Você está na página 1de 5

- Seguridad Lógica

La seguridad lógica se refiere a la seguridad en el uso de software y los


sistemas, la protección de los datos, procesos y programas, así como la del
acceso ordenado y autorizado de los usuarios a la información. La “seguridad
lógica” involucra todas aquellas medidas establecidas por la administración -
usuarios y administradores de recursos de tecnología de información- para
minimizar los riesgos de seguridad asociados con sus operaciones cotidianas
llevadas a cabo utilizando la tecnología de información. El Manual sobre
Normas Técnicas de Control Interno Relativas a los Sistemas de Información
Computadorizados emitido por la Contraloría General de la República, establece
en la norma N.º 305-03 sobre seguridad lógica, que el acceso a los archivos de
datos y programas sólo se permitirá al personal autorizado. Los
principales objetivos que persigue la seguridad lógica son:

 Restringir el acceso a los programas y archivos


 Hay que asegurar que se estén utilizando los datos, archivos y programas
correctos en y por el procedimiento correcto.

Métodos:

 Cifrado de datos:
 Simétrico: Es cuando la clave de cifrado es la misma que la de
descifrado.
 Asimétrico: Es cuando la clave de cifrado es diferente a la de descifrado.
 Firma digital:
Es un bloque de caracteres que acompañan a un documento, acreditando quien
es su autor y que no ha existido ninguna manipulación posterior de los datos.
Para firmar un documento digital, su autor utiliza su propia clave secreta. La
validez de la firma podrá ser comprobada por cualquier persona que disponga
de la clave pública del autor.
 Características biométricas:
 Estática: Son características físicas como la huella dactilar, iris, rostro etc.
 Dinámica: Son patrones conductuales al poder mutar, suelen utilizarse en
conjunción a unas de las anteriores: Escritura de mano, voz, movimientos
corporales.
- Diferencia entre seguridad de información y
ciberseguridad
En primer lugar, resaltamos que la seguridad de la información tiene un alcance
mayor que la ciberseguridad, puesto que la primera busca proteger la
información de riesgos que puedan afectarla, en sus diferentes formas y estados.
Por el contrario, la ciberseguridad se enfoca principalmente en la información en
formato digital y los sistemas interconectados que la procesan, almacenan o
transmiten, por lo que tiene un mayor acercamiento con la seguridad
informática.
Además, la seguridad de la información se sustenta de metodologías, normas,
técnicas, herramientas, estructuras organizacionales, tecnología y otros
elementos, que soportan la idea de protección en las distintas facetas de la
información; también involucra la aplicación y gestión de medidas de seguridad
apropiadas, a través de un enfoque holístico.
Por lo tanto, sin importar los límites de cada concepto, el objetivo principal
es proteger la información, independientemente de que ésta pertenezca a una
organización o si se trata de información personal, ya que nadie está exento de
padecer algún riesgo de seguridad.

- Disponibilidad, integridad y confidencialidad

Integridad: El diccionario define el término como “estado de lo que está


completo o tiene todas sus partes”. La integridad hace referencia a la cualidad de
la información para ser correcta y no haber sido modificada, manteniendo sus
datos exactamente tal cual fueron generados, sin manipulaciones ni alteraciones
por parte de terceros. Esta integridad se pierde cuando la información se
modifica o cuando parte de ella se elimina, y una gran garantía para mantenerla
intacta es, como hemos mencionado en anteriores ocasiones, la firma digital.
Un aspecto relacionado con la integridad es la autentificación, cualidad que
permite identificar al generador de la información y que se logra con los
correctos accesos de usuario y con otros sistemas como la recientemente
mencionada firma electrónica. Para algunos, incluso, la autentificación sería el
“cuarto pilar” de la Seguridad de la Información.

Confidencialidad: Por confidencialidad entendemos la cualidad de la


información para no ser divulgada a personas o sistemas no autorizados. Se trata
básicamente de la propiedad por la que esa información solo resultará accesible
con la debida y comprobada autorización.
¿Cómo se pierde esa confidencialidad? Generalmente, haciendo caso omiso a las
recomendaciones de seguridad o no implantando un sistema adecuado; así,
cuando compartimos equipos sin eliminar las contraseñas, olvidamos cerrar
nuestro usuario, tiramos un disco duro sin borrar antes sus datos o no ciframos
los datos de manera adecuada, la información deja de ser confidencial y
entramos, digamos, en una zona de alto riesgo.
Disponibilidad: El tercer y último pilar de la Seguridad de la Información es la
disponibilidad, y es posiblemente el término que menos apreciaciones requiere.
Por disponible entendemos aquella información a la que podemos acceder
cuando la necesitamos a través de los canales adecuados siguiendo los procesos
correctos.

- Principios del privilegio mínimo

En seguridad de la información, ciencias de la computación y otros campos,


el principio de mínimo privilegio (también conocido como el principio de menor
autoridad) requiere que en una particular capa de abstracción de un entorno
computacional, cada módulo (como un proceso, un usuario o un programa) debe
ser capaz de acceder solo a la información y recursos que son necesario para su
legítimo propósito

El principio significa dar una cuenta de usuario sólo los privilegios que son
esenciales para el trabajo de ese usuario. Por ejemplo, un usuario de copia de
seguridad no tiene que instalar el software: de ahí, el usuario tiene derechos de
copia de seguridad sólo para ejecutar las aplicaciones de copia de seguridad y
copias de seguridad relacionados. Cualesquiera otros privilegios, como la
instalación de un nuevo software, se bloquean. El principio se aplica también a
un usuario de ordenador personal que por lo general funciona en una cuenta de
usuario normal, y abre una cuenta con privilegios, protegido con contraseña sólo
cuando la situación lo exige absolutamente.

Cuando se aplica a los usuarios, también se utilizan los términos de acceso de


usuario como mínimo o una cuenta de usuario con privilegios mínimos, en
referencia a la idea de que todas las cuentas de usuario en todo momento deberá
correr con el menor número de privilegios que sea posible, y también lanzar
aplicaciones con tan pocos privilegios como sea posible. Los errores de software
pueden estar expuestos cuando las aplicaciones no funcionan correctamente sin
privilegios elevados.

El principio de privilegios mínimos es ampliamente reconocido como una


importante consideración de diseño en la mejora de la protección de los datos y
la funcionalidad de las fallas y el comportamiento malicioso.

Los beneficios de este principio incluyen:

Mejor estabilidad del sistema. Cuando el código se limita en el alcance de los


cambios que puede realizar en un sistema, es más fácil para poner a prueba sus
posibles acciones e interacciones con otras aplicaciones. En la práctica, por
ejemplo, las aplicaciones que se ejecutan con derechos restringidos no tendrán
acceso para realizar operaciones que podrían colgar una máquina o afectar
negativamente a otras aplicaciones que se ejecutan en el mismo sistema.
Mejor seguridad del sistema. Cuando el código se limita en las acciones de todo
el sistema se puede realizar, vulnerabilidades en una aplicación no se pueden
utilizar para explotar el resto de la máquina. Por ejemplo, Microsoft afirma que
"se ejecuta en modo de usuario estándar ofrece a los clientes una mayor
protección contra el daño accidental a nivel del sistema causado por" ataques
destructores "y malware, como rootkits, spyware y virus indetectables".

La facilidad de despliegue. En general, el menos privilegios de una aplicación


requiere más fácil es para desplegar dentro de un entorno más amplio. Esto por
lo general los resultados de los dos primeros beneficios, las aplicaciones que
instalan controladores de dispositivos o requieren privilegios de seguridad
elevados suelen tener medidas adicionales que intervienen en su
implementación, por ejemplo, en Windows una solución sin controladores de
dispositivos se puede ejecutar directamente sin necesidad de instalación,
mientras que los controladores de dispositivo deben ser instalado por separado
utilizando el servicio de instalación de Windows con el fin de otorgar los
privilegios elevados conductor.

- Iso 27001

Sistemas de Gestión la Seguridad de la Información

ISO 27001 es una norma internacional que permite el aseguramiento, la


confidencialidad e integridad de los datos y de la información, así como de los
sistemas que la procesan.

El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la


Información permite a las organizaciones la evaluación del riesgo y la aplicación
de los controles necesarios para mitigarlos o eliminarlos.

La aplicación de ISO-27001 significa una diferenciación respecto al resto, que


mejora la competitividad y la imagen de una organización.

La Gestión de la Seguridad de la Información se complementa con las buenas


prácticas o controles establecidos en la norma ISO 27002.

Norma ISO 27001

Estructura de la norma ISO 27001

1. Objeto y campo de aplicación: La norma comienza aportando unas orientaciones


sobre el uso, finalidad y modo de aplicación de este estándar.
2. Referencias Normativas: Recomienda la consulta de ciertos documentos
indispensables para la aplicación de ISO27001.
3. Términos y Definiciones: Describe la terminología aplicable a este estándar.
4. Contexto de la Organización: Este es el primer requisito de la norma, el cual
recoge indicaciones sobre el conocimiento de la organización y su contexto, la
comprensión de las necesidades y expectativas de las partes interesadas y la
determinación del alcance del SGSI.
5. Liderazgo: Este apartado destaca la necesidad de que todos los empleados de la
organización han de contribuir al establecimiento de la norma. Para ello la alta
dirección ha de demostrar su liderazgo y compromiso, ha de elaborar una
política de seguridad que conozca toda la organización y ha de asignar roles,
responsabilidades y autoridades dentro de la misma.
6. Planificación: Esta es una sección que pone de manifiesto la importancia de la
determinación de riesgos y oportunidades a la hora de planificar un Sistema de
Gestión de Seguridad de la Información, así como de establecer objetivos
de Seguridad de la Información y el modo de lograrlos.
7. Soporte: En esta cláusula la norma señala que para el buen funcionamiento
del SGSI la organización debe contar con los recursos, competencias,
conciencia, comunicación e información documentada pertinente en cada caso.
8. Operación: Para cumplir con los requisitos de Seguridad de la Información, esta
parte de la norma indica que se debe planificar, implementar y controlar los
procesos de la organización, hacer una valoración de los riesgos de la Seguridad
de la Información y un tratamiento de ellos.
9. Evaluación del Desempeño: En este punto se establece la necesidad y forma de
llevar a cabo el seguimiento, la medición, el análisis, la evaluación, la auditoría
interna y la revisión por la dirección del Sistema de Gestión de Seguridad de la
Información, para asegurar que funciona según lo planificado.
10. Mejora: Por último, en la sección décima vamos a encontrar las obligaciones que
tendrá una organización cuando encuentre una no conformidad y la importancia
de mejorar continuamente la conveniencia, adecuación y eficacia del SGSI.

Você também pode gostar