de barreras y
procedimientos que
resguarden el acceso a los
datos y sólo se permita
acceder a ellos a las personas
autorizadas para hacerlo.“
Seguridad
Lógica
Identificar
individualmente a
cada usuario y sus
actividades en el
sistema.
¿QUÉ CONSECUENCIAS PODRÍA TRAER A LA
ORGANIZACIÓN LA FALTA DE SEGURIDAD
LÓGICA?
Cambio de los datos.
Copias de programas
y /o información.
Código oculto en un
programa
Entrada de virus
OBJETIVOS PRINCIPALES
Confidencialidad
Integridad Asegurar que sólo los
Garantizar que los datos individuos autorizados
sean los que se supone que tengan acceso a los
son. recursos que se
intercambian.
Autenticación
Disponibilidad
Asegurar que sólo los
Garantizar el correcto
individuos autorizados
funcionamiento de los
tengan acceso a los
sistemas de información.
recursos.
Evitar el rechazo
Garantizar de que no pueda
negar una operación
realizada.
OBJETIVOS ESPECÍFICOS
Restringir el acceso a los programas y archivos.
Asegurar que los operadores puedan trabajar sin una
supervisión minuciosa.
Asegurar que se estén utilizados los datos, archivos y
programas correctos en y por el procedimiento correcto.
Garantizar que la información transmitida sea recibida
sólo por el destinatario al cual ha sido enviada y no a
otro.
Certificar que la información recibida sea la misma que
ha sido transmitida.
Asegurar que existan sistemas alternativos secundarios
de transmisión entre diferentes puntos.
Cerciorar que se disponga de pasos alternativos
de emergencia para la transmisión de
información.
ÁREAS DE LA SEGURIDAD LÓGICA
Sólo lectura
Sólo consulta
1. Rutas de acceso Lectura y consulta
Lectura escritura para crear,
actualizar, borrar, ejecutar o
copiar
Un password, código o llaves de
acceso.
Una credencial con banda
magnética
2. Claves de acceso
Algo especifico del usuario:
- Las huellas dactilares.
- La retina
- La geometría de la mano.
- La firma.
- La voz.
ÁREAS DE LA SEGURIDAD LÓGICA
Definición de usuarios.
Tipos de usuarios:
Propietario.
Administrador.
Usuario principal.
Usuario de explotación.
Usuario de auditoría.
3. Software Definición de las funciones del usuario (Jobs)
de control La integridad es la responsabilidad de los
de acceso individuos autorizados para modificar datos o
programas.
La confidencialidad es responsabilidad de los
individuos autorizados para consultar o para
bajar archivos importantes.
La responsabilidad es responsabilidad de
individuos autorizados para alterar los
parámetros de control de acceso al sistema.
ÁREAS DE LA SEGURIDAD LÓGICA
Establecimiento de auditoría a través del uso del sistema.
El software de seguridad tiene la capacidad para proteger los recursos
de acceso no autorizados, como:
Procesos en espera de modificación por un programa de
aplicación.
Accesos por editores en línea.
3. Software Accesos por utilerías de software.
de control Accesos a archivos de las bases de datos, a través de un
de acceso manejador de base de datos.
Acceso de terminales o estaciones no autorizadas.
El software de seguridad puede detectar las violaciones de
seguridad, tomando las siguientes medidas:
Terminaciones de procesos.
Forzar a las terminales a apagarse.
Desplegar mensajes de error.
Escribir los riesgos para la auditoría.
Aumento de la productividad.
Aumento de la motivación del
personal.
Compromiso con la misión de
la compañía.
Mejora de las relaciones
laborales.
Ayuda a formar equipos
competentes.
Mejora de los climas laborales
para los RR.HH.
NIVELES DE SEGURIDAD INFORMÁTICA
Nivel B2
Protección Estructurada
Nivel B1
Seguridad Etiquetada
Nivel C2
Protección de Acceso Controlado
Nivel C1
Protección Discrecional
Nivel D
Ninguna
especificació
n de
seguridad
Acceso de control discrecional
Identificación y Autentificación
Auditoria de accesos e intentos fallidos de acceso
a objetos.
Soporta seguridad multinivel
. multinivel
Soporta seguridad
.
NIVELES DE SEGURIDAD INFORMÁTICA
NIVEL CARACTERÍSTICA
Nivel D
Nivel C1: Protección Discrecional Ninguna especificación de
seguridad.
Nivel C2: Protección de Acceso Acceso de control discrecional
Controlado
Identificación y Autentificación
Nivel B1: Seguridad Etiquetada Auditoria de accesos e intentos
fallidos de acceso a objetos.
Nivel B2: Protección Estructurada Soporta seguridad multinivel
Nivel B3: Dominios de Seguridad Protección Estructurada
Nivel A: Protección Verificada Conexión segura
EVALUAR EL NIVEL DE RIESGO
•Clasificar la instalación en términos de riesgo(alto, mediano, pequeño).
•Identificar aquellas aplicaciones que tengan un alto riesgo.
•Cuantificar el impacto en el caso de suspensión del servicio en aquellas
aplicaciones con un alto riesgo.
•Formular las medidas de seguridad necesarias dependiendo del nivel de
seguridad que se requiera.
•La justificación del costo de implantar las medidas de seguridad para poder
clasificar el riesgo e identificar las aplicaciones de alto riesgo, se debe
preguntar lo siguiente:
oQue sucedería si no se puede usar el sistema?
oSi la contestación es que no se podría seguir trabajando, esto nos sitúa
en un sistema de alto riego.