Este documento discute la identificación y autenticación de usuarios en sistemas de computación. Explica que la identificación implica proveer el nombre de usuario, mientras que la autenticación requiere una contraseña o método de verificación. También destaca que los usuarios son el eslabón más débil en seguridad debido a malas prácticas como usar contraseñas débiles o compartirlas. Por lo tanto, es crucial establecer políticas de seguridad claras y crear conciencia entre los usuarios.
AUDITORIA DE BASE DE DATOS
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacion almacenada en las bases de datos incluyendo la capacidad de determinar:
Quien accede a los datos.
Cuando se accedió a los datos.
Desde que tipo de dispositivo/aplicación.
Desde que ubicación en la red.
Cual fue la sentencia SQL ejecutada.
Cual fue el afecto del acceso a la base de datos.
La Auditoria de Base de Datos es Importante porque:
Toda la informacion financiera reside en bases de datos y deben existir controles relacionados con el acceso a las mismas.
Se debe poder demostrar la integridad de la informacion.
Las organizaciones deben mitigar los riesgos asociados a la perdida de datos y a la fuga de informacion.
La informacion confidencial de los clientes, son responsabilidad de las organizaciones.
Los datos convertidos en informacion a través de bases de datos.
Las organizaciones deben tomar medidas mucho mas allá de asegurar sus datos.
Mediante la auditoria de bases de datos se evaluara:
Definición de estructuras físicas y lógicas de las bases de datos.
Control de carga y de mantenimiento de las bases de datos.
Integridad de los datos y protección de accesos.
Estándares para análisis y programacion en el uso de bases de datos.
Procedimientos de respaldos y recuperación de datos.
Planificación de la Auditoria de Base de Datos
Identificar todas las bases de datos de la organización.
Clasificar los niveles de riesgo de los datos en las bases de datos.
Analizar los permisos de accesos.
Analizar los controles existentes de acceso a las bases de datos.
Establecer los modelos de auditoria de bases de datos a utilizar.
Establecer las pruebas a realizar para cada base de datos, aplicación y/o usuario.
Metodologías para la auditoria de Base de Datos
Metodología Tradicional
El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación. En esta investigación se confecciona una lista de control de todos los aspectos a tener en cuenta.
Metodología de evaluación de riesgos
Este tipo de metodología, conocida también por Risk oriented approach es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que esta sometido el entorno.
Considerando los riesgos de:
Dependencia por la concentración de datos.
Accesos no restringidos en la figura del DBA.
Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación.
Impactos de los errores en Datos y programas.
Rupturas de enlaces o cadenas por fallos del sofware.
Impactos por accesos no autorizados.
Dependencias de las personas con alto conocimiento técnico.
Se puede definir los siguientes controles:
Objetivo de Control: El SGBD debe preservar la confidencialidad de la BD.
Tecnicas de Control: Se es
Material en construcción sobre aplicaciones distribuidas.
Si las imagenes contenidas en estas diapositivas violan derechos de autor, por favor comunicarmelo. este material es exclusivamente de caracter academico y colaborativo.
En el presente ensayo el tema a desarrollar son las amenazas que atentan contra la seguridad informática, como prevenirlas y aquellos delincuentes informáticos que podemos encontrar conforme al tema.
Esta presentación habla sobre las los tipos de virus que pueden afectar nuestra información del ordenador, tambien tratatara sobre el sifnificado de cada uno de estos diferentes tipos de virus.
Diseño de entradas para sistemas de informaciónYaskelly Yedra
Los sistemas de información deben contar con interfaces de usuario que facilitan la entrada de datos para luego ser procesada por el sistema y que sea convertida en información.
La Auditoría Informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.
AUDITORIA DE BASE DE DATOS
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacion almacenada en las bases de datos incluyendo la capacidad de determinar:
Quien accede a los datos.
Cuando se accedió a los datos.
Desde que tipo de dispositivo/aplicación.
Desde que ubicación en la red.
Cual fue la sentencia SQL ejecutada.
Cual fue el afecto del acceso a la base de datos.
La Auditoria de Base de Datos es Importante porque:
Toda la informacion financiera reside en bases de datos y deben existir controles relacionados con el acceso a las mismas.
Se debe poder demostrar la integridad de la informacion.
Las organizaciones deben mitigar los riesgos asociados a la perdida de datos y a la fuga de informacion.
La informacion confidencial de los clientes, son responsabilidad de las organizaciones.
Los datos convertidos en informacion a través de bases de datos.
Las organizaciones deben tomar medidas mucho mas allá de asegurar sus datos.
Mediante la auditoria de bases de datos se evaluara:
Definición de estructuras físicas y lógicas de las bases de datos.
Control de carga y de mantenimiento de las bases de datos.
Integridad de los datos y protección de accesos.
Estándares para análisis y programacion en el uso de bases de datos.
Procedimientos de respaldos y recuperación de datos.
Planificación de la Auditoria de Base de Datos
Identificar todas las bases de datos de la organización.
Clasificar los niveles de riesgo de los datos en las bases de datos.
Analizar los permisos de accesos.
Analizar los controles existentes de acceso a las bases de datos.
Establecer los modelos de auditoria de bases de datos a utilizar.
Establecer las pruebas a realizar para cada base de datos, aplicación y/o usuario.
Metodologías para la auditoria de Base de Datos
Metodología Tradicional
El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación. En esta investigación se confecciona una lista de control de todos los aspectos a tener en cuenta.
Metodología de evaluación de riesgos
Este tipo de metodología, conocida también por Risk oriented approach es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que esta sometido el entorno.
Considerando los riesgos de:
Dependencia por la concentración de datos.
Accesos no restringidos en la figura del DBA.
Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación.
Impactos de los errores en Datos y programas.
Rupturas de enlaces o cadenas por fallos del sofware.
Impactos por accesos no autorizados.
Dependencias de las personas con alto conocimiento técnico.
Se puede definir los siguientes controles:
Objetivo de Control: El SGBD debe preservar la confidencialidad de la BD.
Tecnicas de Control: Se es
Material en construcción sobre aplicaciones distribuidas.
Si las imagenes contenidas en estas diapositivas violan derechos de autor, por favor comunicarmelo. este material es exclusivamente de caracter academico y colaborativo.
En el presente ensayo el tema a desarrollar son las amenazas que atentan contra la seguridad informática, como prevenirlas y aquellos delincuentes informáticos que podemos encontrar conforme al tema.
Esta presentación habla sobre las los tipos de virus que pueden afectar nuestra información del ordenador, tambien tratatara sobre el sifnificado de cada uno de estos diferentes tipos de virus.
Diseño de entradas para sistemas de informaciónYaskelly Yedra
Los sistemas de información deben contar con interfaces de usuario que facilitan la entrada de datos para luego ser procesada por el sistema y que sea convertida en información.
La Auditoría Informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.
¿El fin de las contraseñas? La autenticación simple cada vez más amenazadaESET Latinoamérica
El objetivo del texto es explicar el funcionamiento de la doble autenticación y la importancia de implementar este método de protección.
Las contraseñas son un recurso ampliamente utilizado por los usuarios. Prácticamente cualquier servicio en el cual se maneje información sensible (correo electrónico, redes sociales, portales bancarios, recursos corporativos, entre otros.), requiere del ingreso de credenciales de acceso como método de autenticación. El objetivo es similar al de una llave; proteger aquellos recursos importantes del acceso no autorizado de terceros, sin embargo, la efectividad de este método se ha visto amenazada tanto por factores técnicos como humanos.
En esta diapositva , podemos encontrar el concepto de la ciberseguirdad y la definiciones de los diferentes mallware y asi como lo ataques mas conocidos y de mayor impacto en la sociedad.
2. OBTENCIÓN DE PASSWORDS, CÓDIGOS Y
CLAVES
Este método (usualmente denominado cracking), comprende la
obtención "por fuerza bruta" de aquellas claves que permiten ingresar a
servidores, aplicaciones, cuentas, etc. Muchas passwords de acceso son
obtenidas fácilmente porque involucran el nombre u otro dato familiar del
usuario, que además nunca la cambia. En esta caso el ataque se simplifica
e involucra algún tiempo de prueba y error. Otras veces se realizan
ataques sistemáticos (incluso con varias computadoras a la vez) con la
ayuda de programas especiales y "diccionarios" que prueban millones de
posibles claves hasta encontrar la password correcta.
Por ser el uso de passwords la herramienta de seguridad mas
cercana a los usuarios, es aquí donde hay que poner énfasis en la parte
"humana" con políticas claras.
No muchas organizaciones están exentas de mostrar passwords
escritas y pegadas en la base del monitor de sus usuarios, u obtenerlas
simplemente preguntando al responsable de cualquier PC, cual es su
password." 1
3. IDENTIFICACIÓN
Identificar: brindar el nombre con la que está
autorizado a ingresar. Es el paso previo a la
Autenticación. También es denominado login .
Antes de determinar cualquier restricción a los
accesos se debe implementar una Matriz de
accesos: Tener definido claramente todas las
condiciones de accesos a la Red. Se debe
cuestionar: ¿Quién puede ingresar a la Red?, ¿Qué
días?, ¿En qué horarios?, ¿A que programas?, ¿A
que archivos?, Etc.
Los accesos deben ser siempre restringidos y con
la máxima limitación.
Por regla general hay que recordar que en
Políticas de Seguridad "Lo que no está expresamente
autorizado está PROHIBIDO".
4. AUTENTICACIÓN
Autenticar: con su clave o
Password; está clave luego de ser
ingresada se compara con la que figura
en el archivo. Además se puede
implementar para reforzar la
autenticación:
1. Medidas de seguridad en cuanto
al tratamiento de
las CLAVES o PASSWORDS.
2. Handshacking.
3. Control Físico complementario.
5. 1. CLAVES O PASSWORDS:
Todos los usuarios deben validar su identificación
mediante la contraseña (clave) para acceder al sistema.
Las claves deben tener las siguientes características:
v No debe ser fácil, ni corta, ni una palabra
conocida.
v Debe tener de 6 a 8 dígitos.
v Debe incluir Mayúsculas, números y caracteres.
v Debe ser secreta.
v Abstenerse de usar nombre de familiares u otros
datos personales.
v Debe ingresarla exclusivamente el usuario, no
que sea seleccionada por sistema.
v No debe estar en exhibición pública y menos
pegarla en el monitor o escritorio.
v Única para cada usuario.
v Se debe cambiar periódicamente.
v Deben estar encriptadas.
6. Los passwords deben persuadir la acción de los Crackers.
Cracker: es aquel que rompe la seguridad de un sistema para sacar
algún beneficio de ello. Para ello utiliza herramientas que decodifican las
claves en cuestión de segundos. Para hacer que el Cracker tarde más en
descifrar la clave es conveniente incluir mayúsculas, números y caracteres;
que sean de 6 a 8 dígitos; que están encriptadas. De esta manera se supera
el tiempo esperado de rotura de la búsqueda por lo que el Cracker va a
abandonar en el intento.
El encriptado de las claves le aumenta el tiempo de espera al Cracker.
"Encriptación: usa una técnica -la criptografía- que modifica un mensaje
original mediante una o varias claves, de manera que resulte totalmente
ilegible para cualquier persona. Y solamente lo pueda leer quien posea la
clave correspondiente para descifrar el mensaje".2
Si se detecta o sospecha que un intruso ha ingresado al sistema se
deben cambiar todas las claves de accesos, de esta manera se está cerrando
la "puerta" por donde pudo haber ingresado el intruso.
7. 2. HANDSHACKING:
Se traduce como Reconocimiento protocolar, consiste en establecer un diálogo
interactivo requiriendo respuesta exacta a un conjunto de preguntas que son parte de las
que se encuentran en el archivo de cada usuario. Estas preguntas están relacionadas con
la vida particular de cada usuario; se le puede preguntar por el nombre de sus padres, la
edad de sus hijos, aniversarios, etc. Las respuestas solo las conoce el usuario o familiares
muy cercanos. Las preguntas deben estar pactadas entre el sistema y el usuario, para que
el mismo las pueda recordar. Las respuestas se pueden actualizar por el paso del tiempo.
8. 3. CONTROLES FISICOS
COMPLEMENTARIOS:
Los mecanismos basados sólo en la contraseña, especialmente aquellos que transmiten la
contraseña sin encriptar, son susceptibles de ser observados y capturados. Esto se puede convertir en un
problema serio si la LAN posee conexiones no controladas a otras redes externas. Si después de
considerar todas las opciones de autenticación, la política de la LAN determina que
un mecanismo de tarjeta inteligente o basado en certificados requiere que el usuario posea un
certificado y puede requerir adicionalmente que el usuario conozca un PIN o una contraseña. Estos
dispositivos realizan una autenticación basada en pregunta/respuesta. La utilización de parámetros a
través de la reproducción del inicio de sesión. Estos dispositivos también pueden encriptar la sesión de
autenticación, evitando que la información de autenticación pueda ser monotizada y capturada.
3.1. Dispositivos físicos con control por si mismos:
Colocar una llave tipo trabex para cortar el suministro eléctrico, de esa manera se asegura que solo
la persona con la llave pueda encender el equipo.
9. 3.2Utilizan elementos de Hardware y herramientas de
Software, en forma conjunta:
Colocación de dispositivo lector de tarjetas magnéticas. Solo el usuario asignado posee la tarjeta magnética
correspondiente.
Implementación de lectores de huellas digitales que permite comparar la imagen gráfica de las huellas digitales. Hoy
en día se consiguen teclados con lectores de huellas digitales incorporados.
Dispositivo lector de "Smart Card" (tarjeta chip). Sus aplicaciones y usos se están desarrollando cada vez más.
Además de autenticar la identificación del empleado; por ejemplo se las puede utilizar para cargarle al empleado cierto saldo y
en el comedor se le descuenta cada vez que compra su almuerzo, o que saca comestibles de las maquinas expendedoras,
también para controlar su asistencia; en definitiva va a ser la llave para todos sus beneficios dentro de la empresa.
Colocación de una web-cam que capte la imagen del usuario que está sentado frente al equipo y la compare con una
imagen que esté en el archivo personal de cada usuario.
Lector de tarjetas con código de barras. Es muy costoso que cada equipo en una oficina tenga un lector de código de
barras, ya que el mismo no tendría otra finalidad que la de autenticar cada ingreso del usuario al sistema. En cambio en
terminales punto de venta donde el lector de códigos de barra se utiliza para leer las etiquetas de los productos, no sería muy
costoso asignarle una tarjeta a cada usuario para que se registre al iniciar y finalizar su turno.
10. Conclusión
• Más que un problema de tecnología, la seguridad en la transmisión de la información
por la Red se debe a la falta de cultura de las organizaciones y de las personas que la
integran.
• El eslabón más débil de esta cadena en la seguridad la constituye el humano y no el
tecnológico, lo cual destaca la importancia de tener una cultura de seguridad, porque no
existe en muchas empresas un responsable de seguridad.
11. Esto se ve potenciado cuando se habla de Identificación y Autenticación de usuarios, ya
que la responsabilidad de adoptar la política es de cada usuario, es imposible poder controlar
a todos los empleados (excepto cuando la organización es muy pequeña). Por eso es
fundamental crear una conciencia en la organización de la seguridad de sus datos y de cuánto
éstos valen para la empresa.
También lo potencia el hecho de que los enemigos de un sistema son muchos: los
Hackers, los Crackers, empleados infieles y el espionaje Industrial y comercial; y cualquier
irresponsabilidad le puede costar caro a la organización.
Como prueba de lo dicho anteriormente "En el año 2000 se destinó al mercado de
Servicios de Seguridad en Internet $140 millones de dólares, y Yankee prevé que para el año
2005 se gastará $1.7 Billones de dólares