Rutas de acceso.
Cada uno de los sistemas de información tiene una ruta de acceso, la cual puede definirse como la trayectoria seguida en el momento de acceso al sistema.
Los tipos de restricciones de acceso son:
- Sólo lectura
- Sólo consulta
- Lectura y consulta
- Lectura escritura para crear, actualizar, borrar, ejecutar o copiar
El esquema de las rutas de acceso sirve para identificar todos los puntos de control que pueden ser usados para proteger los datos en el sistema. El autor debe conocer las rutas de acceso para el evaluación de los puntos de control apropiados
El auditor debe revisar las medidas de seguridad en los:
- Paquete de seguridad y perfil de cada usuario segúna que pueda y deba acceder.
- Terminales desconectadas después de un periodo detiempo sin uso.
- Contraseñas de 5 a 8 caracteres alfanumérico,generados aleatoriamente y la protección de contraseñas quedeberían memorizarse
CONTROLES DE ACCESO
Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de aplicación, en bases de datos, en un paquete específico de seguridad o en cualquier otro utilitario.
Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de aplicación y demás software de la utilización o modificaciones no autorizadas; para mantener la integridad de la información (restringiendo la cantidad de usuarios y procesos con acceso permitido) y para resguardar la información confidencial de accesos no autorizados.
Asimismo, es conveniente tener en cuenta otras
consideraciones referidas a la seguridad lógica, como por ejemplo las relacionadas al procedimiento que se lleva a cabo para determinar si corresponde un permiso de acceso (solicitado por un usuario) a un determinado recurso.
consideraciones referidas a la seguridad lógica, como por ejemplo las relacionadas al procedimiento que se lleva a cabo para determinar si corresponde un permiso de acceso (solicitado por un usuario) a un determinado recurso.
Al respecto, el National Institute for Standars and Technology (NIST) ha resumido los siguientes estándares de seguridad que se refieren a los requisitos mínimos de seguridad en cualquier sistema:
- Identificación y Autentificación
- Roles: El acceso a la información también puede controlarse a través de la función o rol del usuario que requiere dicho acceso. Algunos ejemplos de roles serían los siguientes: programador, líder de proyecto, gerente de un área usuaria, administrador del sistema, etc. En este caso los derechos de acceso pueden agruparse de acuerdo con el rol de los usuarios.
- Transacciones: También pueden implementarse controles a través de las transacciones, por ejemplo solicitando una clave al requerir el procesamiento de una transacción determinada.
- Limitaciones a los Servicios: Estos controles se refieren a las restricciones que dependen de parámetros propios de la utilización de la aplicación o preestablecidos por el administrador del sistema. Un ejemplo podría ser que en la organización se disponga de licencias para la utilización simultánea de un determinado producto de software para cinco personas, en donde exista un control a nivel sistema que no permita la utilización del producto a un sexto usuario.
- Modalidad de Acceso: Se refiere al modo de acceso que se permite al usuario sobre los recursos y la información esta modalidad puede ser:
Ademas existen otras modalidades de acceso especiales:
- Lectura: el usuario puede únicamente leer o visualizar la información pero no puede alterarla, debe considerarse que la información puede ser copiada o impresa
- Escritura: este tipo de acceso permite agregar datos, modificar o borrar información
- Ejecución: otorga al usuario el privilegio de ejecutar programas.
- Borrado: permite al usuario eliminar recursos del sistema como programas, campos de datos o archivos.
- Todas las anteriores
- Creación: permite al usuario crear archivos nuevos, registros o campos.
- Búsqueda: permite listar los archivos de un directorio determinado
- Ubicación y Horario: El acceso a determinados recursos del sistema puede estar basado en la ubicación física o lógica de los datos o personas. En cuanto a los horarios, este tipo de controles permite limitar el acceso de los usuarios a determinadas horas de día o a determinados días de la semana. De esta forma se mantiene un control más restringido de los usuarios y zonas de ingreso. Se debe mencionar que estos dos tipos de controles siempre deben ir acompañados de alguno de los controles anteriormente mencionados.
- Administración
- Definición de Puestos: Debe contemplarse la máxima separación de funciones y el otorgamiento mínimo de permisos de acceso por cada puesto para la ejecución de las tareas asignadas.
- Determinación de la sensibilidad del puesto: Es necesario determinar si la función requiere permisos arriesgados que le permitan alterar procesos, perpetuar fraudes o visualizar información confidencial.
- Elección de la persona para cada puesto: Requiere considerar los requerimientos de experiencia y conocimientos técnicos necesarios para cada puesto, así mismo para los puestos definidos como críticos puede requerirse una verificación de antecedentes personales.
- Entrenamiento inicial y continuo del empleado: Cuando la persona ingresa a la organización debe comunicársele las políticas de seguridad de la organización y su responsabilidad. El personal debe sentir que la seguridad es un elemento prioritario.
Fuente(s):
- http://muziek-film-kunst.blogspot.mx/2011/01/seguridad-logica-y-confidencial.html
- https://es.scribd.com/doc/104007826/Auditoria-de-La-Seguridad-Fisica-y-Logica
- http://www.gitsinformatica.com/seguridad%20logica%20fisica.html#ctrlacceso
- https://seguridadinformaticasmr.wikispaces.com/TEMA+3+-+SEGURIDAD+L%C3%93GICA
accesos de la forma siguiente:
:
No hay comentarios.:
Publicar un comentario