AUDITORIADE LA SEGURIDAD LOGICAINTRODUCCIONLa evolucin normal del concepto de seuridad en una sociedad de lain!ormacin " el conocimiento# $ace %ue las estrateias de seuridaddelaanti&edadco'renvidaenunmundoreidoporlos('its"'"tes )( Todas las condiciones de seuridad anali*adas en el aparteanterior tienen sus e%uivalentes en el mundo de la in!orm+tica " latecnolo,a)E-iste un vie.o dic$o en la seuridad in!orm+tica %ue dicta %ue todolo %ue no est+ permitido de'e estar pro$i'ido " esto es lo %ue de'easeurar la seuridad lica# podemos pensar en la seuridad licacomolamaneradeaplicarprocedimientos%ueaseuren%uesolopodr+n tener acceso a los datos la personas los sistemas dein!ormacin autori*ados Dentro de la seuridad in!orm+tica# la seuridad lica $acere!erencia a la aplicacin de mecanismos " 'arreras para mantener elresuardo"lainteridaddelain!ormacindentrodeunsistemain!orm+tico) Laseuridadlicasecomplementaconlaseuridad!,sica) /a %ue la seuridad lica de un sistemain!orm+tico restrineal acceso de proramas " arc$ivo mediante claves "0o encriptacionespara asinar delimitaciones correspondientes a cada usuario delsistema in!orm+tico) Esto sini1ca no darle m+s privileios e-tras a unusuario# sino solo los %ue necesitan para reali*ar su tra'a.oaseur+ndose %ue los arc$ivos " proramas %ue se emplean son loscorrectos " se usan correctamente# esto inclu"e %ue una determinadain!ormacinlleue solamente al destino %ue se espera " lleue tal "cual se envi) Garanti*ar %ue los recursos in!orm+ticos de una compa2,a est3ndisponi'les para cumplir sus propsitos# es decir# %ue no est3nda2adosoalteradosporcircunstanciaso!actorese-ternos# esunade1nicin 4til para conocer lo %ue implica el concepto de seuridadin!orm+tica) Ent3rminosenerales# laseuridadpuedeentendersecomo a%uellas relas t3cnicas "0o actividades destinadas a prevenir#proteer "resuardar lo%ueesconsideradocomosuscepti'ledero'o# p3rdida o da2o# "a sea de manera personal# rupal oempresarial) En este sentido# es la in!ormacin el elemento principal aproteer# resuardar " recuperar dentro de las redes empresariales)POR QU ES TAN IMPORTANTE LA SEGURIDAD?5or la e-istencia de personas a.enas a la in!ormacin# tam'i3nconocidas comopiratasin!orm+ticos o$ac6ers# %ue'uscanteneracceso a la red empresarial para modi1car# sustraer o 'orrar datos)Tales persona.es pueden# incluso# !ormar parte del personaladministrativo o de sistemas# de cual%uier compa2,a7 de acuerdo cone-pertos enel +rea# m+s de89por cientodelas violaciones eintrusiones alos recursos in!orm+ticos sereali*apor el personalinterno# de'ido a %ue 3ste conoce los procesos# metodolo,as " tieneaccesoalain!ormacinsensi'ledesuempresa# esdecir# atodosa%uellos datos cu"a p3rdida puede a!ectar el 'uen !uncionamiento dela orani*acin)Estasituacinsepresentaraciasaloses%uemasine1cientesdeseuridad con los %ue cuentan la ma"or,a de las compa2,as a nivelmundial# " por%ue no e-iste conocimiento relacionado con laplaneacindeunes%uemadeseuridade1ciente%ueprote.alosrecursos in!orm+ticos de las actuales amena*as com'inadas)El resultado es la violacin de los sistemas# provocando la p3rdida omodi1cacin de los datos sensi'les de la orani*acin# lo %ue puederepresentar un da2o con valor de miles o millones de dlares)Lueo de ver como el sistema puede verse a!ectado por la !alta deseuridad !,sica# es importante recalcar %ue la ma"or,a de los da2os%uepuedesu!rir uncentrodecmputonoser+so'relosmedios!,sicos sino contra in!ormacin por 3l almacenada " procesada) As,# laseuridad !,sica slo es una parte delamplio espectro %ue se de'ecu'rir para no vivir con una sensacin 1cticia de seuridad) Como "ase$amencionado# el activom+s importante%ueseposeeeslain!ormacin# "por lotantode'ene-istir t3cnicas# m+sall+delaseuridad !,sica %ue la aseure) Estas t3cnicas las 'rinda la SeuridadLica)La Seuridad Lica consiste en la aplicacin de 'arreras "procedimientos %ue resuarden el acceso a los datos " slo sepermita acceder a ellos a las personas autori*adas para $acerlo)E-iste un vie.o dic$o en la seuridad in!orm+tica %ue dicta %ue todolo %ue no est+ permitido de'e estar pro$i'ido " esto es lo %ue de'easeurar la Seuridad Lica)AUDITORIA DE LA SEGURIDAD LGICAUna auditoria deseuridadlica secentra enauditar aspectost3cnicos de la in!raestructura TICcontemplando tantosaspectos dedise2odelaar%uitecturadesdeel puntodevistadelaseuridad#como aspectos relacionados con los mecanismos de proteccindespleados para $acer !rente a todo tipo de incidentes licosLa auditor,a revisa la seuridad lica veri1ca %ue e-ista losprocedimientosnecesariosparacontrolar todosloscomponentes"%uelascon1uracionesdecadacomponentenopermiten%uesepueda acceder sin conocimiento de la estin de TI)Una auditoria m+s pro!unda# pasa a la revisin de permisosespec,1cos asinados por usuario# de tal !orma %ue se esta'le*ca %ueno e-iste acceso " privileios asinados adicionales a los necesariospara cumplir con su per1l de tra'a.o) Incluso se puede utili*ar$erramientas de $ac6eo 3tico# para lorar pro'ar %ue lain!raestructura lica est+ 'ien con1urada " no est+ de.andovulnera'ilidadese-puestas) Estean+lisisreali*adopor laauditoriaproveealaaltadireccinunnivel adicional dearant,ade%uelaseuridadlicaest+siendo'ienadministrada"enelpeor de loscasos# si el an+lisis de auditoria descu're $alla*o# de %u3 medidascorrectivas se est+n tomando " la seuridad lica del acceso a datosser+ me.orada)SEGURIDAD LOGICALa seuridad lica se re1ere a la seuridad en el uso de so!t:are "los sistemas# la proteccin de los datos# los procesos " proramas# as,como la del acceso ordenado a la in!ormacin) Se conoce tam'i3n a laseuridad lica como la manera de aplicar procedimientos %ueaseuren%uesolopodr+nteneraccesoalosdatoslaspersonasosistemas de in!ormacin autori*adas)La seuridad lica al re!erirse a controles licos dentro del so!t:arese implementa mediante la construccin de contrase2as en diversosniveles del sistema donde permita solo el acceso en 'ase a niveles deseuridad de usuarios con permiso# en 'ase al sistema operativo %ueuse como plata!orma el sistema a implantarse puede consideraadem+sanivel cdio# aloritmos%ueenerenclavesparapoderencriptar los arc$ivos de contrase2a dentro del sistema lo cualpermiteunama"or seuridadenunentornodered) Generar unmdulo del sistema para la emisin de reportes para el administradordel sistema en donde se muestre ta'las de uso del sistema as, comolos usuarios " los niveles de acceso por parte de los cuales para poderdeterminar el uso " acceso al sistema)La seuridad lica se encara de los controles de acceso %ue est+ndise2adas para salvauardar la interidad de la in!ormacinalmacenada de una computadora# as, como de controlar el mal usodelain!ormacin) Laseuridadlicaseencaradecontrolar "salvauardar la in!ormacin enerada por los sistemas# por elso!t:are de desarrollo " por los proramas en aplicacin de 'arreras "procedimientos %ue resuarden el acceso a los datos " solo sepermita acceder a ellos a las personas autori*adas para $acerlo)OBJETIVOS Restrinir el acceso a los proramas " arc$ivos) Aseurar %ue los operadores puedan tra'a.ar sin unasupervisin minuciosa " no puedanmodi1car los proramas nilos arc$ivos %ue no correspondan) Aseurar %ue se est+n utili*ando los datos# arc$ivos "proramas correctos " por el procedimiento correcto ;ue la in!ormacin transmitida sea reci'ida solo por eldestinatario al cual $a sido enviado " no a otro ;ue la in!ormacin reci'ida sea la misma %ue $a sidotransmitida) ;uee-istansistemasalternativossecundariosdetransmisinentre di!erentes puntos) ;ue se dispona de pasos alternativos de emerencia para latransmisin de in!ormacin)CONSECUENCIAS Y RIESGOSAlunas consecuencias " riesos %ue podr,a traer a la empresa la !altade seuridad lica son< cam'io de datos copias de proramas "0o in!ormacin cdio oculto en proramas entrada de virus los proramas pueden ser modi1cados ro'o de arc$ivos# datos " proramas manipulacin de in!ormacin)TECNICAS DE CONTROL DE ACCESOSEstoscontrolespuedenimplementar enla=IOS# el S)O# so'relossistemasdeaplicacin# enlasD=# enunpa%ueteespeci1cadodeseuridad# etc) Constitu"e una importante a"uda para proteer al S)Ode la red# a la sistema de aplicacin " dem+s so!t:are de la utili*acino modi1cacin no autori*ada para mantener la interidad de lain!ormacin " para resuardar la in!ormacin con1dencial de accesosnoautori*ados) Adem+sdeestosesconvenientetener encuentaotras consideraciones re!eridas a la seuridad lica como pore.emplolasrelacionesal procedimiento%uesellevaaca'oparadeterminar si corresponde un permiso de acceso)RUTAS DE ACCESOEl es%uemadelasrutasdeaccesosirveparaidenti1cartodoslospuntos de control %ue puede ser usado para proteer los datos en elsistema)El auditorde'e conocer las rutas de acceso para la evaluacin de lospuntos de control apropiadas)1.- IDENTIFICACIONY AUTENTIFICACIONSedenominaidenti1cacinal momentoen%ueel usuariosedaaconocer en el sistema " autenticacin a la veri1cacin %ue se reali*aen el sistema so're esta identi1cacin e-isten cuatro tipos det3cnicas %ue permiten reali*ar la autenticacin del usuario# las cualespueden ser utili*adas individual mente o com'inadas< Alo %ue solamente el individuo conoce< una clave# un pin# etc) Alo %ue la persona posee< una tar.eta) Alo %ue el individuo es< $uella diital o la vo*) Alo %ue el individua es capa* de $acer< patrones de escritura)2.- PASSWORD SEGURASUna contrase2a seura de'eparecer a una cadena aleatoria decaracteres# pueden conseuir %ue su contrase2a sea seura por lossiuientes criterios) %uenoseacorta# cadacar+cter %ueareaasucontrase2aaumenta espontanea mente el rado de proteccin %ue estao!rece# las contrase2as de'en contener como m,nimo de >caracteres lo ideal es %ue contenan ?@ o m+s) com'ina letras# n4meros " s,m'olos# cuanto m+s diversos sean lostipos de car+cter m+s di!,cil ser+ adivinarla) Cuantos menos tipos de caracteres $a"a en la contrase2a maslara de'er+ ser esta) Una contrase2a de ?A caracteres !ormada4nicamente por letras " n4meros es una BB999 veces m+s seura%ue una de > caracteres compuestos por caracteres de todo tipo)Si la contrase2a no puede tener s,m'olos de'er+ serconsidera'lemente m+s lara para conseuir el mismo rado deproteccin Utili*atodotipodeteclas# notelimitesaloscaracteresm+scomunes los s,m'olos %uenecesitan%uesepresionelateclama"4scula .unto con un n4mero son mu" $a'ituales# tucontrase2a ser+ muc$o m+s seura si elies entre todos loss,m'olos del tecladoincluidos los s,m'olos depuntuacinas,como los e-clusivos de tu idioma) Cuida tus contrase2as " !rases codi1cadas tanto como lain!ormacin%ueproteen# nola reveles a nadie# proteelascontrase2as reistradas# no las !acilites nunca por correoelectrnico# cam'ia tus contrase2as con reularidad" no lasescri'as en e%uipos %ue no controlas Opcin de contrase2a en 'lanco< Una contrase2a en 'lanco en sucuentaesmasseura%ueunacontrase2apocoseuracomo?CB@# puedes optar por usar contrase2as en 'lanco en la cuentadel e%uipo si se cumplen estos criterios< D Tiene solo un e%uipo o'ien tiene varios pero no necesita o'tener acceso a la in!ormacinde un e%uipo desde los otros D Ele%uipo es !,sicamente seuroEcon!,as en todas las personas %ue tienen acceso !,sico al e%uipoF)D Go siempre es 'uena idea usar una contrase2a en 'lanco# pore.emploespro'a'le%ueune%uipoport+til nosea!,sicamenteseuro).- CODIGO O LLAVE DE ACCESOLas llaves de acceso de'en tener las siuientes caracter,sticas< la llave de acceso de'e ser3 de una lonitud adecuada para ser unsecreto la llave de acceso no de'e ser desplea'le cuando es tecleada) las llaves de accesos de'e ser encintadas) las llaves de acceso de'en de pro$i'ir el uso de nom'res#pala'ras o caracteres di!,ciles de retener) se recomienda lacom'inacin de caracteres al!a'3ticos " num3ricos)SOFTWARE DE CONTROL DE ACCESOEl so!t:are de control de acceso# tienen las siuientes !unciones< de1nicin de usuario de1nicindelas !unciones del usuariodespu3s deaccesar elsistema E.o'sF) esta'lecimiento de auditoria a trav3s del uso del sistema)Lama"or venta.adel so!t:aredeseuridadeslacapacidadparaproteer los recursos de acceso no autori*ados# incluido lossiuientes