miércoles, 1 de junio de 2016

7 Auditoria en la Seguridad Logica

7.1. Concepto de la seguridad lógica.

La seguridad lógica se encarga de los controles de acceso que están diseñadas para salvaguardar la integridad de la información almacenada en una computadora, así como de controlar el mal uso de la información, estos controles reducen el riesgo de caer en situaciones adversas.
se puede decir entonces que un inadecuado control de acceso logico incrementa el potencial de la organización para perder la información, o bien para que ésta sea utilizada en forma inadecuada; asimismo, esto hace que se vea disminuida su defensa ante competidores, el crimen organizado, perosnal desleal y voilaciones accidentales. 

7.2. Consecuencias y riesgos.

  • Cambio de los datos.
  • robos, fraudes y sabotajes
  • destruccion total
  • Copias de programas y/o información.
  • Código oculto en un programa.
  • Entrada de virus.
  • Inicios de sesión agregados (permisos a quien no debe de tenernos).

7.3. Rutas de acceso.

Cada uno de los sistemas de información tiene una ruta de acceso, la cual puede definirse como la trayectoria seguida en el momento de acceso al sistema. Los tipos de restricciones de acceso son:
  •  Sólo lectura
  •  Sólo consulta
  •  Lectura y consulta
  •  Lectura escritura para crear, actualizar, borrar, ejecutar o copiar

 

7.4. Claves de acceso.

Una clave de acceso es una combinación de letras, números y signos que debe teclearse para obtener acceso a un programa o partes de un programa determinado, un terminal u ordenador personal, un punto en la red, etc.
Muchas veces se utiliza la terminología inglesa (password) para referirse a la clave de acceso. Tambien puede ser una credencial con banda magnetica. Algo especifico del usuario como :
  • Huellas dactilares
  • Retina
  • Voz
  • Firma

 

7.5. Software de control de acceso.

El software de control de acceso tiene las siguientes funciones:
  •  Definicion de usuarios
  •  Definicion de las funciones de usuario después de accesar el sistema
  •  Establecimiento de auditoria a través del uso del sistema
La mayor ventaja del software de seguridad es la capacidad para proteger los recursos de acceso no autorizados, incluyendo a los siguientes:
  • Procesos en espera de modificación por un programa
  • De aplicación
  • Accesos por editores en línea
  • Accesos por utilería de software
  • Accesos a archivos de las bases de datos a través de un manejador de base de datos. 
  •  Accesos de terminales o estaciones no autorizadas
 Ejemplos de software de control de acceso
  • Software manejador de base de datos: Es un software cuya finalidad es la de controlar, organizar y manipular los datos. Provee multiples caminos para accesar los datos en una base de datos. Maneja la integridad de ellos entre operaciones, funciones y tareas de ka organización.
  • Software de consolas o terminales maestras: Puede ser definido como varios programas del sistema operativo que proveen soporte y servicio para que las terminales en línea accedan a los programas de esta aplicación.
 

7.6. Tipos de seguridad lógica (encriptamiento, firmas, certificados, llaves y otros). 

  • Criptografía
A lo largo de la historia el ser humano ha desarrollado unos sistemas de seguridad que le permiten comprobar en una comunicación la identidad del interlocutor (tarjetas de identificación, firmas), asegurarse que solo obtendrá la información el destinatario solicitado (correo certificado) que además ésta no podrá ser modificada (notariado) e incluso que ninguna de las dos partes podrá negar el hecho (notariado firma) ni cuando se produjo (fechado de documentos).
  •  Firma digital 
Permite al receptor verificar la autenticidad del origen de la información así como verificar que dicha información no ha sido modificada desde su generación, de este modo ofrece soporte para la autenticación e integridad así como para el no repudio en origen ya que la persona origina un mensaje firmado digitalmente no puede argumentar que no lo es.

  • Certificados digitales
Según puede interpretarse de los apartados anteriores, la eficacia de las operaciones de cifrado y firma digital basa en criptografía de clave pública solo está garantizada si se tiene la certeza de que la clave privada de los usuarios solo es conocida por dichos usuarios y que la clave pública pueda ser dada a conocer a todos los demás usuarios con la seguridad de que no exista confusión entre las claves públicas de los distintos usuarios.

 

 Fuentes