El documento habla sobre conceptos relacionados a la seguridad de la información como identificación, autenticación, roles, transacciones, controles de acceso, encriptación, registros de acceso, restricciones, firewalls, estándares de seguridad y niveles de seguridad. Explica cuatro técnicas de autenticación, los tipos de acceso a recursos, y los niveles del estándar TCSEC de seguridad, desde el nivel D hasta el nivel A.
Hanns Recabarren Diaz (2024), Implementación de una herramienta de realidad v...
Seguridad en TI: conceptos, autenticación, controles de acceso y estándares
1.
2. Es la seguridad en el uso de software y los sistemas, la protección de los datos,
procesos y programas, así como la del acceso ordenado y autorizado de los
usuarios a la información. Este tipo de seguridad involucra todas aquellas
medidas establecidas por la administración de usuarios y administradores de
recursos de tecnología de información para minimizar los riesgos de seguridad
asociados con sus operaciones.
Consiste en la verificación de si una entidad solicita acceso a un recurso tiene
los derechos necesarios para hacerlo. Ofrece la posibilidad de acceder a recursos
físicos o lógicos.
3. La identificación es cuando usuario se da a conocer en el sistema y
autenticación es la verificación que se realiza en el sistema sobre esta
identificación. Hay 4 tipos de técnicas que permiten realizar la autenticación de
la identidad del usuario que son:
Cuando solamente el individuo conoce: Una clave, un pin, entre otros.
Cuando la persona posee: Una tarjeta.
Cuando el individuo es: Huella digital o voz.
Cuando el individuo es capaz de hacer: Patrones de escritura.
Está definido por las responsabilidades a cumplir, es el conjunto de
actividades relacionadas que se asocian a un tipo de trabajo. Una persona puede
ejecutar uno o varios roles y un rol puede ser cubierto por varias personas.
4. Se refiere a un conjunto de operaciones que forman una única unidad
lógica de trabajo. Se ejecutan completamente todas las acciones de una
transacción, en caso de fallo, se deshacen los efectos parciales de la
transacción. Esta propiedad se le llama atomicidad. Una vez ejecutada con
éxito una transacción, sus efectos deben persistir en la base de datos.
Son las restricciones que dependen de parámetros propios de la utilización
de la aplicación o preestablecidos por el administrador del sistema.
Es modo de acceso que se permite al usuario sobre los recursos y a la
información. Esta modalidad puede ser:
Lectura: el usuario puede únicamente leer o visualizar la información pero
no puede alterarla.
Escritura: este tipo de acceso permite agregar datos, modificar o borrar
información.
Ejecución: este acceso otorga al usuario el privilegio de ejecutar programas.
Borrado: permite al usuario eliminar recursos del sistema.
5. El acceso a recursos del sistema puede estar basado en la ubicación física o
lógica de los datos o personas.
Se utilizan para realizar la autenticación del usuario y sirven para proteger
datos y aplicaciones. Los controles implementados a través del uso de palabras
clave resultan de muy bajo costo.
Proceso que permite volver ilegible información que es considerada
importante. La información una vez encriptada sólo puede leerse aplicando
una clave.
Registro en la cual deben tener los nombres de los usuarios que obtuvieron
permiso para entrar a un determinado sistema, así como la modalidad de
acceso permitido. Esta lista varía considerablemente en su capacidad y
flexibilidad.
6. Son usados en conjunto con las listas de control de accesos y restringen a los
usuarios a funciones específicas. Básicamente pueden ser de tres tipos: menús,
vistas sobre la base de datos y límites físicos sobre la interface de usuario.
Son designaciones establecidas a los recursos que pueden usarse para varios
propósitos como control de accesos, especificación de medidas de protección,
entre otros. Estas etiquetas no se pueden modificar.
Dispositivos de Control de Puertos Firewalls o Puertas de Seguridad Acceso
de Personal Contratado o Consultores.
Autorizan el acceso a un puerto determinado y pueden estar físicamente
separados o incluidos en otro dispositivo de comunicaciones, como un
módem.
7. Permiten bloquear o filtrar el acceso entre dos redes, normalmente una
privada y otra externa. Los firewalls permiten que los usuarios internos se
conecten a la red exterior al mismo tiempo que previenen la intromisión de virus
a los sistemas de la organización.
Ya que este tipo de personal en general presta servicios temporarios, debe
estar en especial consideración en la política y administración de sus perfiles de
acceso.
Hay que tener ciertas medidas especiales de seguridad cuando los sistemas de
información son consultados por el público ya que el peligro es más alto y se
dificulta su administración. Se debe considerar para estos casos de sistemas
públicos, que un ataque externo o interno puede acarrear un impacto negativo
en la imagen de la organización.
8. El estándar de niveles de seguridad más utilizado internacionalmente es el
TCSEC Orange Book (2), desarrollado en 1983 de acuerdo a las normas de
seguridad en computadoras del Departamento de Defensa de los Estados
Unidos.
Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se
enumeran desde el mínimo grado de seguridad al máximo.
Estos niveles han sido la base de desarrollo de estándares europeos
(ITSEC/ITSEM) y luego internacionales (ISO/IEC).
Cabe aclarar que cada nivel requiere todos los niveles definidos
anteriormente: así el subnivel B2 abarca los subniveles B1, C2, C1 y el D. (Fabián
F. Sánchez, 2011; Parf. 6).
9. Contiene sólo una división y está reservada para sistemas que han sido
evaluados y no cumplen con ninguna especificación de seguridad. Sin sistemas
no confiables, no hay protección para el hardware, el sistema operativo es
inestable y no hay autentificación con respecto a los usuarios y sus derechos en
el acceso a la información. Los sistemas operativos que responden a este nivel
son MS-DOS y System 7.0 de Macintosh.
Necesita identificación de usuarios que permita el acceso a distinta
información. Cada usuario puede manejar su información privada y se hace la
distinción entre los usuarios y el administrador del sistema, quien tiene control
total de acceso.
Fue diseñado para solucionar las debilidades del C1. Cuenta con
características adicionales que crean un ambiente de acceso controlado.
10. Es un subnivel; el primero de los tres con que cuenta el nivel B. Soporta
seguridad multinivel, como la secreta y ultra secreta. Se establece que el
dueño del archivo no puede modificar los permisos de un objeto que está bajo
control de acceso obligatorio.
Necesita que se etiquete cada objeto de nivel superior por ser padre de un
objeto inferior.
La Protección Estructurada es la primera que empieza a referirse al
problema de un objeto a un nivel más elevado de seguridad en comunicación
con otro objeto a un nivel inferior.
Así, un disco rígido será etiquetado por almacenar archivos que son
accedidos por distintos usuarios.
Refuerza a los dominios con la instalación de hardware.
11. Nivel más elevado, incluye un proceso de diseño, control y verificación,
mediante métodos formales (matemáticos) para asegurar todos los procesos que
realiza un usuario sobre el sistema.
Para llegar a este nivel de seguridad, todos los componentes de los niveles
inferiores deben incluirse. El diseño requiere ser verificado de forma matemática
y también se deben realizar análisis de canales encubiertos y de distribución
confiable. El software y el hardware son protegidos para evitar infiltraciones ante
traslados o movimientos del equipamiento.