diseñar los mecanismos de seguridad y · pdf filesu objetivo es proporcionar...

FAVA - Formacin en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
DISEAR LOS MECANISMOS DE SEGURIDAD Y CONTROL
Introduccin 3
1. FUNDAMENTOS DE SEGURIDAD 4
2. CONTROLES DE SEGURIDAD 9
3. SEGURIDAD EN PLATAFORMAS 11
3.1. Desde el punto del Control de Accesos 11
3.2. Desde el punto de Comunicaciones y Operaciones 13
4. SEGURIDAD DE SISTEMAS OPERATIVOS 14
BIBLIOGRAFA 16
GLOSARIO 17

2
Map
a c
on
cep
tual
DIS
E
AR
LO
S M
EC
AN
ISM
OS
DE S
EG
UR
IDA
D Y
CO
NTR
OL

3
INTRODUCCIN
Existen muchas definiciones del trmino seguridad. Simplificando, se puede definir la seguridad como la "Caracterstica que indica que un siste-ma est libre de todo peligro, dao o riesgo." Villaln (2007).
En toda actividad se hace necesario, no solo planear y ejecutar las activi-dades, sino efectuar procedimientos de control que vayan encaminados a asegurar que dichas actividades han sido ejecutadas de acuerdo a los parmetros que se haban establecido con anterioridad.
Es por ello, que para Evaluar la seguridad de los sistemas de informacin se requiere que en las diferentes fases del ciclo de vida de los sistemas de informacin, se planteen protocolos claros que permitan lograr un buen nivel de calidad en el software.
Para el diseo de estos mecanismos de seguridad y control, se debe ir de la mano de la seguridad informtica, es por ello que en este tema tocare-mos varios conceptos claves de este tema tan de moda actualmente, para evitar caer en la inseguridad informtica.
Disear los Mecanismos de Seguridad y Control
DISEAR LOS MECANISMOS DE SEGURIDAD Y CONTROL

4
Algunos de ellos son:
Diseo de autorizacin: en este tem se deben definir los roles, permi-sos y privilegios de la aplicacin. Diseo de autenticacin: Aqu se debe disear el modo en el que los usuarios se van a autenticar, contemplando aspectos tales como los meca-nismos o factores de autenticacin con contraseas, tokens, certificados, etc. Tambin, y dependiendo del tamao de la organizacin, se puede pensar en la posibilidad de integrar la autenticacin con servicios externos como LDAP, Radius o Active Directory y mecanismos que tendr la aplica-cin para evitar ataques de diccionario o de fuerza bruta.
Diseo de los mensajes de error y advertencia: Al disear estos men-sajes se debe evitar que los mismos brinden demasiada informacin y que sta sea utilizada por atacantes.
Diseo de los mecanismos de proteccin de datos: Se debe contem-plar el modo en el que se proteger la informacin sensible en trnsito o almacenada; segn el caso, se puede definir la implementacin de encrip-cin, hashes o truncamiento de la informacin.
1. FUNDAMENTOS DE SEGURIDAD
Para definir estos dos trminos se debe precisar que actualmente la per-manencia y disponibilidad de los recursos en el planeta depende del apro-vechamiento, manejo y conservacin sostenible que se haga de ellos.
Para hablar de seguridad en las tecnologas de la informacin, se deben tener en cuenta TRES PILARES fundamentales sobre el manejo de los datos y la prestacin de los servicios, los cuales se pueden relacionar con la sigla C.I.A.
Confidentiality (Confidencialidad): Indica que la informacin solo es revelada a usuarios autorizados en tiempos precisos, es decir SOLO en horarios asignados.
Integrity (Integridad): Se refiere a la modificacin de la informacin, para ello se debe identificar muy bien los roles de los usuarios y as definir los niveles de acceso para la manipulacin de los datos.

5
Availability (Disponibilidad): Se refiere a la disponibilidad de la informacin. Para este proceso, desde el rea tcnica, se deben establecer medidas de seguridad, cuyo objetivo fundamental es reducir cualquier riesgo asociado, algunas de estas medidas de seguridad pueden ser:
Identificacin y autenticacin de usuarios. Control de flujo de informacin. Confidencialidad. Integridad. No Autorizacin.
Estas medidas de seguridad se ponen en prctica mediante mecanismos de proteccin como:
Autenticacin: Este trmino se refiere a la verificacin que se realiza a la identidad del usuario; este proceso generalmente se lleva a cabo cuando se
ingresa al sistema, a la red o a cualquier base de datos.
Normalmente para ingresar a cualquier sistema informtico se utiliza un nombre de usuario y una contrasea, aunque actualmente se estn utilizando tcnicas ms seguras, como una tarjeta magntica, o por huellas digitales, la utilizacin de ms de un mtodo a la vez disminuye el riesgo de ataques a la seguridad de la informacin.
Al momento de construir la contrasea de autenticacin del sistema tenga en cuenta las siguientes recomendaciones:
Caracterstica de la contrasea: Este aspecto se refiere al tamao encaracteres de la misma; en la medida que la contrasea contenga un tamao grande en caracteres y sta sea compleja (conjunto de caracteres variado, con minsculas, maysculas y nmeros) menor ser la posibilidad de ser adivinada y ms difcil ser burlar esta tcnica.
IngresoUsuarios registrados
INGRESAR
Olvid mi contrasea?Mi usuario est
Bloqueado o Inactivo?
Tipo de documento de identidad:
Nmero de documento:
Contrasea:

6
Confidencialidad: La contrasea solo la debe manejar el usuario, no puede ser conocida por nadie ms. Un error muy comn, es que los usuarios se prestan las contraseas o que las escriben en un papel y ste lo dejan pegado en el escritorio, lo que permite que cualquier otro usuario conozca la contrasea, comprometiendo a la empresa y al propio dueo.
Un problema muy comn entre los usuarios, es que difcilmente recuerdan contraseas tan elaboradas. Tambin es muy comn que se utilicen palabras muy obvias como el nombre, el apellido, el nombre de usuario, el grupo musical preferido, la fecha de nacimiento, etc., que facilitan la tarea a quin quiere ingresar al sistema sin autorizacin.
En la actualidad existe una preocupacin especial por las conservacin y el logro de un desarrollo sostenible pero aun se requiere no solo de un nivel de conciencia e informacin, sino de acciones puntuales y claras que apunten a resolver los problemas de deterioro ambiental que cada ves son mas graves y ponen en riesgo el equilibrio y la estabilidad de todos en el planeta.
Control de Acceso: Todos los sistemas que no sean de libre acceso debern contar con control de acceso basado en roles. La autorizacin deber realizarse sobre el mismo sujeto que se autentica o tambin podr requerirse mayor informacin que permita obtener la autorizacin con granularidad ms fina, lo que implica que se adquieren muchos recursos para administrar el bloqueo, pero se asegura la consistencia de los datos.
Usuarios Rol
Registrar
Tipos de Permisos
Consultar
Modificar
Procesar

7
Cifrado de Datos: Mediante la evaluacin de riesgos se identificar el nivel requerido de proteccin, tomando en cuenta el tipo y la calidad del algoritmo de cifrado utilizado y la longitud de las claves criptogrficas a utilizar.
Firma Digital: Las firmas digitales proporcionan un medio de proteccin de la autenticidad e integridad de los documentos electrnicos. Se implementan mediante el uso de una tcnica criptogrfica sobre la base de dos claves relacionadas de manera nica, donde una clave, denominada privada, se utiliza para crear una firma y la otra, denominada pblica, para verificarla.
101100101101101011010
1001
0110
10010101100101101101011010
1001
0110
10010
MensajeOriginal.
Comparacinde resultados.
JUAN
Hash
Hash
MARIO
resumen
resumen
resumen
resumen
Cifrado delresumen conclave privada.
Descifrado delresumen conclave pblica.
Obtencin delresumen demensaje.
El resumencifrado es la firma digitaldel mensaje.
Mensajefirmado.
ENVI
OR
ECEP
CI
N
resumen
resumen
1
2
3
4
56

8
Controles Criptogrficos: Se utilizarn sistemas y tcnicas criptogrficas para la proteccin de la informacin en base a un anlisis de riesgo efectuado, con el fin de asegurar una adecuada proteccin de su confidencialidad e integridad.
Servicios de No Repudio: Estos servicios se utilizarn cuando sea necesario resolver disputas acerca de la ocurrencia de un evento o accin. Su objetivo es proporcionar herramientas para evitar que aqul que haya originado una transaccin electrnica niegue haberla efectuado.
Texto Claro Texto Claro
Algoritmo deEncriptacin
Algoritmo deDesencriptacin
TextoEnc

diseñar los mecanismos de seguridad y · pdf filesu objetivo es proporcionar...

Documents