1 PRINCIPIOS DE LA SEGURIDAD LÓGICA
La mayoría de los daños que puede sufrir un sistema informático no será solo los medios físicos sino contra información almacenada y procesada. El activo mas importante que se posee es la información y por tanto deben existir técnicas mas allá de la seguridad física que la aseguren, estas técnicas las brinda la seguridad lógica.
Es decir que la seguridad lógica consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los datos y solo se permita acceder a ellos a las personas autorizadas para ello.
Los objetivos que se plantean serán:
- Restringir el acceso al arranque (desde la BIOS) al S.O, los programas y archivos.
- Asegurar que los usuarios puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan.
- Asegurar que se estén utilizando los datos, archivos y programas correctos en y por el procedimiento correcto analizando periódicamente los mismos.
2 TÉCNICAS DE CONTROL DE ACCESO
Estos controles pueden implementarse en la BIOS, el S.O, sobre los
sistemas de aplicación, en las DB, en un paquete especifico de de seguridad o
en cualquier otra aplicación. Constituyen una importante ayuda para proteger al
S.O de la red, al sistema de aplicación y demás software de la utilización o
modificaciones no autorizadas. Para mantener la integridad de la información
(restringiendo la cantidad de usuarios y procesos con acceso permitido) y resguardad la información confidencial de accesos no autorizados. Así mismo es
conveniente tener en cuenta otras consideraciones referidas a la seguridad lógica
como por ejemplo las relacionadas al procedimiento que se lleva a cabo para
determinar si corresponde un permiso de acceso
2.1 IDENTIFICACIÓN Y AUTENTICACIÓN
Se denomina identificación
al momento en que el usuario se da a conocer en el sistema y autenticación a la
verificación que se realiza en el sistema sobre esta identificación. Existen 4
tipos de técnicas que permiten realizar la autenticación de la identidad del
usuario, las cuales pueden ser utilizadas individualmente o combinadas:
- Algo que solamente el individuo conoce: Una clave, un pin etc..
- Algo que la persona posee: Una tarjeta.
- Algo que el individuo es: Huella digital o voz
- Algo que el individuo es capaz de hacer: Patrones de escritura.
Para conocer más acerca de estas técnicas vaya al tema de Seguridad Física.
Desde el punto de vista de la eficiencia es conveniente que los usuarios sean identificados y autenticados una sola vez, pudiendo a partir de ahí acceder a todas las aplicaciones y datos que su perfil permita, ya sea en local o remoto. Esto se denomina SINGLE LOGIN o SINCRONIZACIÓN DE PASSWORDS. Una de las posibles técnicas para implementar esta única identificación sería la utilización de servidores de autenticación sobre el que se identifican los usuarios y que se encarga luego de autenticar al usuario sobre los restantes equipos. Este servidor no tiene que ser necesariamente un solo equipo y puede tener sus funciones distribuidas geográficamente de acuerdo a los requerimientos de carga de tarea ( LDAP o ACTIVE DIRECTORY).
La seguridad informática se basa en gran medida en la efectiva administración de los permisos de acceso a los recursos informáticos basados en la identificación, autenticacion y autorización de accesos
2.1.1 PASSWORD SEGURAS
Para un atacante una contraseña segura debe parecerse a una cadena
aleatoria de caracteres, puede conseguir que su contraseña sea segura por los
siguientes criterios:
- Que no sea corta, cada carácter que agrega a su contraseña aumenta exponencialmente el grado de protección que esta ofrece, las contraseñas deben contener un mínimo de 8 caracteres lo ideal es que contengan 14 o mas, muchos sistemas también admiten el uso de la barra espaciadora de modo que se pueden crear contraseñas de varias palabras (una frase codificada) por lo general una frase codificada resulta mas fácil de recordar y mas difícil de adivinar que una contraseña simple.
- Combina letras, números y símbolos, cuantos mas diversos sean los tipos de caracteres mas difícil será adivinarla.
- Cuantos menos tipos de caracteres haya en la contraseña mas larga deberá ser esta. Una contraseña de 15 caracteres formada únicamente por letras y números es una 33000 veces mas segura que una de 8 caracteres compuestas por caracteres de todo tipo. Si la contraseña no puede tener símbolos deberá ser considerablemente mas larga para conseguir el mismo grado de protección. Una contraseña ideal combinaría una mayor longitud y distintos tipos de símbolos.
- Utiliza todo tipo de teclas, no te limites a los caracteres mas comunes los símbolos que necesitan que se presione la tecla mayúscula junto con un número son muy habituales, tu contraseña será mucho mas segura si eliges entre todos los símbolos del teclado incluidos los símbolos de puntuación así como los exclusivos de tu idioma.
- Utiliza palabras y frases que te resulten fáciles de recordar pero que a otras personas les sea difícil de adivinar. La manera mas sencilla de recordar tus contraseñas y frases codificadas consiste en anotarlas, no hay nada malo en anotar las contraseñas si bien estas anotaciones deben estar debidamente protegidas para que resulten seguras y eficaces.
- Por lo general las contraseñas escritas en un trozo de papel suponen un riesgo menor en Internet que un administrador de contraseñas, un sitio web u otra herramienta basada en Software.
Algunas estrategias que deben evitarse son:
- No incluya secuencias ni caracteres repetidos, cadenas como 12345678, 22222222, abcdefg o el uso de letras adyacentes en el teclado no ayudan a crear contraseñas seguras.
- Evita utilizar sustituciones de letras por símbolos o números similares por ejemplo la i por el 1, la a por la @, o la o por el 0. Estas sustituciones pueden ser eficaces cuando se combinan con otras medidas, con una mayor longitud, errores ortográficos voluntarios, variaciones entre mayúsculas y minúsculas.
- No utilice el nombre de inicio de sesión, cualquier parte del nombre, fecha de nacimiento, numero de la SS o datos similares propios o de tus familiares constituye una mala elección.
- No utilices palabras del diccionario de ningún idioma los delincuentes emplean herramientas capaces de descifrar rápidamente contraseñas basadas en palabras de distintos diccionarios que también abarcan palabras inversas, errores ortográficos comunes y sustituciones esto incluye todo tipo de blasfemias y palabrotas.
- Utiliza varias contraseñas para distintos entornos, si alguno de los equipos o sistemas en línea que utilizan esta contraseña queda expuesto toda la información protegida también estará en peligro.
- Evita utilizar sistemas de almacenamiento en linea, si algún usuario malintencionado encuentra estas contraseñas tendrá acceso a toda tu información.
- Opción de contraseña en blanco: Una contraseña en blanco en su cuenta es mas segura que una contraseña poco segura como 1234, puedes optar por usar contraseñas en blanco en la cuenta del equipo si se cumplen estos criterios:
- Tiene solo un equipo o bien tiene varios pero no necesita obtener acceso a la información de un equipo desde los otros
- El equipo es físicamente seguro (confías en todas las personas que tienen acceso físico al equipo).
- No siempre es buena idea usar una contraseña en blanco, por ejemplo es probable que un equipo portátil no sea físicamente seguro.
Cuida tus contraseñas y frases codificadas
tanto como la información que protegen, no la reveles a nadie, protege las
contraseñas registradas, no las facilites nunca por correo electrónico, cambia
tus contraseñas con regularidad y no las escribas en equipos que no controlas.
2.2 ROLES
El acceso a la información también puede controlarse a través de la
función perfil o rol del usuario que requiere dicho acceso. Algunos ejemplos de
roles serían programador, líder del proyecto, administrador del sistema etc..
En este caso los derechos de acceso y política de seguridad asociada pueden agruparse de acuerdo con el rol de los usuarios
2.3 LIMITACIONES A LOS SERVICIOS
Estos controles se refieren a las restricciones que dependen de parámetros propios de de la utilización de la aplicación o preestablecidos por el administrador del sistema. Un ejemplo podría ser licencias para la utilización simultanea de un determinado producto software para 5 personas de manera que desde el sistema no se permita la utilización del producto simultáneamente a un sexto usuario
En este caso los derechos de acceso y política de seguridad asociada pueden agruparse de acuerdo con el rol de los usuarios
2.3 LIMITACIONES A LOS SERVICIOS
Estos controles se refieren a las restricciones que dependen de parámetros propios de de la utilización de la aplicación o preestablecidos por el administrador del sistema. Un ejemplo podría ser licencias para la utilización simultanea de un determinado producto software para 5 personas de manera que desde el sistema no se permita la utilización del producto simultáneamente a un sexto usuario
2.4 MODALIDAD DE ACCESO
Se refiere al modo de acceso que se permite al usuario sobre los
recursos y la información esta modalidad puede ser:
- Lectura: el usuario puede únicamente leer o visualizar la información pero no puede alterarla, debe considerarse que la información puede ser copiada o impresa
- Escritura: este tipo de acceso permite agregar datos, modificar o borrar información
- Ejecución: otorga al usuario el privilegio de ejecutar programas.
- Borrado: permite al usuario eliminar recursos del sistema como programas, campos de datos o archivos.
- Todas las anteriores
Además existen otras modalidades de acceso especiales:
- Creación: permite al usuario crear archivos nuevos, registros o campos.
- Búsqueda: permite listar los archivos de un directorio determinado
2.5 UBICACIÓN Y HORARIOS
El acceso a determinados recursos del sistema puede estar basado en la ubicación física o lógica de los datos
o personas. En cuanto a los horarios este tipo de controles permite
limitar el acceso de los usuarios a determinadas horas del día o a determinados
días de la semana. Se debe mencionar que en estos dos tipos de controles
siempre deben ir acompañados de algunos de los controles anteriormente
mencionados.
3 ADMINISTRACIÓN
3 ADMINISTRACIÓN
Una vez establecidos los controles de acceso sobre los sistemas y a las
aplicaciones es necesario realizar una eficiente administración de estas
medidas lo que involucra la implementación,
seguimientos, pruebas y modificaciones sobre los accesos de los
usuarios en los sistemas. La política de seguridad que se desarrolle respecto a
la seguridad lógica debe guiar a las decisiones referidas a la determinación de
los controles de accesos, especificando las concesiones necesarias para el
establecimiento de perfiles de usuario.
La definición de permisos de
acceso requiere determinar cual será el nivel de seguridad necesario sobre los
datos por lo que es imprescindible clasificar
la información determinando el riesgo que produciría una
eventual exposición de la misma a usuarios no autorizados así los diversos
niveles de la información requerirán diferentes medidas y niveles de seguridad.
Para empezar la implementación es conveniente empezar definiendo las
medidas sobre la información mas
sensible o las aplicaciones mas críticas y avanzar de acuerdo a
un orden de prioridad
decreciente establecido alrededor de las aplicaciones.
Tiene que existir una conciencia de la seguridad organizacional por parte de todos los empleados, esta consciencia puede alcanzarse mediante el ejemplo del personal directivo en el cumplimiento de las políticas y estableciendo compromisos firmados por el personal donde se especifique la responsabilidad de cada uno.
Además debe existir una concienciación por parte de la administración
hacia el personal en donde se remarque la importancia de la información y las
consecuencias posibles de su perdida o apropiación por agentes extraños a la
organización.
3.1 ADMINISTRACIÓN DEL PERSONAL Y USUARIOS
Este proceso lleva generalmente 4 pasos:
- Definición de Puestos: Debe contemplarse
la máxima separación de funciones y el otorgamiento mínimo de permisos de
acceso por cada puesto para la ejecución de las tareas asignadas.
- Determinación de la sensibilidad del
puesto: Es necesario determinar si la función requiere permisos arriesgados
que le permitan alterar procesos, perpetuar fraudes o visualizar
información confidencial.
- Elección de la persona para cada puesto: Requiere considerar los requerimientos de experiencia y conocimientos técnicos necesarios para cada puesto, así mismo para los puestos definidos como críticos puede requerirse una verificación de antecedentes personales.
- Entrenamiento inicial y continuo del empleado: Cuando la persona ingresa a la organización debe comunicársele las políticas de seguridad de la organización y su responsabilidad. El personal debe sentir que la seguridad es un elemento prioritar.
4 ACTUALIZACIONES DEL SISTEMA Y APLICACIONES
Los ciber-delincuentes
suelen aprovechar las vulnerabilidades mas recientes que requieren
actualización inmediata de los sistemas, los fabricantes de software actualizan
sus programas cada vez que se descubre un agujero de seguridad.
Es de vital importancia actualizar los sistemas, tanto en sistema operativo como el resto de aplicaciones tan pronto como sea posible. La mayoría de aplicaciones y sistemas disponen de la opción de actualización automática se recomienda activar dicha opción.
RESUMEN: SEGURIDAD LOGICA
Es de vital importancia actualizar los sistemas, tanto en sistema operativo como el resto de aplicaciones tan pronto como sea posible. La mayoría de aplicaciones y sistemas disponen de la opción de actualización automática se recomienda activar dicha opción.
RESUMEN: SEGURIDAD LOGICA
No hay comentarios:
Publicar un comentario