SEGURIDAD LOGICA : PLAN DE COPIAS DE SEGURIDAD O RESPALDO, POLITICAS DE SEGURIDAD EN LOS SERVIDORES, SEGURIDAD EN INTRANET, SEGURIDAD EN BASE DE DATOS

Y LA AUDITORIA DE SISTEMA.

CONCEPTOS SEGURIDAD LOGICA

Se encarga de los controles de acceso que estn diseados para salvaguardar la integridad de la informacin almacenada de una computadora, as como de controlar el mal uso de la informacin. Controla y salvaguarda la informacin generada por los sistemas, por el software de desarrollo y por los programas en aplicacin. En General:
La Seguridad Lgica consiste en la aplicacin de barreras y procedimientos que resguarden el acceso a los datos y slo se permita acceder a ellos a las personas autorizadas para hacerlo. 3

Consecuencias de una falta de Seguridad Lgica.

Cambio de los datos antes o cuando se le da entrada a la computadora Copias de programas y/o informacin
Cdigo oculto en un programa Entrada de virus
4

Diferentes tipos de usuario:

Propietario Administrador Usuario Principal Usuario de consulta Usuario de Explotacin Usuario de Auditora
5

reas de La Seguridad Lgica

Rutas de acceso Claves de acceso Software de control de acceso Encriptamiento

6

Objetivos de una Seguridad Lgica

Restringir el acceso a los programas y archivos.

Asegurar que los operadores puedan trabajar sin una supervisin minuciosa y no puedan modificar los programas ni los archivos que no correspondan. Asegurar que se estn utilizados los datos, archivos y programas correctos en y por el procedimiento correcto.
Que la informacin transmitida sea recibida slo por el destinatario al cual ha sido enviada y no a otro.

Objetivos de una Seguridad Lgica

Que la informacin recibida sea la misma que ha sido

transmitida.
Que existan sistemas alternativos secundarios de

transmisin entre diferentes puntos.

Que se disponga de pasos alternativos de emergencia

para la transmisin de informacin.

Requisitos mnimos de seguridad para cualquier sistema

Identificacin y Autentificacin Roles Algunos roles seran los siguientes: programador, lder de proyecto, gerente de un rea usuaria, administrador del sistema, etc. En este caso los derechos de acceso pueden agruparse de acuerdo con el rol de los usuarios. Transacciones Tambin pueden implementarse controles a travs de las transacciones, por ejemplo solicitando una clave al requerir el procesamiento de una transaccin determinada. Limitaciones a los Servicios Se refieren a las restricciones que dependen de parmetros propios de la utilizacin de la aplicacin o preestablecidos por el administrador del sistema. Un ejemplo podra ser que en la organizacin se disponga de licencias para la utilizacin simultnea de un determinado producto de software.

 Modalidad de Acceso Ubicacin y Horario

El acceso a determinados recursos del sistema puede estar basado en la ubicacin fsica o lgica de los datos o personas.
En cuanto a los horarios, este tipo de controles permite

limitar el acceso de los usuarios a determinadas horas de da o a determinados das de la semana.

Control de Acceso Interno Control de Acceso Externo Administracin

Parte de emmanuel

Ultima parte de emmanuel la siguiente es la de otniel

Polticas de seguridad en servidores.

Elementos de seguridad de los servidores: Control de Ejecucin y de las actividades de todas las aplicaciones que estn corriendo en el sistema. Los sistemas operativos usan claves de acceso. limitan el nmero de accesos no autorizados. La implementacin opcional de caractersticas de seguridad cuando el sistema es instalado. sistemas operativos tienen un completo control sobre las actividades de todas las aplicaciones del servidor. El sistema operativo tiene autoridad para dar facilidades de seguridad. El administrador de la seguridad de datos establecen sus privilegios a travs del sistema operativo. Los sistemas operativos permiten la definicin de consolas desde las cuales los operadores pueden introducir comandos al sistema operativo.

Polticas de seguridad en servidores.

Controles lgicos en servidores: Los password e identificadores debern ser confidenciales. Poltica de contrasea diferente para usuarios especiales (Administrador del dominio y cuentas de servicio) Permitir uso de autentificacin de dos factores Smartcards, biometricos, otros tokens. El acceso al software de sistema operativo deber ser restringido. El acceso a utileras del sistema operativo ser restringido. Las instalaciones de sistemas y las reinstalaciones deben ser monitoreadas. Disponer de un firewall(cortafuego). Antivirus. El uso de consolas debe restringido a individuos autorizados.

Polticas de seguridad en servidores.

Consideraciones al auditar: Las facilidades del sistema operativo. Controles de acceso sobre tablas que definen privilegios de usuarios, programas y funciones. Controles de acceso sobre consolas y privilegios asociados. Bitcoras de auditora. Posibilidad y uso del control de acceso sobre los default de inicio de ID de usuarios y passwords. Comandos de software o funciones que son consideradas importantes. Utileras del sistema operativo que pueden ser usados para leer o almacenar informacin importante.

Polticas de seguridad en intranet.

Elementos de seguridad: Controlar la invocacin de los programas de aplicacin. Verificar que todas las transacciones estn completas y sean correctamente transmitidas. Restringir a los usuarios para actuar en funciones seleccionadas. Restringir el acceso al sistema a ciertos individuos.

Polticas de seguridad en intranet

Los controles incluyen lo siguiente: Controlar el acceso a datos sensibles y recursos de la red. Los comandos del operador (que pueden por ejemplo dar shutdown a los componentes de la red) slo pueden ser usados por usuarios autorizados. El acceso diario al sistema debe ser monitoreado y protegido. Asegurar que los datos no sean accesados o modificados por un usuario no autorizado. encriptacin de la informacin. Los filtros automticos antispam (e-mail). Controlar el acceso a sitios web no seguros.

Polticas de seguridad en intranet.

Consideraciones al auditar: Restricciones al acceso de la red basados en tiempo, da, usuario, lugar y terminal. Apagado automtico de terminales inactivas en un tiempo especfico (terminales que pueden ser usadas). Facilidad de acceso no autorizado basada en protocolos de transmisin. Horas durante las cuales la lnea est disponible. Recursos y funciones posibles a travs del acceso. Uso de identificacin de la terminal fsicamente. Controles de acceso sobre los recursos, funciones y tablas de configuracin de red. El uso de red de rea local y la conectividad para otras LAN, WAN o redes en otro lugar.

Polticas de seguridad en intranet.

Consideraciones al auditar: Si el software ejecuta las funciones de la identificacin del usuario y procedimientos de autentificacin. Procedimientos para la proteccin de comunicaciones. Posibilidad y uso de encriptacin de datos. Los reportes logs ( que son usados para reportar las actividades de la red, de acceso a software de telecomunicaciones) o bitcoras de auditora. Identificaciones de usuarios no utilizados. Identificaciones de usuarios con privilegios especiales. Un reporte de referencias cruzadas que debe mostrar a los ID usuarios con cada acceso a las aplicaciones. Lista de todos los ID usuarios por grupos

Polticas de seguridad en base de datos.

Elementos de seguridad: Identificador para el usuario, la sesin y la terminal. vistas lgicas. accesos a procedimientos, funciones limitado a usuarios autorizados. utileras de la base de datos proveen funciones de mantenimiento. diccionario de datos. Todas las modificaciones al diccionario de datos (DD) deben producir una bitcora.

Polticas de seguridad en base de datos.

Los controles incluyen lo siguiente: La base de datos debe ser segura y se usarn las facilidades de control de acceso construidas dentro del software DBMS. El acceso a los archivos de datos deber ser restringido. Deber controlarse el acceso al diccionario de datos. Control de acceso construidas dentro del software DBMS. La bitcora de auditora debe reportar los accesos al diccionario de datos. Las modificaciones de capacidades desde el DBMS para las bases de datos debern limitarse al personal apropiado.

Polticas de seguridad en base de datos.

Consideraciones al auditar: Procedimientos usados para el acceso a la base de datos y al diccionario de datos. El diseo de una restriccin de acceso en los archivos por niveles, incluyendo restricciones sobre archivos fsicos y lgicos en el DBMS y en el diccionario de datos. Seguridad de campos, uso de secciones de usuarios y passwords y restricciones de acceso. Si el software ejecuta la funcin de identificacin del usuario y procedimientos de autentificacin. Comandos y funciones del diccionario de datos. Accesos de los programadores, acceso a DBMS y comandos o funciones (diccionario de datos). Bitcoras de auditora. El software de desarrollo que afecta a la seguridad del DBMS.

Conclusin
El activo ms importante que se posee es la informacin, y por lo tanto deben existir tcnicas, ms all de la seguridad fsica, que la aseguren. Estas tcnicas las brinda la Seguridad Lgica. El tipo de seguridad puede comenzar desde la simple llave de acceso (contrasea o password) hasta los sistemas ms complicados, pero se debe evaluar que cuanto ms complicados sean los dispositivos de seguridad ms costosos resultan. Por lo tanto, se debe mantener una adecuada relacin de seguridad - costo en los sistemas de informacin.