Recomendaciones en Seguridad Lógica

La Seguridad Lógica consiste en la «aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo.»

Existe un viejo dicho en la seguridad informática que dicta que «todo lo que no está permitido debe estar prohibido» y esto es lo que debe asegurar la Seguridad Lógica.

Los objetivos que se plantean serán:

  1. Restringir el acceso a los programas y archivos.
  2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan.
  3. Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el procedimiento correcto.
  4. Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro.
  5. Que la información recibida sea la misma que ha sido transmitida.
  6. Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.
  7. Que se disponga de pasos alternativos de emergencia para la transmisión de información.

Controles de Acceso

Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de aplicación, en bases de datos, en un paquete específico de seguridad o en cualquier otro utilitario.

Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de aplicación y demás software de la utilización o modificaciones no autorizadas; para mantener la integridad de la información (restringiendo la cantidad de usuarios y procesos con acceso permitido) y para resguardar la información confidencial de accesos no autorizados.

Al respecto, el National Institute for Standars and Technology (NIST)(1) ha resumido los siguientes estándares de seguridad que se refieren a los requisitos mínimos de seguridad en cualquier sistema:

  • Identificación y Autentificación
  • Roles
    El acceso a la información también puede controlarse a través de la función o rol del usuario que requiere dicho acceso. Algunos ejemplos de roles serían los siguientes: programador, líder de proyecto, gerente de un área usuaria, administrador del sistema, etc. En este caso los derechos de acceso pueden agruparse de acuerdo con el rol de los usuarios.
  • Transacciones
    También pueden implementarse controles a través de las transacciones, por ejemplo solicitando una clave al requerir el procesamiento de una transacción determinada.
  • Limitaciones a los Servicios
    Estos controles se refieren a las restricciones que dependen de parámetros propios de la utilización de la aplicación o preestablecidos por el administrador del sistema. Un ejemplo podría ser que en la organización se disponga de licencias para la utilización simultánea de un determinado producto de software para cinco personas, en donde exista un control a nivel sistema que no permita la utilización del producto a un sexto usuario.
  • Modalidad de Acceso
  • Ubicación y Horario
    El acceso a determinados recursos del sistema puede estar basado en la ubicación física o lógica de los datos o personas. En cuanto a los horarios, este tipo de controles permite limitar el acceso de los usuarios a determinadas horas de día o a determinados días de la semana. De esta forma se mantiene un control más restringido de los usuarios y zonas de ingreso. Se debe mencionar que estos dos tipos de controles siempre deben ir acompañados de alguno de los controles anteriormente mencionados.
  • Control de Acceso Interno
  • Control de Acceso Externo
  • Administración

Niveles de Seguridad Informática

El estándar de niveles de seguridad mas utilizado internacionalmente es el TCSEC Orange Book(2), desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del Departamento de Defensa de los Estados Unidos.

Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el mínimo grado de seguridad al máximo.

Estos niveles han sido la base de desarrollo de estándares europeos (ITSEC/ITSEM) y luego internacionales (ISO/IEC).

Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: así el subnivel B2 abarca los subniveles B1, C2, C1 y el D.

Si desean más información pueden escribirnos a info@brainlabs.com y los asistiremos. También pueden visitar el siguiente link: Orange Book

Sergio Zamenfeld

Deja una respuesta

Seguridad

10 buenas prácticas con las que tu amigo techie te puede ayudar

Para nosotros, un techie es una persona con profundo interés en la tecnología y su funcionamiento como parte de la vida. Dentro de esta categoría no solo pueden entrar los fanáticos de los gadgets, sino también gente que trabaja en TI y soporte de infraestructuras, o técnicos de PC, por ejemplo. En suma, los techies […]

Read More
Seguridad

Herramientas gratuitas para fortalecer tu privacidad en Internet

Seguramente en reiteradas ocasiones has escuchado hablar de la privacidad en línea, pero más allá de las alternativas más comunes como un navegador incógnito, ¿te has puesto a pensar cuál es tu expectativa de privacidad? ¿Qué tanto la proteges en realidad? A raíz de la encuesta sobre privacidad en Internet que desde ESET Latinoamérica elaboraron el mes pasado, […]

Read More
Seguridad

Seguridad empresarial más efectiva

Según Gartner, las herramientas de defensa tradicionales fallan en proteger a las empresas de ataques focalizados y malware avanzado. En 2013, las empresas gastarán más de US$ 13.000 millones en firewalls, sistemas de detección de intrusiones (IPSs), plataformas de protección de terminales y gateways de Web seguros. Con todo, los ataques focalizados avanzados (advanced targeted […]

Read More
Powered by WordPress | WP Magazine by WP Mag Plus
Verificado por MonsterInsights