Principios De La Seguridad Inform Tica
Páginas: 9 (2106 palabras)
Publicado: 25 de agosto de 2015
Principios de la Seguridad Informática
El objetivo de la protección de nuestros Sistemas de Información debe ser el de preservar la:
- Confidencialidad: Asegurando que la información es accesible sólo a las personas autorizadas. Proteger la información contra accesos o divulgación no autorizadas. (control de accesos)
La falta de confidencialidad puede darse por indiscreciones voluntarias einvoluntarias en cualquier tipo de soporte (magnético o papel) y su no preservación puede tener las siguientes consecuencias:
* Responsabilidad civil o administrativa del propietario del sistema siniestrado por los perjuicios causados a terceros
Pérdidas cualitativas en distintos campos:
Deontología
Credibilidad
Prestigio
Imagen
Pérdidas de fondos patrimoniales:
Datos oprogramas no recuperables
Información confidencial
'know-how'
Pérdidas de explotación:
Reducción de margen por falta de resultados o gastos suplementarios para mantener la funcionalidad precedente a la amenaza.
La medida principal, de carácter preventivo, para preservar la confidencialidad, a considerar en la concepción y desarrollo del sistema, es el diseño del control de accesoslógicos.
En su diseño se deben de tener en cuenta las siguientes consideraciones:
Establecer los grupos de usuarios (estratificación de usuarios) por niveles de seguridad, asignando a cada uno, los tipos de accesos permitidos (lectura, modificación, tratamientos, periféricos)
El acceso lógico al entorno corporativo se realiza bajo el control del producto R.A.C.F., por tanto es preciso diseñar loscontroles R.A.C.F. (posibles grupos a considerar y las medidas de auditoría a implementar) para la inclusión del sistema en desarrollo en el R.A.C.F.
Si las funcionalidades anteriores. no se consideran suficientes será preciso crear un sistema de seguridad propio de la aplicación, diseñando:
El acceso a las distintas aplicaciones y sus funciones por medio del sistema general de menús.
nuevas funcionalidades, como por ejemplo, el control a nivel campos de transacción
las necesidades de administración del sistema a crear
los procedimientos de peticiones de autorizaciones de acceso al sistema.
En el diseño del sistema de control de accesos debe considerarse la posibilidad de establecer controles extraordinarios para acceder al sistema, como por ej.:
Especialización determinales en entornos o transacciones especificas (autorización por terminales)
Especialización de terminales por perfiles de usuario
Asignación de terminal a un usuario
Utilización de dispositivos de acceso físico (tarjetas, llaves, lector de huellas,...)
Acceso con restricciones temporales
No simultaneidad de terminales para un tipo de funcionalidad
Inhabilitación del acceso porinactividad de terminal, utilización de protectores de pantalla con clave,...
Inclusión dentro de la aplicación, como mínimo, del identificativo del usuario que realiza la transacción, incluyéndolo en la propia transacción (sirve también como pista de auditoria), terminal, fecha y hora.
Se propondrá, en caso necesario, el sistema a implantar para la detección de intentos de violación, y lasacciones a tomar (investigación, bloqueos, revocaciones, suspensiones,....)
Se diseñaran las medidas a implantar para el control de las modificaciones en necesidades de acceso al sistema, como por ej.: bajas, traslados, personal externo,...
La disponibilidad de la información del sistema para su tratamiento con herramientas de usuario final, puede acarrear la falta de confidencialidad de lamisma. Por tanto, en el diseño del sistema se planteará el tipo posible de información a transferir al entorno microinformático, así como las medidas indispensables para preservar su confidencialidad (control de accesos con herramientas de usuario final, rastros a mantener en caso de transferencia de información a ordenadores personales,...)
- Integridad: Salvaguardando la precisión y...
El objetivo de la protección de nuestros Sistemas de Información debe ser el de preservar la:
- Confidencialidad: Asegurando que la información es accesible sólo a las personas autorizadas. Proteger la información contra accesos o divulgación no autorizadas. (control de accesos)
La falta de confidencialidad puede darse por indiscreciones voluntarias einvoluntarias en cualquier tipo de soporte (magnético o papel) y su no preservación puede tener las siguientes consecuencias:
* Responsabilidad civil o administrativa del propietario del sistema siniestrado por los perjuicios causados a terceros
Pérdidas cualitativas en distintos campos:
Deontología
Credibilidad
Prestigio
Imagen
Pérdidas de fondos patrimoniales:
Datos oprogramas no recuperables
Información confidencial
'know-how'
Pérdidas de explotación:
Reducción de margen por falta de resultados o gastos suplementarios para mantener la funcionalidad precedente a la amenaza.
La medida principal, de carácter preventivo, para preservar la confidencialidad, a considerar en la concepción y desarrollo del sistema, es el diseño del control de accesoslógicos.
En su diseño se deben de tener en cuenta las siguientes consideraciones:
Establecer los grupos de usuarios (estratificación de usuarios) por niveles de seguridad, asignando a cada uno, los tipos de accesos permitidos (lectura, modificación, tratamientos, periféricos)
El acceso lógico al entorno corporativo se realiza bajo el control del producto R.A.C.F., por tanto es preciso diseñar loscontroles R.A.C.F. (posibles grupos a considerar y las medidas de auditoría a implementar) para la inclusión del sistema en desarrollo en el R.A.C.F.
Si las funcionalidades anteriores. no se consideran suficientes será preciso crear un sistema de seguridad propio de la aplicación, diseñando:
El acceso a las distintas aplicaciones y sus funciones por medio del sistema general de menús.
nuevas funcionalidades, como por ejemplo, el control a nivel campos de transacción
las necesidades de administración del sistema a crear
los procedimientos de peticiones de autorizaciones de acceso al sistema.
En el diseño del sistema de control de accesos debe considerarse la posibilidad de establecer controles extraordinarios para acceder al sistema, como por ej.:
Especialización determinales en entornos o transacciones especificas (autorización por terminales)
Especialización de terminales por perfiles de usuario
Asignación de terminal a un usuario
Utilización de dispositivos de acceso físico (tarjetas, llaves, lector de huellas,...)
Acceso con restricciones temporales
No simultaneidad de terminales para un tipo de funcionalidad
Inhabilitación del acceso porinactividad de terminal, utilización de protectores de pantalla con clave,...
Inclusión dentro de la aplicación, como mínimo, del identificativo del usuario que realiza la transacción, incluyéndolo en la propia transacción (sirve también como pista de auditoria), terminal, fecha y hora.
Se propondrá, en caso necesario, el sistema a implantar para la detección de intentos de violación, y lasacciones a tomar (investigación, bloqueos, revocaciones, suspensiones,....)
Se diseñaran las medidas a implantar para el control de las modificaciones en necesidades de acceso al sistema, como por ej.: bajas, traslados, personal externo,...
La disponibilidad de la información del sistema para su tratamiento con herramientas de usuario final, puede acarrear la falta de confidencialidad de lamisma. Por tanto, en el diseño del sistema se planteará el tipo posible de información a transferir al entorno microinformático, así como las medidas indispensables para preservar su confidencialidad (control de accesos con herramientas de usuario final, rastros a mantener en caso de transferencia de información a ordenadores personales,...)
- Integridad: Salvaguardando la precisión y...
Leer documento completo
Regístrate para leer el documento completo.