Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Seguridad en Sistemas

Anuncio 
Seguridad en Sistemas
Introducción
En nuestra presentación el objetivo principal es entender que es seguridad y si existe la
seguridad en los sistemas, y comprobamos que la seguridad en los sistemas no existe,
pues se necesitaría desconectar el sistema y encerrarlo bajo llave y que varias personas lo
custodiasen, ya que, en si la definición de seguridad es ausencia de riesgo y confianza en
algo o alguien, y si nos ponemos a reflexionar en este significado, encontraremos que
ciertamente se debería de desconectar el sistema para que tal vez si hubiera ausencia de
riesgo, pero aun así se dudaría si realmente este está libre de riesgo, aun así no se puede
confiar en un sistema al 100%, es por esta razón que se dice que no existe la seguridad en
los sistemas, bueno pero ahí no quedo la investigación, seguimos indagando y se
encontró que han suavizado el termino seguridad y lo han aterrizado a seguridad fiable,
donde fiabilidad en un sistema es la probabilidad de que un sistema se comporte tal y
como se espera de él. Para que un sistema se mantenga fiable necesita de tres aspectos
Confidencialidad, Integridad y Disponibilidad, es decir que los sistemas necesitan prevenir
la divulgación de la información a personas o sistemas no autorizados (confidencialidad),
también necesita mantener los datos libres de modificaciones no autorizadas (integridad)
y necesitan que la información se encuentre a disposición de quienes deben acceder a
ella, ya sean personas, procesos o aplicaciones.
También nos dimos a la tarea de buscar información acerca de toda el área que abarca la
seguridad en los sistemas. Como principios de la seguridad se encontró que la seguridad
debe ser parte del diseño original de todo el sistema, tiene que ser planeada, se debe ser
cauteloso, antes de hacer algo hay que entender y asegurar, prepararse para lo peor.
Dentro del diseño se debe considerar que se quiere proteger, analizar e investigar contra
quien o quienes se quieren proteger y cuanto dinero y esfuerzo se está dispuesto a
invertir.
Existen dos tipos de seguridad, estos son seguridad física y seguridad lógica.
La Seguridad Física
Para la obtener la seguridad física en el sistema se debe de pensar primero en la ubicación
del sistema, es decir donde pondrán los equipos y todas lo que conlleva instalar un
sistema de cómputo, es por eso que se debe considerar las características, el valor y la
importancia de los equipos, también las instalaciones, como los servicios, la seguridad del
lugar, filtros vibraciones, ductos; checar el acondicionamiento del local necesidades de
espacio y distribución en planta; idear el control de acceso físico de acuerdo a las
necesidades, como identificación del personal y visitantes, vidrio reforzado, acceso a
terceras personas, registro de firmas de entrada y salida, puertas con chapa de control
eléctrico, tarjetas de acceso, gafetes de identificación, entre otros; planear estrategias
para la instalación del aire acondicionado, como la capacidad de equipo del aire
acondicionado, la distribución en la sala, etc; diseñar la instalación eléctrica cubriendo
cada necesidad por parte de los equipos y de los usuarios, como corriente regulada,
instalación física, plantas generadoras de energía, sistemas de conexión en tierra, etc;
prever desastres como existencia inundaciones, acontecimientos no naturales. Se requiere
de cierta protección, detección y extinción de incendios, como paredes de material
incombustible, techo resistente al fuego, canales y aislantes resistentes al fuego, sala y
áreas de almacenamiento impermeables, sistema de drenaje en el piso firme, detectores
de fuego alejados del AC, alarmas de incendios conectado al general. Se recomienda que
se tenga un constante mantenimiento en los equipos informáticos, en la electricidad,
agua, aire acondicionado, etc.
Seguridad lógica
Consiste en la "aplicación de barreras y procedimientos que resguarden el acceso a los
datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo."
Existe un viejo dicho en la seguridad informática que dicta que "todo lo que no está
permitido debe estar prohibido" y esto es lo que debe asegurar la Seguridad Lógica.
¿Por qué nos preocupa la seguridad?
A partir de los años 8O el uso del ordenador personal comienza a ser común. Asoma ya la
preocupación por la integridad de los datos.
En la década de los años 90 proliferan los ataques a sistemas informáticos, aparecen los
virus y se toma conciencia del peligro que nos acecha como usuarios de PCs y equipos
conectados a Internet.
Las amenazas se generalizan a finales de los 90. Se toma en serio la seguridad: década de
los 00’s.
En los 00’s con el uso de internet, la seguridad se vuelve una necesidad y se populariza el
término: “Políticas de seguridad”


Normas, recomendaciones, estándares.
Protección de la información.
¿Por qué el interés en cometer fraudes informáticos?
El delito informático parece ser un “buen negocio”:



Objeto Pequeño: la información está almacenada en “contenedores pequeños”: no
es necesario un camión para robar el banco, joyas, dinero…
Contacto Físico: no existe contacto físico en la mayoría de los casos. Se asegura el
anonimato y la integridad física del delincuente.
Alto Valor: el objeto codiciado tiene un alto valor. El contenido (los datos) vale
mucho más que el soporte que los almacena (disquete, disco compacto...).
Amenazas del sistema
Las amenazas afectan principalmente al Hardware, al Software y a los Datos. Estas se
deben a fenómenos de:




Interrupción
Interceptación
Modificación
Generación
Amenazas de interrupción:
Las características de este tipo de amenaza, es que se daña, se pierde o deja de funcionar
un punto del sistema. Por lo mismo su detección es de forma inmediata.
Algunos ejemplos de esta amena son:



Destrucción del hardware
Borrado de programas, datos
Fallos del sistema operativo
Amenazas de interceptación
Las principales características de estas amenazas son que el acceso a la información por
personas no autorizadas se da comúnmente, además de esto, se les otorgan privilegios a
usuarios que originalmente no los tenían. Por tal son de difícil detección debido a que casi
no dejan huellas.
Algunos ejemplos de este tipo de amenaza son:


Copias ilícitas de programas
Escucha en línea de datos
Amenazas de modificación
En estas amenazas además de violar el acceso a datos no permitidos, modifican o cambian
dichos datos para beneficio propio, lo cual lo vuelve difícil de detectar en algunas
circunstancias.
La modificación de bases de datos es un claro ejemplo de este tipo de amenaza.
Amenazas de generación:
Esta amenaza se caracteriza por la creación de objetos nuevos en el sistema sin que los
usuarios cotidianos se den cuenta, ya que no afecta el flujo normal del sistema, por tal es
de difícil detección.
Algunos ejemplos son:


Añadir transacciones en red.
Añadir registros en bases de datos.
Para usuarios comunes, algunas formas de protección son las listadas a continuación:






Firewalls
VPN´s
Conexiones seguras (SSL)
Software de análisis de vulnerabilidad
Fingerprints para archivos
Normas de asignación de cuentas
Niveles de Seguridad Informática
El estándar de niveles de seguridad más utilizado internacionalmente es el TCSEC Orange
Book(2), desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del
Departamento de Defensa de los Estados Unidos.
Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran
desde el mínimo grado de seguridad al máximo.
Estos niveles han sido la base de desarrollo de estándares europeos (ITSEC/ITSEM) y luego
internacionales (ISO/IEC).
Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: así el
subnivel B2 abarca los subniveles B1, C2, C1 y el D.
 Nivel D Este nivel contiene sólo una división y está reservada para sistemas que
han sido evaluados y no cumplen con ninguna especificación de seguridad.
Sin sistemas no confiables, no hay protección para el hardware, el sistema
operativo es inestable y no hay autentificación con respecto a los usuarios y sus
derechos en el acceso a la información. Los sistemas operativos que responden a
este nivel son MS-DOS y System 7.0 de Macintosh.
 Nivel C1: Protección Discrecional Se requiere identificación de usuarios que
permite el acceso a distinta información. Cada usuario puede manejar su
información privada y se hace la distinción entre los usuarios y el administrador del
sistema, quien tiene control total de acceso. Muchas de las tareas cotidianas de
administración del sistema sólo pueden ser realizadas por este "super usuario"
quien tiene gran responsabilidad en la seguridad del mismo. Con la actual
descentralización de los sistemas de cómputos, no es raro que en una organización
encontremos dos o tres personas cumpliendo este rol. Esto es un problema, pues
no hay forma de distinguir entre los cambios que hizo cada usuario. A continuación
se enumeran los requerimientos mínimos que debe cumplir la clase C1:
 Acceso de control discrecional: distinción entre usuarios y recursos. Se
podrán definir grupos de usuarios (con los mismos privilegios) y grupos de
objetos (archivos, directorios, disco) sobre los cuales podrán actuar usuarios
o grupos de ellos.
 Identificación y Autentificación: se requiere que un usuario se identifique
antes de comenzar a ejecutar acciones sobre el sistema. El dato de un
usuario no podrá ser accedido por un usuario sin autorización o
identificación.
 Nivel C2: Protección de Acceso Controlado Este subnivel fue diseñado para
solucionar las debilidades del C1. Cuenta con características adicionales que crean
un ambiente de acceso controlado. Se debe llevar una auditoria de accesos e
intentos fallidos de acceso a objetos. Tiene la capacidad de restringir aún más el
que los usuarios ejecuten ciertos comandos o tengan acceso a ciertos archivos,
permitir o denegar datos a usuarios en concreto, con base no sólo en los permisos,
sino
también
en
los
niveles
de
autorización.
Requiere que se audite el sistema. Esta auditoría es utilizada para llevar registros de
todas las acciones relacionadas con la seguridad, como las actividades efectuadas
por
el
administrador
del
sistema
y
sus
usuarios.
La auditoría requiere de autenticación adicional para estar seguros de que la
persona que ejecuta el comando es quien dice ser. Su mayor desventaja reside en
los recursos adicionales requeridos por el procesador y el subsistema de discos.
Los usuarios de un sistema C2 tienen la autorización para realizar algunas tareas de
administración del sistema sin necesidad de ser administradores.
Permite llevar mejor cuenta de las tareas relacionadas con la administración del
sistema, ya que es cada usuario quien ejecuta el trabajo y no el administrador del
sistema.
 Nivel B1: Seguridad Etiquetada Este subnivel, es el primero de los tres con que
cuenta el nivel B. Soporta seguridad multinivel, como la secreta y ultrasecreta. Se
establece que el dueño del archivo no puede modificar los permisos de un objeto
que
está
bajo
control
de
acceso
obligatorio.
A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un
nivel de seguridad jerárquico (alto secreto, secreto, reservado, etc.) y con unas
categorías (contabilidad, nóminas, ventas, etc.). Cada usuario que accede a un
objeto debe poseer un permiso expreso para hacerlo y viceversa. Es decir que cada
usuario tiene sus objetos asociados. También se establecen controles para limitar la
propagación de derecho de accesos a los distintos objetos.
 Nivel B2: Protección Estructurada Requiere que se etiquete cada objeto de nivel
superior por ser padre de un objeto inferior. La Protección Estructurada es la
primera que empieza a referirse al problema de un objeto a un nivel mas elevado
de seguridad en comunicación con otro objeto a un nivel inferior.
Así, un disco rígido será etiquetado por almacenar archivos que son accedidos por
distintos usuarios. El sistema es capaz de alertar a los usuarios si sus condiciones de
accesibilidad y seguridad son modificadas; y el administrador es el encargado de
fijar los canales de almacenamiento y ancho de banda a utilizar por los demás
usuarios.
 Nivel B3: Dominios de Seguridad Refuerza a los dominios con la instalación de
hardware: por ejemplo el hardware de administración de memoria se usa para
proteger el dominio de seguridad de acceso no autorizado a la modificación de
objetos de diferentes dominios de seguridad. Existe un monitor de referencia que
recibe las peticiones de acceso de cada usuario y las permite o las deniega según
las
políticas
de
acceso
que
se
hayan
definido.
Todas las estructuras de seguridad deben ser lo suficientemente pequeñas como
para permitir análisis y testeos ante posibles violaciones. Este nivel requiere que la
terminal del usuario se conecte al sistema por medio de una conexión segura.
Además, cada usuario tiene asignado los lugares y objetos a los que puede acceder.
 Nivel A: Protección Verificada Es el nivel más elevado, incluye un proceso de
diseño, control y verificación, mediante métodos formales (matemáticos) para
asegurar todos los procesos que realiza un usuario sobre el sistema. Para llegar a
este nivel de seguridad, todos los componentes de los niveles inferiores deben
incluirse. El diseño requiere ser verificado de forma matemática y también se
deben realizar análisis de canales encubiertos y de distribución confiable. El
software y el hardware son protegidos para evitar infiltraciones ante traslados o
movimientos del equipamiento.
Por: Silvia Sánchez González
Juan Antonio Silva Martínez
Documentos relacionados
¿qué es un plan de mercado?
¿qué es un plan de mercado?
Mapas de Riesgos
Mapas de Riesgos
Los fenómenos naturales: ¿recursos o amenazas?
Los fenómenos naturales: ¿recursos o amenazas?
4.-seguridad lógica
4.-seguridad lógica
Documentos_files/Lista de Chequeo
Documentos_files/Lista de Chequeo
¿Quiere evitar ataques, errores o pérdidas en su empresa? .
¿Quiere evitar ataques, errores o pérdidas en su empresa? .
Cómo Administrar los Riesgos en un Proyecto
Cómo Administrar los Riesgos en un Proyecto
oportunidades y amenazas para la empresa
oportunidades y amenazas para la empresa
“Cómo elegir el camino que debemos tomar cuando damos los
“Cómo elegir el camino que debemos tomar cuando damos los
Seguridad
Seguridad
Descargar
Anuncio
Anuncio