Programacion
Páginas: 10 (2311 palabras)
Publicado: 25 de agosto de 2012
Principios de la Seguridad Informática |
|
|
El objetivo de la protección de nuestros Sistemas de Información debe ser el de preservar la:
- Confidencialidad: Asegurando que la información es accesible sólo a las personas autorizadas. Proteger la información contra accesos o divulgación no autorizadas. (control de accesos)
La falta de confidencialidad puede darse por indiscrecionesvoluntarias e involuntarias en cualquier tipo de soporte (magnético o papel) y su no preservación puede tener las siguientes consecuencias:
* Responsabilidad civil o administrativa del propietario del sistema siniestrado por los perjuicios causados a terceros
Pérdidas cualitativas en distintos campos:
Deontología
Credibilidad Prestigio
Imagen
Pérdidas de fondos patrimoniales:
Datos o programas no recuperables
Información confidencial
'know-how'
Pérdidas de explotación:
Reducción de margen por falta de resultados o gastos suplementarios para mantener la funcionalidad precedente a la amenaza.
La medida principal,de carácter preventivo, para preservar la confidencialidad, a considerar en la concepción y desarrollo del sistema, es el diseño del control de accesos lógicos.
En su diseño se deben de tener en cuenta las siguientes consideraciones:
Establecer los grupos de usuarios (estratificación de usuarios) por niveles de seguridad, asignando a cada uno, los tipos de accesos permitidos(lectura, modificación, tratamientos, periféricos)
El acceso lógico al entorno corporativo se realiza bajo el control del producto R.A.C.F., por tanto es preciso diseñar los controles R.A.C.F. (posibles grupos a considerar y las medidas de auditoría a implementar) para la inclusión del sistema en desarrollo en el R.A.C.F.
Si las funcionalidades anteriores. no se consideransuficientes será preciso crear un sistema de seguridad propio de la aplicación, diseñando:
El acceso a las distintas aplicaciones y sus funciones por medio del sistema general de menús.
nuevas funcionalidades, como por ejemplo, el control a nivel campos de transacción
las necesidades de administración del sistema a crear
losprocedimientos de peticiones de autorizaciones de acceso al sistema.
En el diseño del sistema de control de accesos debe considerarse la posibilidad de establecer controles extraordinarios para acceder al sistema, como por ej.:
Especialización de terminales en entornos o transacciones especificas (autorización por terminales)
Especialización de terminales porperfiles de usuario
Asignación de terminal a un usuario
Utilización de dispositivos de acceso físico (tarjetas, llaves, lector de huellas,...)
Acceso con restricciones temporales
No simultaneidad de terminales para un tipo de funcionalidad
Inhabilitación del acceso por inactividad de terminal, utilización de protectores depantalla con clave,...
Inclusión dentro de la aplicación, como mínimo, del identificativo del usuario que realiza la transacción, incluyéndolo en la propia transacción (sirve también como pista de auditoria), terminal, fecha y hora.
Se propondrá, en caso necesario, el sistema a implantar para la detección de intentos de violación, y las acciones a tomar (investigación,bloqueos, revocaciones, suspensiones,....)
Se diseñaran las medidas a implantar para el control de las modificaciones en necesidades de acceso al sistema, como por ej.: bajas, traslados, personal externo,...
La disponibilidad de la información del sistema para su tratamiento con herramientas de usuario final, puede acarrear la falta de confidencialidad de la misma. Por...
|
|
El objetivo de la protección de nuestros Sistemas de Información debe ser el de preservar la:
- Confidencialidad: Asegurando que la información es accesible sólo a las personas autorizadas. Proteger la información contra accesos o divulgación no autorizadas. (control de accesos)
La falta de confidencialidad puede darse por indiscrecionesvoluntarias e involuntarias en cualquier tipo de soporte (magnético o papel) y su no preservación puede tener las siguientes consecuencias:
* Responsabilidad civil o administrativa del propietario del sistema siniestrado por los perjuicios causados a terceros
Pérdidas cualitativas en distintos campos:
Deontología
Credibilidad Prestigio
Imagen
Pérdidas de fondos patrimoniales:
Datos o programas no recuperables
Información confidencial
'know-how'
Pérdidas de explotación:
Reducción de margen por falta de resultados o gastos suplementarios para mantener la funcionalidad precedente a la amenaza.
La medida principal,de carácter preventivo, para preservar la confidencialidad, a considerar en la concepción y desarrollo del sistema, es el diseño del control de accesos lógicos.
En su diseño se deben de tener en cuenta las siguientes consideraciones:
Establecer los grupos de usuarios (estratificación de usuarios) por niveles de seguridad, asignando a cada uno, los tipos de accesos permitidos(lectura, modificación, tratamientos, periféricos)
El acceso lógico al entorno corporativo se realiza bajo el control del producto R.A.C.F., por tanto es preciso diseñar los controles R.A.C.F. (posibles grupos a considerar y las medidas de auditoría a implementar) para la inclusión del sistema en desarrollo en el R.A.C.F.
Si las funcionalidades anteriores. no se consideransuficientes será preciso crear un sistema de seguridad propio de la aplicación, diseñando:
El acceso a las distintas aplicaciones y sus funciones por medio del sistema general de menús.
nuevas funcionalidades, como por ejemplo, el control a nivel campos de transacción
las necesidades de administración del sistema a crear
losprocedimientos de peticiones de autorizaciones de acceso al sistema.
En el diseño del sistema de control de accesos debe considerarse la posibilidad de establecer controles extraordinarios para acceder al sistema, como por ej.:
Especialización de terminales en entornos o transacciones especificas (autorización por terminales)
Especialización de terminales porperfiles de usuario
Asignación de terminal a un usuario
Utilización de dispositivos de acceso físico (tarjetas, llaves, lector de huellas,...)
Acceso con restricciones temporales
No simultaneidad de terminales para un tipo de funcionalidad
Inhabilitación del acceso por inactividad de terminal, utilización de protectores depantalla con clave,...
Inclusión dentro de la aplicación, como mínimo, del identificativo del usuario que realiza la transacción, incluyéndolo en la propia transacción (sirve también como pista de auditoria), terminal, fecha y hora.
Se propondrá, en caso necesario, el sistema a implantar para la detección de intentos de violación, y las acciones a tomar (investigación,bloqueos, revocaciones, suspensiones,....)
Se diseñaran las medidas a implantar para el control de las modificaciones en necesidades de acceso al sistema, como por ej.: bajas, traslados, personal externo,...
La disponibilidad de la información del sistema para su tratamiento con herramientas de usuario final, puede acarrear la falta de confidencialidad de la misma. Por...
Leer documento completo
Regístrate para leer el documento completo.