Seguridad en el control de aplicaciones

239 views
216 views

Published on

Definiciones de:
Encriptamiento de datos
Roles y permisos
Auditoria de procesos
Perfiles de Usuario

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
239
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Seguridad en el control de aplicaciones

  1. 1. TEMA: SEGURIDAD EN EL CONTROL DE APLICACIONES<br />MANEJO DE PERFILES DE USUARIOS<br />Los perfiles de usuario son una de las herramientas más importantes de Windows para la configuración del entorno de trabajo. Definen un entorno de escritorio personalizado, en el que se incluye la configuración individual de la pantalla, así como las conexiones de red, las impresoras… Cada usuario puede tener un perfil asociado a su nombre de usuario que se guarda en su ordenador, (o en el caso de Windows 2003 Server en el mismo servidor), y el usuario o el administrador de sistema pueden definir el entorno de escritorio. <br />Localización: C:Documents and SettingsAll Users, las configuraciones de la carpeta All Users se utilizan para crear los perfiles de usuario individuales. (La carpeta All Users también contiene valores de configuración por equipo para el escritorio y el menú inicio) <br />Archivo NTuser.dat: es una parte del registro del perfil de usuario. Cuando un usuario cierra su sesión, el sistema carga la sección del registro específica de dicho usuario (es decir, HKEY_CURRENT_USER) en NTuser.dat y la actualiza. <br />Existen varios tipos de perfiles de usuario: <br />Perfil de usuario local: es el más conocido, se crea la primera vez que un usuario inicia sesión en un ordenador y se almacena en el disco duro local. Todas las modificaciones efectuadas en un perfil de usuario local son específicas del equipo concreto en el que se hayan realizado.<br />Perfil de usuario móvil: orientado a servidores, lo crea el administrador de sistema y se almacena en un servidor. Se descarga al equipo local cuando un usuario inicia sesión y se actualiza tanto localmente como en el servidor cuando el usuario cierra sesión.<br />Perfil de usuario obligatorio: no se actualiza cuando el usuario cierra la sesión. Se descarga en el escritorio del usuario cada vez que inicia sesión.<br />Perfil de usuario temporal: se elimina al final de cada sesión. Los cambios realizados por el usuario en la configuración del escritorio y los archivos se pierden cuando cierra sesión.<br /> TIPOS DE USUARIOS:<br />· DBA: están permitidas todas las operaciones, conceder privilegios y establecer usuarios<br />Usuario con derecho a crear, borrar y modificar objetos y que además puede conceder privilegios a otros usuarios sobre los objetos que ha creado.<br />· Usuario con derecho a consultar, o actualizar, y sin derecho a crear o borrar objetos.<br />Privilegios sobre los objetos, añadir nuevos campos, indexar, alterar la estructura de los objetos, etc.<br />Los SGBD:tienen opciones que permiten manejar la seguridad, tal como GRANT, REVOKE, etc. También tienen un archivo de auditoria en donde se registran las operaciones que realizan los usuarios.<br />Los perfiles de usuario ofrecen varias ventajas:<br />Varios usuarios pueden utilizar el mismo equipo. Cuando los usuarios inician una sesión en sus ordenadores, reciben la configuración de escritorio que tenían al terminar su última sesión.<br />La personalización del entorno de escritorio efectuada por un usuario no afecta a la configuración del resto de los usuarios, es decir, en el perfil de usuario queda almacenado:<br />Datos de programa: Datos específicos de los programas (por ejemplo: un diccionario personalizado, perfiles de programas…)<br />Cookies: Información y preferencias del usuario.<br />Escritorio: Elementos del escritorio: incluidos archivos, accesos directos, carpetas y wallpaper.<br />Favoritos: Accesos directos a las ubicaciones favoritas de Internet.<br />Configuración local: Archivos de datos de programas, historial y temporal.<br />Mis documentos: Documentos y subcarpetas del usuario.<br />Documentos recientes: Accesos directos a los documentos utilizados recientemente.<br />Entorno de red: Accesos directos a elementos de Mis sitios de red.<br />Impresoras: Accesos directos a elementos de la carpeta Impresoras.<br />SendTo: Accesos directos a las utilidades de control de los documentos.<br />Menú Inicio: Accesos directos a programas.<br />Plantillas: Elementos de plantillas del usuario.<br />Sí, como podéis ver cada vez que formateamos el sistema operativo tenemos que volver a configurar todos los elementos del perfil de usuario, por lo que copiando y teniendo un backup de nuestro perfil de usuario podríamos ahorrarnos mucho tiempo configurando todo nuestro entorno de trabajo.<br />ROLES Y PERMISOS<br />Un punto crítico en los gestores de contenidos es el de los permisos y es importante disponer de algun mecanismo que permita establecer que operaciones podrá realizar cada usuario. El objetivo es evitar que, por accidente o de forma intencionada, un usuario pueda realizar operaciones que comprometan la integridad y funcionamiento del sitio web. Para este fin, Drupal utiliza un sistema de roles, permisos y usuarios.<br />Entendemos por usuario a cualquier persona que accede al sitio web. Los usuarios se pueden agrupar en roles en función de las operaciones que se les permite realizar. Es decir, que cada rol se caracteriza por disponer de una serie concreta de permisos. Se entiende por permiso la posibilidad de ejecutar determinadas operaciones o no sobre los diferentes elementos del CMS. <br />En Drupal los roles se pueden gestionar  (crear, destruir o modificar) en "Administer>User managment>Roles". Para gestionar los permisos asociados a cada Rol deberemos ir a "Administer>User managment>Permisions". Luego para especificar que tareas se permitirán a cada usuario, bastará con asignarle un Rol a cada uno de ellos. <br />Se pueden crear los roles que se quiera, con los permisos que se  crean convenientes, pero por lo general se suelen definir los siguientes:<br />- Visitante: usuario que simplemente podrá leer o buscar en los contenidos y no necesita autentificarse. Para este tipo de usuarios se puede usar el rol “anonymous user” que viene por defecto con Drupal.- Usuario autentificado: se le permite dejar comentarios u opinar sobre los productos o simplemente participar generando algún tipo de contenido. Para este tipo de usuario se puede utilizar el rol “authenticated user”.- Editor: gestiona a los usuarios y todos los contenidos y no tiene porque tener nociones técnicas del funcionamento del sistema. Puede ser p.ej. el propietario de una tienda virtual o de una comunidad virtual, el cual no tiene conociemientos técnicos de la plataforma pero debe disponer de control total sobre los contenidos del sitio.- Administrador: es el responsable técnico y puede acceder a cualquiera de los aspectos del sistema, configurando o modificando cualquier parámetro de éste. Este usuario tiene control total sobre el sitio web, por lo que puede realizar cualquier operación de configuración o mantenimiento sobre este.<br />Un punto que a los recién iniciados puede causar confusión es el del usuario de la base de datos y los usuarios del sitio web. Como se explica en el apartado de instalación, antes de poner en marcha un sitio web, debemos crear una base de datos y un usuario con todos los permisos sobre esta. Al iniciar la instalación de Drupal, este nos pedirá el usuario y password de la base de datos, es decir el nombre del usuario que tiene permisos totales sobre esa base de datos y su password. Este usuario y password únicamente serán utilizados por Drupal para acceder y guardar el valor de las diferentes variables en la base de datos. <br />Al principio del todo de la instalación, una vez le hemos indicado a Drupal como acceder a la base de datos, nos pedirá que configuremos el usuario con permisos totales sobre el sitio web. Este usuario no tiene nada que ver con el de la base de datos, y puede ser el que queramos. De hecho el motor de Drupal guardará está información en la tabla “users” de la base de datos (en el campo name guardará el nombre, y en pass el password encriptado con un hash MD5), mientras que el usuario y password de la bbdd lo guardará en unos ficheros de su instalación. Es importante que el acceso a las carpetas de estos ficheros tengan los permisos correctamente configurados. Así en resumen, ha de quedar claro que una cosa es el usuario de la base de datos y otra los usuarios del sitio web.<br />Encriptamiento de datos<br />Introducción<br />Cuando es necesario darle seguridad a ciertos datos de nuestra aplicación, y buscamos información en el Web que nos permita lograrlo, es normal que hablemos (o leamos) de encriptación, y que irremediablemente salgan a la luz palabras tales como algoritmos simétricos, asimétricos y Hash. Estos términos pueden generar temor o dar la sensación de ser complejos. La motivación de este documento es mostrar qué es la encriptación sin necesidad de profundizar en cómo funciona un algoritmo internamente; y también indicar las malas prácticas que se realizan popularmente. Se revisará además la forma correcta de utilizar los algoritmos de encriptación, dónde se deben usar y dónde no.<br />Debido a lo extenso del tema en cuestión y a que es preferible realizar todas las explicaciones correspondientes, fue necesario dividir el documento en dos partes. Lo que contendrá cada parte está detallado en el siguiente índice.<br />La encriptación es el proceso para volver ilegible información considera importante. La información una vez Encriptada sólo puede leerse aplicándole una clave.Se trata de una medida de seguridad que es usada para almacenar o transferir información delicada que no debería ser accesible a terceros.Para encriptar información se utilizan complejas fórmulas matemáticas o programas que te hacen sencilla esta tarea y para desencriptar, se debe usar una clave como parámetro para esas fórmulas.Y generalmente se utiliza para protegerte del robo de identidad cuentas de banco etc. si no manejas esto por la red y lo guardas en un computador no hay necesidad de utilizar el cncriptamiento.<br />Toda encriptación se encuentra basada en un Algoritmo, la función de este Algoritmo es básicamente codificar la información para que sea indescifrable a simple vista, de manera que una letra "A" pueda equivaler a:"5x5mBwE" o bien a "xQE9fq", el trabajo del algoritmo es precisamente determinar cómo será transformada la información de su estado original a otro que sea muy difícil de descifrar.Todo los días aprovechamos este función, desde el simple hecho de enviar un correo electrónico, el mensaje sale de tu cuenta de correo, al salir de ahí se encripta y pierde toda forma legible, solo el destinatario final será capaz de leer tu mensaje porque solo esa cuenta al que la mandaste tendrá la llave.<br />Como sabemos, en un Sistema de Comunicación de Datos, es de vital importancia asegurar que la Información viaje segura, manteniendo su autenticidad, integridad, confidencialidad y el no repudio de la misma entre otros aspectos.<br />Estas características solo se pueden asegurar utilizando las Técnicas de Firma Digital Encriptada y la Encriptación de Datos.<br />Métodos de encriptación: Para poder Encriptar un dato, se pueden utilizar tres procesos matemáticos diferentes:<br />Los algoritmos HASH, los simétricos y los asimétricos.<br />· Algoritmo HASH:<br />Este algoritmo efectúa un cálculo matemático sobre los datos que constituyen el documento y da como resultado un número único llamado MAC. Un mismo documento dará siempre un mismo MAC.<br />· Algoritmos Simétricos:<br />Utilizan una clave con la cual se encripta y desencripta el documento. Todo documento encriptado con una clave, deberá desencriptarse, en el proceso inverso, con la misma clave. Es importante destacar que la clave debería viajar con los datos, lo que hace arriesgada la operación, imposible de utilizar en ambientes donde interactúan varios interlocutores.<br />· Algoritmos Asimétricos (RSA):<br />Requieren dos Claves, una Privada (única y personal, solo conocida por su dueño) y la otra llamada Pública, ambas relacionadas por una fórmula matemática compleja imposible de reproducir.<br /> El concepto 1 de criptografía de clave pública fue introducido por Whitfield Diffie<br />Y Martin Hellman a fin de solucionar la distribución de claves secretas de los sistemas tradicionales, mediante un canal inseguro.<br />El usuario, ingresando su PIN genera la clave Pública y Privada necesarias. La clave<br />Pública podrá ser distribuida sin ningún inconveniente entre todos los interlocutores. La Privada deberá ser celosamente guardada.<br />Cuando se requiera verificar la autenticidad de un documento enviado por una persona se utiliza la Clave Publica porque el utilizó su Clave Privada.<br />AUDITORIA DE PROCESOS<br />Cuando se generalizó el uso de las nuevas tecnologías, surgió también la necesidad de realizar auditorías sobre los sistemas de tratamiento de información. En este sentido se podría decir que la auditoria informática comprende el conjunto de actividades encaminadas a la validación y verificación de los sistemas, procesos y resultados en los que se utilicen tecnologías automatizadas, ya sea en cumplimiento de la legislación, como garantía de la integridad de la información aportada por un sistema o por alineamiento con determinados estándares relacionados con el buen uso (best practices) de los sistemas.<br />Tipos de auditorías Informáticas<br />Regular Informática: Se refiere a las que se realizan a la calidad de la información existente en las bases de datos de los sistemas informáticos que se utilizan para controlar los recursos, su entorno y los riesgos asociados a esta actividad. <br />Especial Informática: Consiste en el análisis de los aspectos específicos relativos a las bases de datos de los sistemas informáticos en que se haya detectado algún tipo de alteración o incorrecta operatoria de los mismos. <br />Recurrente Informática: Son aquellas donde se examinan los Planes de Medidas elaborados en auditorias informáticas anteriores donde se obtuvo la calificación de Deficiente o Malo, ya sea en una Regular o Especial.<br />La auditoría informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes.<br />Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia.<br />Los objetivos de la auditoría Informática son:<br />El control de la función informática<br />El análisis de la eficiencia de los Sistemas Informáticos<br />La verificación del cumplimiento de la Normativa en este ámbito<br />La revisión de la eficaz gestión de los recursos informáticos.<br />La auditoría informática sirve para mejorar ciertas características en la empresa como:<br />Desempeño<br />Fiabilidad<br />Eficacia<br />Rentabilidad<br />Seguridad<br />Privacidad<br />Generalmente se puede desarrollar en alguna o combinación de las siguientes areas:<br />Gobierno corporativo<br />Administración del Ciclo de vida de los sistemas<br />Servicios de Entrega y Soporte<br />Protección y Seguridad<br />Planes de continuidad y Recuperación de desastres<br />La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría informática ha promovido la creación y desarrollo de mejores prácticas como COBIT, COSO e ITIL.<br />Actualmente la certificación de ISACA para ser CISA Certified Information Systems Auditor es una de las más reconocidas y avaladas por los estándares internacionales ya que el proceso de selección consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificación.<br /> Tipos de Auditoría informática<br />Dentro de la auditoría informática destacan los siguientes tipos (entre otros):<br />Auditoría de la gestión: la contratación de bienes y servicios, documentación de los programas, etc.<br />Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.<br />Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas.<br />Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos.<br />Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.<br />Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.<br />Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.<br />Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación.<br />Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.<br />La técnica de la auditoría, siendo por tanto aceptables equipos multidisciplinarios formados por titulados en Ingeniería Informática e Ingeniería Técnica en Informática y licenciados en derecho especializados en el mundo de la auditoría.<br />Principales pruebas y herramientas para efectuar una auditoría informatica<br />En la realización de una auditoría informática el auditor puede realizar las siguientes pruebas:<br />Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la información.<br />Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el análisis de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente.<br />Las principales herramientas de las que dispone un auditor informático son:<br />Observación<br />Realización de cuestionarios<br />Entrevistas a auditados y no auditados<br />Muestreo estadístico<br />Flujogramas<br />Listas de chequeo<br />Mapas conceptuales<br />

×