MARCO TEORICO ACL
Páginas: 88 (21780 palabras)
Publicado: 12 de abril de 2015
Seguridad en el comercio electrónico. Mattos Lescano, Elisa Zoraida.
Derechos reservados conforme a Ley
CAPITULO II
MARCO TEÓRICO
II.1 SEGURIDAD
II.1.1 Seguridad Lógica
Existe un viejo dicho en la seguridad informática que dicta que “todo lo que no
está permitido debe estar prohibido” y esto es lo que debe asegurar la Seguridad
Lógica, podemos pensar en la Seguridad Lógica como la manera deaplicar
procedimientos que aseguren que sólo podrán tener acceso a los datos las personas
o sistemas de información autorizados para hacerlo.
Los objetivos que se plantean serán:
1. Restringir el acceso a los programas y archivos
2. Los operadores deben trabajar sin supervisión minuciosa y no podrán
modificar ni programas archivos que no correspondan.
3. Asegurar que se estén utilizando los datos,archivos y programas correctos
en y por el procedimiento correcto.
4. Asegurar que la información transmitida sea recibida sólo por el destinatario
al cual ha sido dirigida y por ningún otro.
5. Asegurar que la información que el destinatario ha recibido sea la misma que
ha sido transmitida.
6. Se debe disponer de sistemas alternativos de transmisión de información
entre diferentes puntos.
II.1.1.1Controles de Acceso
Los controles de acceso pueden implementarse a nivel de Sistema Operativo, de
sistemas de información, en bases de datos, en un paquete específico de
seguridad o en cualquier otro utilitario.
Estos controles constituyen una ayuda importante para proteger al sistema
operativo de la red, a los sistemas de información y software adicional; de que
Seguridad en el comercioelectrónico. Mattos Lescano, Elisa Zoraida.
Derechos reservados conforme a Ley
puedan ser utilizadas(os) o modificadas(os) sin autorización; también para
mantener la integridad de la información (restringiendo la cantidad de usuarios
y procesos con autorización de acceso) y para resguardar la información
confidencial de accesos no autorizados.
Las consideraciones relacionadas al procedimiento que se llevaa cabo para
determinar si corresponde un permiso de acceso solicitado por un usuario, a un
determinado recurso son planteadas por el National Institute for Standards and
Technology (NIST) en el NIST Handbook1; donde se encuentran resumidos los
siguientes esquemas para dotar de seguridad a cualquier sistema :
Identificación y Autentificación
Se constituye en la primera línea de defensa para lamayoría de los sistemas
computarizados, al prevenir el ingreso de personas no autorizadas y es la base
para casi todos los controles de acceso, además permite efectuar un seguimiento
de las actividades de los usuarios. Identificación es cuando el usuario se da a
conocer en el sistema; y Autentificación es la verificación que realiza el
sistema de la identificación.
Roles
El acceso a la informaciónpuede ser controlado también, considerando la
función o rol del usuario que requiere dicho acceso. Algunos ejemplos de roles
serían los siguientes:
§
Líder de proyecto,
§
Programador
§
Operador
§
Jefe de un área usuaria
§
Etc.
Los derechos de acceso se agrupan de acuerdo con un rol determinado y el uso
de los recursos se restringe a las personas autorizadas a asumir dicho rol,
cambiar derol implicaría salir del sistema y reingresar.
1
http://www.csrc.nist.gov/publications/nistpubs/800-12/handbook.pdf
Seguridad en el comercio electrónico. Mattos Lescano, Elisa Zoraida.
Derechos reservados conforme a Ley
El uso de roles es una manera bastante efectiva de implementar el control de
accesos, siempre que el proceso de definición de roles esté basado en un
profundo análisis de cómola organización opera. Es importante aclarar que el
uso de roles no es lo mismo que el uso compartido de cuentas.
Transacciones
Otra planteamiento para implementar controles de acceso en una organización
son las transacciones, sería del modo siguiente: el computador conoce de
antemano el número de cuenta que proporciona a un usuario el acceso a la
cuenta respectiva, este acceso tiene la...
Derechos reservados conforme a Ley
CAPITULO II
MARCO TEÓRICO
II.1 SEGURIDAD
II.1.1 Seguridad Lógica
Existe un viejo dicho en la seguridad informática que dicta que “todo lo que no
está permitido debe estar prohibido” y esto es lo que debe asegurar la Seguridad
Lógica, podemos pensar en la Seguridad Lógica como la manera deaplicar
procedimientos que aseguren que sólo podrán tener acceso a los datos las personas
o sistemas de información autorizados para hacerlo.
Los objetivos que se plantean serán:
1. Restringir el acceso a los programas y archivos
2. Los operadores deben trabajar sin supervisión minuciosa y no podrán
modificar ni programas archivos que no correspondan.
3. Asegurar que se estén utilizando los datos,archivos y programas correctos
en y por el procedimiento correcto.
4. Asegurar que la información transmitida sea recibida sólo por el destinatario
al cual ha sido dirigida y por ningún otro.
5. Asegurar que la información que el destinatario ha recibido sea la misma que
ha sido transmitida.
6. Se debe disponer de sistemas alternativos de transmisión de información
entre diferentes puntos.
II.1.1.1Controles de Acceso
Los controles de acceso pueden implementarse a nivel de Sistema Operativo, de
sistemas de información, en bases de datos, en un paquete específico de
seguridad o en cualquier otro utilitario.
Estos controles constituyen una ayuda importante para proteger al sistema
operativo de la red, a los sistemas de información y software adicional; de que
Seguridad en el comercioelectrónico. Mattos Lescano, Elisa Zoraida.
Derechos reservados conforme a Ley
puedan ser utilizadas(os) o modificadas(os) sin autorización; también para
mantener la integridad de la información (restringiendo la cantidad de usuarios
y procesos con autorización de acceso) y para resguardar la información
confidencial de accesos no autorizados.
Las consideraciones relacionadas al procedimiento que se llevaa cabo para
determinar si corresponde un permiso de acceso solicitado por un usuario, a un
determinado recurso son planteadas por el National Institute for Standards and
Technology (NIST) en el NIST Handbook1; donde se encuentran resumidos los
siguientes esquemas para dotar de seguridad a cualquier sistema :
Identificación y Autentificación
Se constituye en la primera línea de defensa para lamayoría de los sistemas
computarizados, al prevenir el ingreso de personas no autorizadas y es la base
para casi todos los controles de acceso, además permite efectuar un seguimiento
de las actividades de los usuarios. Identificación es cuando el usuario se da a
conocer en el sistema; y Autentificación es la verificación que realiza el
sistema de la identificación.
Roles
El acceso a la informaciónpuede ser controlado también, considerando la
función o rol del usuario que requiere dicho acceso. Algunos ejemplos de roles
serían los siguientes:
§
Líder de proyecto,
§
Programador
§
Operador
§
Jefe de un área usuaria
§
Etc.
Los derechos de acceso se agrupan de acuerdo con un rol determinado y el uso
de los recursos se restringe a las personas autorizadas a asumir dicho rol,
cambiar derol implicaría salir del sistema y reingresar.
1
http://www.csrc.nist.gov/publications/nistpubs/800-12/handbook.pdf
Seguridad en el comercio electrónico. Mattos Lescano, Elisa Zoraida.
Derechos reservados conforme a Ley
El uso de roles es una manera bastante efectiva de implementar el control de
accesos, siempre que el proceso de definición de roles esté basado en un
profundo análisis de cómola organización opera. Es importante aclarar que el
uso de roles no es lo mismo que el uso compartido de cuentas.
Transacciones
Otra planteamiento para implementar controles de acceso en una organización
son las transacciones, sería del modo siguiente: el computador conoce de
antemano el número de cuenta que proporciona a un usuario el acceso a la
cuenta respectiva, este acceso tiene la...
Leer documento completo
Regístrate para leer el documento completo.