Seguridad Lógica

37,397 views

Published on

Seguridad Lógica en centros de Computo

Published in: Technology, Business
3 Comments
10 Likes
Statistics
Notes
No Downloads
Views
Total views
37,397
On SlideShare
0
From Embeds
0
Number of Embeds
134
Actions
Shares
0
Downloads
1,201
Comments
3
Likes
10
Embeds 0
No embeds

No notes for slide

Seguridad Lógica

  1. 1. SEGURIDAD LOGICA Y CONFIDENCIAL<br />QUE ES LA SEGURIDAD LOGICA Y CONFIDENCIAL?<br />Básicamente es la protección de la información, en su propio medio contra robo o destrucción, copia o difusión. Para ellos puede usarse la Criptografía, Firma Digital, Administración de Seguridad y limitaciones de Accesibilidad a los usuarios<br />
  2. 2. SEGURIDAD LOGICA Y CONFIDENCIAL<br />INFORMACIÓN CONFIDENCIAL<br />ALMACENA<br />DESTRUCCIÓN TOTAL O PARCIAL<br />MAL UTILIZADA<br />ROBOS<br />FRAUDES<br />SABOTAJES<br />Consecuencia: Pérdidas de dinero<br />
  3. 3. SEGURIDAD LOGICA Y CONFIDENCIAL<br />AUDITORIA destierra: <br />Paquetes copiados<br />Virus<br />Software pirata<br />Red<br />destrucción<br />Acceso modificar información con propósitos fraudulentos<br />Mala utilización de los equipos<br />Instalación de programas innecesarios<br />BD<br />
  4. 4. SEGURIDAD LOGICA Y CONFIDENCIAL<br />teléfono<br />
  5. 5. ¿En qué consiste la seguridad lógica?<br />SEGURIDAD LÓGICA<br />“Aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo.“<br />“Todo lo que no está permitido debe estar prohibido”<br />
  6. 6. ¿De qué se encarga la seguridad lógica? <br />Controlar y salvaguardar la información generada.<br />Controles de acceso para salvaguardar la integridad de la información almacenada<br />Seguridad Lógica<br />Identificar individualmente a cada usuario y sus actividades en el sistema.<br />
  7. 7. ¿Qué consecuencias podría traer a la organización la falta de seguridad lógica?<br />Cambio de los datos. <br />Copias de programas <br /> y /o información. <br />Código oculto en un programa <br />Entrada de virus <br />
  8. 8. Objetivos principales<br />Integridad<br />Garantizar que los datos sean los que se supone que son.<br />Confidencialidad<br />Asegurar que sólo los individuos autorizados tengan acceso a los recursos que se intercambian.<br />Disponibilidad<br />Garantizar el correcto funcionamiento de los sistemas de información.<br />Autenticación<br />Asegurar que sólo los individuos autorizados tengan acceso a los recursos.<br />Evitar el rechazo<br />Garantizar de que no pueda negar una operación realizada.<br />
  9. 9. Objetivos ESPECÍFICOs<br />Restringir el acceso a los programas y archivos. <br />Asegurar que los operadores puedan trabajar sin una supervisión minuciosa. <br />Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el procedimiento correcto. <br />Garantizar que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro. <br />Certificar que la información recibida sea la misma que ha sido transmitida. <br />Asegurar que existan sistemas alternativos secundarios de transmisión entre diferentes puntos. <br />Cerciorar que se disponga de pasos alternativos <br /> de emergencia para la transmisión de <br /> información. <br />
  10. 10. ÁREAS DE LA SEGURIDAD LÓGICA<br /><ul><li>Sólo lectura
  11. 11. Sólo consulta
  12. 12. Lectura y consulta
  13. 13. Lectura escritura para crear, actualizar, borrar, ejecutar o copiar </li></ul>1. Rutas de acceso <br /><ul><li>Un password, código o llaves de acceso.
  14. 14. Una credencial con banda magnética
  15. 15. Algo especifico del usuario:</li></ul> - Las huellas dactilares. <br /> - La retina <br /> - La geometría de la mano. <br /> - La firma. <br /> - La voz. <br />2. Clavesdeacceso<br />
  16. 16. ÁREAS DE LA SEGURIDAD LÓGICA<br /><ul><li>Definición de usuarios. </li></ul>Tipos de usuarios:<br /><ul><li>Propietario.
  17. 17. Administrador.
  18. 18. Usuario principal.
  19. 19. Usuario de explotación.
  20. 20. Usuario de auditoría.
  21. 21. Definición de las funciones del usuario (Jobs)
  22. 22. La integridad es la responsabilidad de los individuos autorizados para modificar datos o programas.
  23. 23. La confidencialidad es responsabilidad de los individuos autorizados para consultar o para bajar archivos importantes.
  24. 24. La responsabilidad es responsabilidad de individuos autorizados para alterar los parámetros de control de acceso al sistema. </li></ul>3. Software <br /> de control <br /> de acceso <br />
  25. 25. <ul><li>Establecimiento de auditoría a través del uso del sistema. </li></ul>El software de seguridad tiene la capacidad para proteger los recursos de acceso no autorizados, como: <br /><ul><li>Procesos en espera de modificación por un programa de aplicación.
  26. 26. Accesos por editores en línea.
  27. 27. Accesos por utilerías de software.
  28. 28. Accesos a archivos de las bases de datos, a través de un manejador de base de datos.
  29. 29. Acceso de terminales o estaciones no autorizadas. </li></ul>El software de seguridadpuede detectar las violaciones de seguridad, tomando las siguientes medidas: <br /><ul><li>Terminaciones de procesos.
  30. 30. Forzar a las terminales a apagarse.
  31. 31. Desplegar mensajes de error.
  32. 32. Escribir los riesgos para la auditoría. </li></ul>Implica la codificación de información que puede ser transmitida vía una red de cómputo o un disco para que solo el emisor y el receptor la puedan leer.<br />ÁREAS DE LA SEGURIDAD LÓGICA<br />3. Software <br /> de control <br /> de acceso <br />4. Encriptamiento<br />
  33. 33. Etapas para Implantar un Sistema de Seguridad<br /><ul><li>Introducir el tema de seguridad en la visión.
  34. 34. Definir los procesos de flujo de información y sus riesgos.
  35. 35. Capacitar a los gerentes y directivos.
  36. 36. Designar y capacitar supervisores de área.
  37. 37. Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras relativamente rápidas.
  38. 38. Mejorar las comunicaciones internas.
  39. 39. Identificar claramente las áreas de mayor riesgo.
  40. 40. Capacitar a todos los trabajadores en los elementos básicos de seguridad y riesgo.</li></li></ul><li>BENEFICIOS DE UN SISTEMA DE SEGURIDAD <br />Aumento de la productividad.<br />Aumento de la motivación del personal.<br />Compromiso con la misión de la compañía.<br />Mejora de las relaciones laborales.<br />Ayuda a formar equipos competentes.<br />Mejora de los climas laborales para los RR.HH.<br />
  41. 41. Niveles de Seguridad Informática<br />Nivel B2<br />Protección Estructurada<br />Soporta seguridad multinivel<br />.<br />Nivel B1<br />Seguridad Etiquetada<br />Soporta seguridad multinivel<br />.<br />Nivel C2<br />Protección de Acceso Controlado<br />Auditoria de accesos e intentos fallidos de acceso a objetos.<br />Nivel C1<br />Protección Discrecional<br />Acceso de control discrecional<br />Identificación y Autentificación<br />Nivel D Ninguna especificación de seguridad<br />
  42. 42. Niveles de Seguridad Informática<br />
  43. 43. Evaluar el nivel de riesgo<br /><ul><li>Clasificar la instalación en términos de riesgo(alto, mediano, pequeño).
  44. 44. Identificar aquellas aplicaciones que tengan un alto riesgo.
  45. 45. Cuantificar el impacto en el caso de suspensión del servicio en aquellas aplicaciones con un alto riesgo.
  46. 46. Formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera.
  47. 47. La justificación del costo de implantar las medidas de seguridad para poder clasificar el riesgo e identificar las aplicaciones de alto riesgo, se debe preguntar lo siguiente:
  48. 48. Que sucedería si no se puede usar el sistema?
  49. 49. Si la contestación es que no se podría seguir trabajando, esto nos sitúa en un sistema de alto riego.
  50. 50. La siguiente pregunta es:
  51. 51. ¿Qué implicaciones tiene el que no se obtenga el sistema y cuanto tiempo podríamos estar sin utilizarlo?
  52. 52. ¿Existe un procedimiento alterno y que problemas nos ocasionaría?
  53. 53. ¿Que se ha hecho para un caso de emergencia? </li></li></ul><li>¿Cómo evaluar las medidas de seguridad?<br />Para evaluar las medidas de seguridad se debe: <br />Especificar la aplicación, los programas y archivos. <br />Las medidas en caso de desastre, pérdida total, abuso y los planes necesarios. <br />Las prioridades que se deben tomar en cuanto a las acciones a corto y largo plazo. <br />En cuanto a la división del trabajo se debe evaluar que se tomen las siguientes precauciones, las cuales dependerán del riesgo que tenga la información y del tipo y tamaño de la organización. <br />El personal que prepara la información no debe tener acceso a la operación. <br />Los análisis y programadores no deben tener acceso al área de operaciones y viceversa. <br />Los operadores no debe tener acceso irrestringido a las librerías ni a los lugares donde se tengan los archivos almacenados; es importante separar las funciones de librería y de operación. <br />Los operadores no deben ser los únicos que tengan el control sobre los trabajos procesados y no deben hacer las correcciones a los errores detectados. <br />
  54. 54. ¿Cómo realizar la auditoria de la seguridad lógica? <br /><ul><li>Clasificar la instalación en términos de riesgo
  55. 55. Identificar aquellas aplicaciones que tengan un alto riesgo.
  56. 56. Cuantificar el impacto en el caso de suspensión del servicio en aquellas aplicaciones con un alto riesgo.
  57. 57. Formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera.
  58. 58. La justificación del costo de implantar las medidas de seguridad para poder clasificar el riesgo e identificar las aplicaciones de alto riesgo, se debe preguntar lo siguiente:
  59. 59. Que sucedería si no se puede usar el sistema?
  60. 60. Si la contestación es que no se podría seguir trabajando, esto nos sitúa en un sistema de alto riego.
  61. 61. La siguiente pregunta es:
  62. 62. ¿Qué implicaciones tiene el que no se obtenga el sistema y cuanto tiempo podríamos estar sin utilizarlo?
  63. 63. ¿Existe un procedimiento alterno y que problemas nos ocasionaría?
  64. 64. ¿Que se ha hecho para un caso de emergencia? </li>

×