SEGURIDAD LOGICA Y CONFIDENCIAL

QUE ES LA SEGURIDAD LOGICA Y

CONFIDENCIAL?

Básicamente es la protección de la
información, en su propio medio contra robo o
destrucción, copia o difusión. Para ellos puede
usarse la Criptografía, Firma Digital,
Administración de Seguridad y limitaciones de
Accesibilidad a los usuarios
SEGURIDAD LOGICA Y CONFIDENCIAL

INFORMACIÓN
CONFIDENCIAL

ALMACENA

MAL UTILIZADA
ROBOS DESTRUCCIÓN
FRAUDES TOTAL O PARCIAL
SABOTAJES

Consecuencia: Pérdidas de
dinero
SEGURIDAD LOGICA Y CONFIDENCIAL

AUDITORIA destierra:
Paquetes
copiados
Virus

Software
Red pirata
destrucción

Acceso modificar información

con propósitos fraudulentos Mala utilización de los equipos
Instalación de programas
BD innecesarios
SEGURIDAD LOGICA Y CONFIDENCIAL

 teléfono
¿EN QUÉ CONSISTE LA SEGURIDAD LÓGICA?
SEGURIDAD LÓGICA

“Aplicación de barreras y
procedimientos que
resguarden el acceso a los
datos y sólo se permita
acceder a ellos a las personas
autorizadas para hacerlo.“

“Todo lo que no está permitido debe estar

prohibido”
¿DE QUÉ SE ENCARGA LA SEGURIDAD LÓGICA?
Controles de acceso
Controlar y
para salvaguardar la
salvaguardar la
integridad de la
información generada.
información
almacenada

Seguridad
Lógica
Identificar
individualmente a
cada usuario y sus
actividades en el
sistema.
¿QUÉ CONSECUENCIAS PODRÍA TRAER A LA
ORGANIZACIÓN LA FALTA DE SEGURIDAD
LÓGICA?
 Cambio de los datos.
 Copias de programas

y /o información.
 Código oculto en un
programa
 Entrada de virus
OBJETIVOS PRINCIPALES
Confidencialidad
Integridad Asegurar que sólo los
Garantizar que los datos individuos autorizados
sean los que se supone que tengan acceso a los
son. recursos que se
intercambian.

Autenticación
Disponibilidad
Asegurar que sólo los
Garantizar el correcto
individuos autorizados
funcionamiento de los
tengan acceso a los
sistemas de información.
recursos.

Evitar el rechazo
Garantizar de que no pueda
negar una operación
realizada.
OBJETIVOS ESPECÍFICOS
 Restringir el acceso a los programas y archivos.
 Asegurar que los operadores puedan trabajar sin una
supervisión minuciosa.
 Asegurar que se estén utilizados los datos, archivos y
programas correctos en y por el procedimiento correcto.
 Garantizar que la información transmitida sea recibida
sólo por el destinatario al cual ha sido enviada y no a
otro.
 Certificar que la información recibida sea la misma que
ha sido transmitida.
 Asegurar que existan sistemas alternativos secundarios
de transmisión entre diferentes puntos.
 Cerciorar que se disponga de pasos alternativos
de emergencia para la transmisión de
información.
 ÁREAS DE LA SEGURIDAD LÓGICA
Sólo lectura
Sólo consulta
1. Rutas de acceso Lectura y consulta
Lectura escritura para crear,
actualizar, borrar, ejecutar o
copiar
Un password, código o llaves de
acceso.
Una credencial con banda
magnética
2. Claves de acceso
Algo especifico del usuario:
- Las huellas dactilares.
- La retina
- La geometría de la mano.
- La firma.
- La voz.
ÁREAS DE LA SEGURIDAD LÓGICA
Definición de usuarios.
Tipos de usuarios:
Propietario.
Administrador.
Usuario principal.
Usuario de explotación.
Usuario de auditoría.
3. Software Definición de las funciones del usuario (Jobs)
de control La integridad es la responsabilidad de los
de acceso individuos autorizados para modificar datos o
programas.
La confidencialidad es responsabilidad de los
individuos autorizados para consultar o para
bajar archivos importantes.
La responsabilidad es responsabilidad de
individuos autorizados para alterar los
parámetros de control de acceso al sistema.
 ÁREAS DE LA SEGURIDAD LÓGICA
Establecimiento de auditoría a través del uso del sistema.
El software de seguridad tiene la capacidad para proteger los recursos
de acceso no autorizados, como:
Procesos en espera de modificación por un programa de
aplicación.
Accesos por editores en línea.
3. Software Accesos por utilerías de software.
de control Accesos a archivos de las bases de datos, a través de un
de acceso manejador de base de datos.
Acceso de terminales o estaciones no autorizadas.
El software de seguridad puede detectar las violaciones de
seguridad, tomando las siguientes medidas:
Terminaciones de procesos.
Forzar a las terminales a apagarse.
Desplegar mensajes de error.
Escribir los riesgos para la auditoría.

4. Encriptamiento Implica la codificación de información que puede ser

transmitida vía una red de cómputo o un disco para que solo el
emisor y el receptor la puedan leer.
 ETAPAS PARA IMPLANTAR UN SISTEMA DE
SEGURIDAD
Introducir el tema de seguridad en la visión.
Definir los procesos de flujo de información y sus
riesgos.
Capacitar a los gerentes y directivos.
Designar y capacitar supervisores de área.
Definir y trabajar sobre todo las áreas donde se
pueden lograr mejoras relativamente rápidas.
Mejorar las comunicaciones internas.
Identificar claramente las áreas de mayor riesgo.
Capacitar a todos los trabajadores en los elementos
básicos de seguridad y riesgo.
BENEFICIOS DE UN SISTEMA DE SEGURIDAD

 Aumento de la productividad.
 Aumento de la motivación del
personal.
 Compromiso con la misión de
la compañía.
 Mejora de las relaciones
laborales.
 Ayuda a formar equipos
competentes.
 Mejora de los climas laborales
para los RR.HH.
NIVELES DE SEGURIDAD INFORMÁTICA
Nivel B2
Protección Estructurada
Nivel B1
Seguridad Etiquetada

Nivel C2
Protección de Acceso Controlado
Nivel C1
Protección Discrecional
Nivel D
Ninguna
especificació
n de
seguridad
Acceso de control discrecional
Identificación y Autentificación
Auditoria de accesos e intentos fallidos de acceso
a objetos.
Soporta seguridad multinivel
. multinivel
Soporta seguridad
.
NIVELES DE SEGURIDAD INFORMÁTICA
NIVEL
Nivel D
Nivel C1: Protección Discrecional
Nivel C2: Protección de Acceso
Controlado
Nivel B1: Seguridad Etiquetada
Nivel B2: Protección Estructurada
Nivel B3: Dominios de Seguridad
Nivel A: Protección Verificada
CARACTERÍSTICA
Ninguna especificación de
seguridad.
Acceso de control discrecional
Identificación y Autentificación
Auditoria de accesos e intentos
fallidos de acceso a objetos.
Soporta seguridad multinivel
Protección Estructurada
Conexión segura
EVALUAR EL NIVEL DE RIESGO
•Clasificar la instalación en términos de riesgo(alto, mediano, pequeño).
•Identificar aquellas aplicaciones que tengan un alto riesgo.
•Cuantificar el impacto en el caso de suspensión del servicio en aquellas
aplicaciones con un alto riesgo.
•Formular las medidas de seguridad necesarias dependiendo del nivel de
seguridad que se requiera.
•La justificación del costo de implantar las medidas de seguridad para poder
clasificar el riesgo e identificar las aplicaciones de alto riesgo, se debe
preguntar lo siguiente:
oQue sucedería si no se puede usar el sistema?
oSi la contestación es que no se podría seguir trabajando, esto nos sitúa
en un sistema de alto riego.

•La siguiente pregunta es:

o¿Qué implicaciones tiene el que no se obtenga el sistema y cuanto
tiempo podríamos estar sin utilizarlo?
o¿Existe un procedimiento alterno y que problemas nos ocasionaría?
o¿Que se ha hecho para un caso de emergencia?
¿CÓMO EVALUAR LAS MEDIDAS DE
SEGURIDAD?
Para evaluar las medidas de seguridad se debe:
 Especificar la aplicación, los programas y archivos.
 Las medidas en caso de desastre, pérdida total, abuso y los planes
necesarios.
 Las prioridades que se deben tomar en cuanto a las acciones a corto y
largo plazo.
 En cuanto a la división del trabajo se debe evaluar que se tomen las
siguientes precauciones, las cuales dependerán del riesgo que tenga la
información y del tipo y tamaño de la organización.
 El personal que prepara la información no debe tener acceso a la operación.
 Los análisis y programadores no deben tener acceso al área de operaciones
y viceversa.
 Los operadores no debe tener acceso irrestringido a las librerías ni a los
lugares donde se tengan los archivos almacenados; es importante separar
las funciones de librería y de operación.
 Los operadores no deben ser los únicos que tengan el control sobre los
trabajos procesados y no deben hacer las correcciones a los errores
detectados.
¿CÓMO REALIZAR LA AUDITORIA DE LA
SEGURIDAD LÓGICA?
•Clasificar la instalación en términos de riesgo
•Identificar aquellas aplicaciones que tengan un alto riesgo.
•Cuantificar el impacto en el caso de suspensión del servicio
en aquellas aplicaciones con un alto riesgo.
•Formular las medidas de seguridad necesarias dependiendo
del nivel de seguridad que se requiera.
•La justificación del costo de implantar las medidas de
seguridad para poder clasificar el riesgo e identificar las
aplicaciones de alto riesgo, se debe preguntar lo siguiente:
oQue sucedería si no se puede usar el sistema?
oSi la contestación es que no se podría seguir trabajando,
esto nos sitúa en un sistema de alto riego.

•La siguiente pregunta es:

o¿Qué implicaciones tiene el que no se obtenga el sistema
y cuanto tiempo podríamos estar sin utilizarlo?
o¿Existe un procedimiento alterno y que problemas nos
ocasionaría?
o¿Que se ha hecho para un caso de emergencia?