SEGURIDAD LOGICA Y CONFIDENCIAL

QUE ES LA SEGURIDAD LOGICA Y CONFIDENCIAL?

Bsicamente es la proteccin de la informacin, en su propio medio contra robo o destruccin, copia o difusin. Para ellos puede usarse la Criptografa, Firma Digital, Administracin de Seguridad y limitaciones de Accesibilidad a los usuarios

SEGURIDAD LOGICA Y CONFIDENCIAL

INFORMACIN CONFIDENCIAL

ALMACENA

MAL UTILIZADA ROBOS FRAUDES SABOTAJES

DESTRUCCIN TOTAL O PARCIAL

Consecuencia: Prdidas de dinero

SEGURIDAD LOGICA Y CONFIDENCIAL

AUDITORIA destierra: Paquetes copiados

Virus

Software pirata Red destruccin

Acceso modificar informacin con propsitos fraudulentos BD

Mala utilizacin de los equipos Instalacin de programas innecesarios

SEGURIDAD LOGICA Y CONFIDENCIAL

telfono

EN QU CONSISTE LA SEGURIDAD LGICA?

SEGURIDAD LGICA

Aplicacin de barreras y procedimientos que resguarden el acceso a los datos y slo se permita acceder a ellos a las personas autorizadas para hacerlo.

Todo lo que no est permitido debe estar prohibido

DE QU SE ENCARGA LA SEGURIDAD LGICA?

Controles de acceso para salvaguardar la integridad de la informacin almacenada Controlar y salvaguardar la informacin generada.

Seguridad Lgica
Identificar individualmente a cada usuario y sus actividades en el sistema.

QU CONSECUENCIAS PODRA TRAER A LA ORGANIZACIN LA FALTA DE SEGURIDAD LGICA? Cambio de los datos. Copias de programas y /o informacin. Cdigo oculto en un programa Entrada de virus

OBJETIVOS PRINCIPALES
Integridad Garantizar que los datos sean los que se supone que son. Confidencialidad Asegurar que slo los individuos autorizados tengan acceso a los recursos que se intercambian.

Disponibilidad Garantizar el correcto funcionamiento de los sistemas de informacin.

Autenticacin Asegurar que slo los individuos autorizados tengan acceso a los recursos.

Evitar el rechazo Garantizar de que no pueda negar una operacin realizada.

OBJETIVOS ESPECFICOS

Restringir el acceso a los programas y archivos. Asegurar que los operadores puedan trabajar sin una supervisin minuciosa. Asegurar que se estn utilizados los datos, archivos y programas correctos en y por el procedimiento correcto. Garantizar que la informacin transmitida sea recibida slo por el destinatario al cual ha sido enviada y no a otro. Certificar que la informacin recibida sea la misma que ha sido transmitida. Asegurar que existan sistemas alternativos secundarios de transmisin entre diferentes puntos. Cerciorar que se disponga de pasos alternativos de emergencia para la transmisin de informacin.

REAS DE LA SEGURIDAD LGICA

1. Rutas de acceso
Slo lectura Slo consulta Lectura y consulta Lectura escritura para crear, actualizar, borrar, ejecutar o copiar Un password, cdigo o llaves de acceso. Una credencial con banda magntica Algo especifico del usuario: - Las huellas dactilares. - La retina - La geometra de la mano. - La firma. - La voz.

2. Claves de acceso

REAS DE LA SEGURIDAD LGICA

Definicin de usuarios. Tipos de usuarios: Propietario. Administrador. Usuario principal. Usuario de explotacin. Usuario de auditora. Definicin de las funciones del usuario (Jobs) La integridad es la responsabilidad de los individuos autorizados para modificar datos o programas. La confidencialidad es responsabilidad de los individuos autorizados para consultar o para bajar archivos importantes. La responsabilidad es responsabilidad de individuos autorizados para alterar los parmetros de control de acceso al sistema.

3. Software
de control de acceso

REAS DE LA SEGURIDAD LGICA

Establecimiento de auditora a travs del uso del sistema. El software de seguridad tiene la capacidad para proteger los recursos de acceso no autorizados, como: Procesos en espera de modificacin por un programa de aplicacin. Accesos por editores en lnea. Accesos por utileras de software. Accesos a archivos de las bases de datos, a travs de un manejador de base de datos. Acceso de terminales o estaciones no autorizadas. El software de seguridad puede detectar las violaciones de seguridad, tomando las siguientes medidas: Terminaciones de procesos. Forzar a las terminales a apagarse. Desplegar mensajes de error. Escribir los riesgos para la auditora. Implica la codificacin de informacin que puede ser transmitida va una red de cmputo o un disco para que solo el emisor y el receptor la puedan leer.

3. Software
de control de acceso

4. Encriptamiento

ETAPAS PARA IMPLANTAR UN SISTEMA DE SEGURIDAD

Introducir el tema de seguridad en la visin. Definir los procesos de flujo de informacin y sus riesgos. Capacitar a los gerentes y directivos. Designar y capacitar supervisores de rea. Definir y trabajar sobre todo las reas donde se pueden lograr mejoras relativamente rpidas. Mejorar las comunicaciones internas. Identificar claramente las reas de mayor riesgo. Capacitar a todos los trabajadores en los elementos bsicos de seguridad y riesgo.

BENEFICIOS DE UN SISTEMA DE SEGURIDAD

Aumento de la productividad. Aumento de la motivacin del personal. Compromiso con la misin de la compaa. Mejora de las relaciones laborales. Ayuda a formar equipos competentes. Mejora de los climas laborales para los RR.HH.

NIVELES DE SEGURIDAD Nivel B2 Proteccin Estructurada INFORMTICA

Nivel B1 Seguridad Etiquetada Nivel C2 Proteccin de Acceso Controlado Nivel C1 Proteccin Discrecional Nivel D Ninguna especificacin de seguridad Acceso de control discrecional Identificacin y Autentificacin Auditoria de accesos e intentos fallidos de acceso a objetos. Soporta seguridad multinivel . Soporta seguridad multinivel .

NIVELES DE SEGURIDAD INFORMTICA NIVEL CARACTERSTICA

Nivel D Nivel C1: Proteccin Discrecional Nivel C2: Proteccin de Acceso Controlado Nivel B1: Seguridad Etiquetada Nivel B2: Proteccin Estructurada Nivel B3: Dominios de Seguridad Nivel A: Proteccin Verificada y Ninguna especificacin de seguridad. y Acceso de control discrecional
y

Identificacin y Autentificacin y Auditoria de accesos e intentos fallidos de acceso a objetos. y Soporta seguridad multinivel y Proteccin Estructurada y Conexin segura

EVALUAR EL NIVEL DE RIESGO

la instalacin en trminos de riesgo(alto, mediano, pequeo). Identificar aquellas aplicaciones que tengan un alto riesgo. Cuantificar el impacto en el caso de suspensin del servicio en aquellas aplicaciones con un alto riesgo. Formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera. La justificacin del costo de implantar las medidas de seguridad para poder clasificar el riesgo e identificar las aplicaciones de alto riesgo, se debe preguntar lo siguiente: oQue sucedera si no se puede usar el sistema? oSi la contestacin es que no se podra seguir trabajando, esto nos sita en un sistema de alto riego.
La Clasificar

siguiente pregunta es: oQu implicaciones tiene el que no se obtenga el sistema y cuanto tiempo podramos estar sin utilizarlo? oExiste un procedimiento alterno y que problemas nos ocasionara? oQue se ha hecho para un caso de emergencia?

CMO EVALUAR LAS MEDIDAS DE SEGURIDAD?

Para evaluar las medidas de seguridad se debe: Especificar la aplicacin, los programas y archivos. Las medidas en caso de desastre, prdida total, abuso y los planes necesarios. Las prioridades que se deben tomar en cuanto a las acciones a corto y largo plazo. En cuanto a la divisin del trabajo se debe evaluar que se tomen las siguientes precauciones, las cuales dependern del riesgo que tenga la informacin y del tipo y tamao de la organizacin.

El personal que prepara la informacin no debe tener acceso a la operacin. Los anlisis y programadores no deben tener acceso al rea de operaciones y viceversa. Los operadores no debe tener acceso irrestringido a las libreras ni a los lugares donde se tengan los archivos almacenados; es importante separar las funciones de librera y de operacin. Los operadores no deben ser los nicos que tengan el control sobre los trabajos procesados y no deben hacer las correcciones a los errores detectados.

CMO REALIZAR LA AUDITORIA DE LA SEGURIDAD LGICA?

la instalacin en trminos de riesgo Identificar aquellas aplicaciones que tengan un alto riesgo. Cuantificar el impacto en el caso de suspensin del servicio en aquellas aplicaciones con un alto riesgo. Formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera. La justificacin del costo de implantar las medidas de seguridad para poder clasificar el riesgo e identificar las aplicaciones de alto riesgo, se debe preguntar lo siguiente: oQue sucedera si no se puede usar el sistema? oSi la contestacin es que no se podra seguir trabajando, esto nos sita en un sistema de alto riego.
La Clasificar

siguiente pregunta es: oQu implicaciones tiene el que no se obtenga el sistema y cuanto tiempo podramos estar sin utilizarlo? oExiste un procedimiento alterno y que problemas nos ocasionara? oQue se ha hecho para un caso de emergencia?