SEGURIDAD LÓGICA

La seguridad lógica consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo.

Los objetivos que se plantean serán:

1. Restringir el acceso a los programas y archivos.
2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan.
3. Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el procedimiento correcto.
4. Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro.
5. Que la información recibida sea la misma que ha sido transmitida.
6. Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.
7. Que se disponga de pasos alternativos de emergencia para la transmisión de información.

CONTROLES DE ACCESO

Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de aplicación y demás software de la utilización o modificaciones no autorizadas; para mantener la integridad de la información y para resguardar la información confidencial de accesos no autorizados.

Asimismo, es conveniente tener en cuenta otras consideraciones referidas a la

seguridad lógica.

Identificación y autentificación

Es la primera línea de defensa para la mayoría de los sistemas computarizados, permitiendo prevenir el ingreso de personas no autorizadas. Es la base para la mayor parte de los controles de acceso y para el seguimiento de las actividades de los usuarios.

Se denomina Identificación al momento en que el usuario se da a conocer en el

sistema; y Autenticación a la verificación que realiza el sistema sobre esta identificación.

Roles

El acceso a la información también puede controlarse a través de la función o rol del
usuario que requiere dicho acceso.

Transacciones
También pueden implementarse controles a través de las transacciones.

Limitaciones a los servicios

Estos controles se refieren a las restricciones que dependen de parámetros propios de la utilización de la aplicación o preestablecidos por el administrador del sistema.

Modalidad de acceso
Se refiere al modo de acceso que se permite al usuario sobre los recursos y a la información. Esta modalidad puede ser:

• Lectura: el usuario puede únicamente leer o visualizar la información pero no puede alterarla. Debe considerarse que la información puede ser copiada o impresa.
• Escritura: este tipo de acceso permite agregar datos, modificar o borrar información.
• Ejecución: este acceso otorga al usuario el privilegio de ejecutar programas.
• Borrado: permite al usuario eliminar recursos del sistema El borrado es considerado una forma de modificación.
• Creación: permite al usuario crear nuevos archivos, registros o campos.
• Búsqueda: permite listar los archivos de un directorio determinado.

Control de acceso interno

• Palabras claves (passwords).
• Encriptación.
• Listas de control de accesos.
• Limites sobre la interface de usuario.
• Etiquetas de seguridad.

Control de acceso externo

• Dispositivos de control de puertos.
• Firewalls o puertas de seguridad.
• Acceso de personal contratado o consultores.
• Acceso publico.

ADMINISTRACIÓN

Una vez establecidos los controles de acceso sobre los sistemas y la aplicación, es necesario realizar una eficiente administración de estas medidas de seguridad lógica, lo que involucra la implementación, seguimientos, pruebas y modificaciones sobre los accesos de los usuarios de los sistemas.

La política de seguridad que se desarrolle respecto a la seguridad lógica debe guiar a las decisiones referidas a la determinación de los controles de accesos y especificando las consideraciones necesarias para el establecimiento de perfiles de usuarios.

NIVELES DE SEGURIDAD INFORMÁTICA

El estándar de niveles de seguridad mas utilizado internacionalmente es el TCSEC

Orange Book, desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras

del departamento de defensa de los Estados Unidos.

Nivel D
Este nivel contiene sólo una división y está reservada para sistemas que han sido evaluados y no cumplen con ninguna especificación de seguridad.
Los sistemas operativos que responden a este nivel son MS–DOS y System 7.0 de Macintosh.t

Nivel C1: Protección discrecional

Se requiere identificación de usuarios que permite el acceso a distinta información.

• Acceso de control discrecional: distinción entre usuarios y recursos. Se podrán definir grupos de usuarios y grupos de objetos.
• Identificación y Autentificación: se requiere que un usuario se identifique antes de comenzar a ejecutar acciones sobre el sistema.

Nivel C2: Protección de acceso controlado

Este subnivel fue diseñado para solucionar las debilidades del C1. Cuenta con características adicionales que crean un ambiente de acceso controlado. Se debe llevar una auditoria de accesos e intentos fallidos de acceso a objetos.

Nivel B1: Seguridad etiquetada

Soporta seguridad multinivel, como la secreta y ultrasecreta. Se establece que el dueño del archivo no puede modificar los permisos de un objeto que está bajo control de acceso obligatorio.

Nivel B2: Protección estructurada

Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto inferior. La Protección Estructurada es la primera que empieza a referirse al problema de un objeto a un nivel mas elevado de seguridad en comunicación con otro objeto a un nivel inferior.

Nivel B3: Dominios de seguridad

Refuerza a los dominios con la instalación de hardware: por ejemplo el hardware de administración de memoria se usa para proteger el dominio de seguridad de acceso no autorizado a la modificación de objetos de diferentes dominios de seguridad.

Nivel A: Protección verificada
Es el nivel más elevado, incluye un proceso de diseño, control y verificación, mediante métodos formales (matemáticos) para asegurar todos los procesos que realiza un usuario sobre el sistema