Recomendados
Más contenido relacionado
La actualidad más candente
La actualidad más candente (20)
Destacado
Destacado (20)
Similar a Auditoría Seguridad Lógica
Similar a Auditoría Seguridad Lógica (20)
Último
Último (19)
Auditoría Seguridad Lógica
- 2. " INDUSTRIA RESPONSABLE Y DEL COMPROMISO CLIMÁTICO" INTEGRANTES: Juan José Sánchez Rojas Haydee Marilu Sembrera Alvarez Marco Vidarte Rojas Beatriz Jenifer Becerra Jiménez CODIGO: 1416NB CICLO: VI TEMA: Auditoria De La Seguridad Lógica CURSO: Auditoria De Sistemas TURNO: Noche PROFESOR: Marco Aurelio Porro Chulli
- 3. SEGURIDAD LÓGICA La Seguridad Lógica consiste en la "aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo. La seguridad lógica al referirse a controles lógicos dentro del software se implementa mediante la construcción de contraseñas en diversos niveles del sistemas donde permita solo el acceso en base a niveles de seguridad de usuarios con permiso, en base al sistema operativo que use como plataforma el sistema a implantarse puedo considerar además a nivel código, algoritmos que generen claves para poder encriptar los archivos de contraseñas dentro del sistema lo cual me permita mayor seguridad en un entorno de red. Generar un módulo del sistema para la emisión de reportes para el administrador del sistema en donde se muestre tablas de uso del sistema así como los usuarios y los niveles de acceso por parte de los tales para poder determinar el uso y acceso al sistema.
- 4. La seguridad lógica de un sistema informático incluye: Restringir al acceso a programas y archivos mediante claves y/o encriptación. Asignar las limitaciones correspondientes a cada usuario del sistema informático. Esto significa, no darle más privilegios extras a un usuario, sino sólo los que necesita para realizar su trabajo. Asegurarse que los archivos y programas que se emplean son los correctos y se usan correctamente. Por ejemplo, el mal uso de una aplicación puede ocasionar agujeros en la seguridad de un sistema informático. Control de los flujos de entrada/salida de la información. Esto incluye que una determinada información llegue solamente al destino que se espera que llegue, y que la información llegue tal cual se envió control de alarma la cual notifique en todo momento sobre la integridad de la información del sistema.
- 5. CARACTERISTICAS: Identificación y Autentificación: Es la primera línea de defensa para la mayoría de los sistemas computarizados, permitiendo prevenir el ingreso de personas no autorizadas. Es la base para la mayor parte de los controles de acceso y para el seguimiento de las actividades de los usuarios. Se denomina Identificación al momento en que el usuario se da a conocer en el sistema; y Autenticación a la verificación que realiza el sistema sobre esta identificación. Roles: El acceso a la información también puede controlarse a través de la función o rol del usuario que requiere dicho acceso. Algunos ejemplos de roles serían los siguientes: programador, líder de proyecto, gerente de un área usuaria, administrador del sistema, etc. En este caso los derechos de acceso pueden agruparse de acuerdo con el rol de los usuarios. Transacciones: También pueden implementarse controles a través de las transacciones, por ejemplo solicitando una clave al requerir el procesamiento de una transacción determinada.
- 6. Limitaciones a los Servicios Estos controles se refieren a las restricciones que dependen de parámetros propios de la utilización de la aplicación o preestablecidos por el administrador del sistema. Un ejemplo podría ser que en la organización se disponga de licencias para la utilización simultánea de un determinado producto de software para cinco personas, en donde exista un control a nivel sistema que no permita la utilización del producto a un sexto usuario. Modalidad de Acceso: Se refiere al modo de acceso que se permite al usuario sobre los recursos y a la información. Esta modalidad puede ser: Lectura: el usuario puede únicamente leer o visualizar la información. Pero no puede alterarla. Debe considerarse que la información puede ser copiada o impresa. Escritura: este tipo de acceso permite agregar datos, modificar o borrar información. Ejecución: este acceso otorga al usuario el privilegio de ejecutar programas.
- 7. Borrado: permite al usuario eliminar recursos del sistema (como programas, campos de datos o archivos). El borrado es considerado una forma Ubicación y Horario: El acceso a determinados recursos del sistema puede estar basado en la ubicación física o lógica de los datos o personas. En cuanto a los horarios, este tipo de controles permite limitar el acceso de los usuarios a determinadas horas de día o a determinados días de la semana. De esta forma se mantiene un control más restringido de los usuarios y zonas de ingreso. Se debe mencionar que estos dos tipos de controles siempre deben ir acompañados de alguno de los controles anteriormente mencionados
- 8. Control de Acceso Interno Palabras Claves (Passwords) Generalmente se utilizan para realizar la autenticación del usuario y sirven para proteger los datos y aplicaciones. Los controles implementados a través de la utilización de palabras clave resultan de muy bajo costo. Sin embargo cuando el usuario se ve en la necesidad de utilizar varias palabras clave para acceder a diversos sistemas encuentra dificultoso recordarlas y probablemente las escriba o elija palabras fácilmente deducibles, con lo que se ve disminuida la utilidad de esta técnica. Listas de Control de Accesos: Se refiere a un registro donde se encuentran los nombres de los usuarios que obtuvieron el permiso de acceso a un determinado recurso del sistema, así como la modalidad de acceso permitido. Este tipo de listas varían considerablemente en su capacidad y flexibilidad. Control de Acceso Externo: Dispositivos de Control de Puertos Firewalls o Puertas de Seguridad Acceso de Personal Contratado o Consultores
- 9. CASO PRÁCTICO: Hospital: 8.000 usuarios Identificador único para médicos y enfermeras para accesos lógicos y físicos Acceso a Historial clínico en boxes de urgencias integrado con acceso / pago en restaurante hospital Cumplimiento normativo (LOPD) Tarjeta con doble tecnología: Chip criptográfico para identificación lógica Banda Magnética para pago en restaurant SSO a Historial clínico: al introducir su tarjeta de empleado junto con el PIN SSO al Historia clínico. Al sacar la tarjeta desconexión de la aplicación (no del Windows) Pago en restaurante con tarjeta empleado Futura integración con sistema control accesos físicos Soportada identificación mediante certificados colegio médico
- 10. RECOMENDACIONES: Se tiene que tener en cuenta que la seguridad lógica y física trabaje una sola. La utilización de contraseña es la más común cuando se trata de seguridad tratar de tener mucho cuidado al elegir una. Lo más apropiado seria generar la lista de horarios. CONCLUSIONES: La seguridad lógica tiene a restringir accesos a programas y archivos mediante claves. Así solo tendrá acceso el usuario con permiso. Todos los niveles de seguridad Informáticos describirán diferentes tipos de seguridad del Sistema Operativo. Existen diferentes tipos o clases de seguridad, donde también se utilizan o pueden aplicarse a servidores y ordenadores. Toda seguridad dependerá del análisis del uso y trayecto del sistema por parte de la persona donde se podrá detectar problemas con los datos del sistema. Es necesario detallar que esta seguridad lógica permite el control de los flujos de entrada y salida de la información
- 11. APRECIACION DEL GRUPO: No nos basta más que decir que la seguridad lógica (física) son procesos de identificación y acceso GLOSORIOS DE TERMINOS: Firewall: es software o hardware que comprueba la información procedente de Internet o de una red y, a continuación, bloquea o permite el paso de ésta al equipo, en función de la configuración del firewall. Sso: sign-on es un procedimiento de autenticación que habilita al usuario para acceder a varios sistemas con una sola instancia de identificación