Seguridad Lógica

José Luis Dominikow

Seguridad Lógica

“Aplicación de barreras y procedimientos que resguarden el acceso a los datos y solo se

permita acceder a ellos a las personas autorizadas para hacerlo.”

Seguridad Lógica

Objetivos:

Restringir al acceso a programas y archivos mediante claves y/o encriptación.

Asignar las limitaciones correspondientes a cada usuario del sistema informático.

Asegurarse que los archivos y programas que se emplean son los correctos y se usan correctamente.

Control de los flujos de entrada/salida de la información.

Seguridad Lógica

Control de Acceso: Evitar el acceso no autorizado a la información

digital e instalaciones de procesamiento de datos.

Componentes:Administración de usuarios

RolesTransaccionesTipos de acceso Ubicaciones y horarios

Identificación y AutenticaciónClaves de accesoEncriptación

Seguridad Lógica

Administración de usuarios:

El nivel de acceso asignado debe ser consistente con el propósito del negocio.

Todo usuario que acceda a los sistemas de información de la empresa, debe tener asignado un identificador único (user ID), que permita establecer responsabilidades individuales en el uso de los sistemas de información.

Los permisos asignados a los usuarios deben estar adecuadamente registrados y protegidos.

Cualquier cambio de posición o función de un rol, amerita evaluación de los permisos asignados, con el fin de realizar las modificaciones que correspondan en forma oportuna .

Los sistemas de información de la organización, deben contar con mecanismos robustos de autenticación de usuarios, sobre todo de aquellos usuarios conectados desde redes externas.

La creación, modificación y eliminación de claves debe ser controlada a través de un procedimiento formal.

Seguridad Lógica

Identificación: Momento en que el usuario se da a conocer en el

sistema

Autenticación: Verificación realizada por el sistema en base a la

identificación recibida.

Técnicas de autenticación: Algo que la persona conoce Passwords

Algo que la persona tiene Tarjetas magnéticasAlgo propia de la persona Huella digital, vozAlgo que la persona hace Reconocimiento de escritura

Seguridad Lógica

Claves de Accesos (Password):Forma de autentificación que utiliza información

secreta para controlar el acceso hacia algún recurso.

Puntos a tener en cuenta:

Bajo costo de implementaciónFortaleza asociada a la longitud y variedad de

símbolos utilizadosDependencia del usuarioPersonal e Intransferible

Seguridad Lógica

Claves de Accesos (Password):

Seguridad Lógica

Procedimiento de creación de claves de acceso:Normas establecidas por la compañía al momento

de generación de claves por parte de un usuario del sistema.

Puntos a cubrir:Cantidad minina de caracteresInclusión de caracteres numéricos, especiales y uso

de mayúsculas.CaducidadIntentos fallidosHistorial de palabras claves.Relación con características propias del usuario.

Seguridad Lógica

Claves débiles:La clave contiene menos de ocho caracteres.La clave es encontrada en un diccionario.La clave es una palabra de uso común tal como:

nombre de un familiar, mascota, amigo, colega, etc.

La clave es fecha de cumpleaños u otra información personal como direcciones y números telefónicos.

Ejemplos:

123 qwe123 jose2005josedominikow joseluis01

Seguridad Lógica

Claves seguras:La clave contiene mas de ocho caracteres.

La clave contiene caracteres en minúscula y mayúscula.

La clave tiene dígitos de puntuación, letras y números intercalados.

La clave no obedece a una palabra o lenguaje, dialecto o jerga

Fácil de recordar.

Ejemplos:

Mi3_clave4 SlHsPlDlDa cl4v3d3acc3s0

Seguridad Lógica

Análisis de vulnerabilidad de claves:

Asumiendo una velocidad de búsqueda de 100.000 claves por segundoCantidad de caracteres

Combinatoria de letras

Combinatoria de letras + números

Combinatoria de letras

(minúsculas y mayúsculas)

Combinatoria de letras + números + caracteres especiales

6 0.9 horas 6 horas 2,3 días 3 meses

7 22,3 horas 9 días 4 meses 24 años

8 24 días 10,5 meses 17 años 2288 años

9 21 meses 32,6 años 890 años 219601 años

10 45 años 1160 años 45840 años 21081705 años

Seguridad Lógica

Administración de claves

Las claves deben estar protegidas contra accesos y modificación no autorizada, perdida y destrucción.

El equipamiento utilizado para generar y almacenar las claves debe estar físicamente protegido.

La protección de las claves debe impedir su visualización, aun si se vulnera el acceso al medio que la contiene.

Seguridad Lógica

Sincronización de claves “Single Log-In”:

Técnica que permite una mayor eficiencia en los procesos de autenticación de usuarios, mediante la cual el usuario se registra solamente una vez y desde allí se habilitan todas las aplicaciones a las cuales esa persona tiene acceso.

Seguridad Lógica

EncriptaciónEl nivel de protección de información debe estar

basado en un análisis de riesgo.Este análisis debe permitir identificar cuando es

necesario encriptar la información, el tipo, calidad del algoritmo de encriptación y el largo de las claves criptográficas a ser usadas.

Toda información clasificada como restringida y confidencial debe ser almacenada, procesada y transmitida en forma encriptada.

Todas las claves criptográficas deben estar protegidas contra modificación, perdida y destrucción.

Seguridad Lógica

Intercambio de Información: Prevenir la perdida, modificación o acceso no

autorizado y el mal uso de la información que la empresa intercambia como parte de sus procesos de negocio.

Acuerdos de intercambio: En todos los casos de intercambio de información

sensible, se deben tomar todos los resguardos que eviten su revelación no autorizada.

Todo intercambio de información debe estar autorizada expresamente por el dueño de esta.

Seguridad Lógica

Intercambio de Información (cont.).

Seguridad de los medios removibles:El dueño de la información es quien autoriza a

través de algún medio removible desde la organización.

Los dispositivos que permiten a los computadores manejar medios removibles, deben ser habilitados cuando haya una razón de negocio para hacerlo y previa autorización del dueño de la información.

Seguridad Lógica

Intercambio de Información (cont.).

Seguridad en el comercio electrónico:La información involucrada en comercio

electrónico y que pasa por redes publicas, debe estar protegida de actividades fraudulentas, disputas contractuales y revelaciones o modificaciones no autorizadas.

Seguridad Lógica

Intercambio de Información (cont.).

Seguridad en el correo electrónico.El correo electrónico es provisto por la empresa

a los empleados y terceras partes, para facilitar el desempeño de sus funciones.

La asignación de esta herramienta de trabajo debe hacerse considerando una evaluación de riesgo.

El correo es personalizado, es decir no es aceptable la utilización del correo de otra persona, por tanto se asume responsable del envío al remitente (DE:) y no quien lo firma.