530 likes | 935 Views
ADMINISTRACIÓN DEL CONTROL DE ACCESOS, ADECUADO A LOS SISTEMAS DE INFORMACIÓN. ¿Qué es el control de accesos?.
E N D
ADMINISTRACIÓN DEL CONTROL DE ACCESOS, ADECUADO A LOS SISTEMAS DE INFORMACIÓN.
¿Qué es el control de accesos? El control de acceso implica quién tiene acceso a sistemas informáticos específicos y recursos en un momento dado. El concepto de control de acceso consta de tres pasos. Estos pasos son la identificación, autenticación y autorización. Con el uso de estos tres principios un administrador del sistema puede controlar que recursos están disponibles para los usuarios de un sistema.
OBJETIVOS DEL CONTROL DE ACCESO • Impedir el acceso no autorizado a los sistemas de información, bases de datos y servicios de información. • Implementar seguridad en los accesos de usuarios por medio de técnicas de autenticación y autorización. • Controlar la seguridad en la conexión entre la red del Organismo y otras redes públicas o privadas. • Registrar y revisar eventos y actividades críticas llevadas a cabo por los usuarios en los sistemas. • Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equipos. • Garantizar la seguridad de la información cuando se utiliza computación móvil e instalaciones de trabajo remoto.
PRINCIPIOS DEL CONTROL DE ACCESO • Uno de los principios que deben incorporarse al establecer una política de control de acceso eficaz es la práctica de un acceso mínimo o menos privilegios. Lo que esto significa es que un usuario debe tener la menor cantidad de acceso requerido para hacer su trabajo. • El principio del menor privilegio incluye la limitación de los recursos y aplicaciones accesibles por el usuario, así como el acceso en tiempo permitido. Por, ejemplo, a veces, puede no ser aconsejable permitir el acceso a los registros financieros a las 3:00 am por la mañana, cuando las instalaciones deberían estar cerradas.
PASOS PARA UN CONTROL DE ACCESO • La identificación se refiere las cosas como nombres de usuario y tarjetas de identificación. Es el medio por el cual un usuario del sistema identifica quiénes son. Este paso se realiza generalmente al iniciar sesión. • La autenticación es el segundo paso del proceso de control de acceso. Contraseñas, reconocimiento de voz, y escáneres biométricos son métodos comunes de autenticación. El objetivo de la autenticación es para verificar la identidad del usuario del sistema. • La autorizacion se produce después de que un usuario del sistema se autentica y luego es autorizado a utilizar el sistema. El usuario esta generalmente sólo autorizado a usar una porción de los recursos del sistema en función de su papel en la organización. Por ejemplo, el personal de ingeniería tiene acceso a diferentes aplicaciones y archivos que el personal de finanzas, o recursos humanos no.
TIPOS DE CONTROL DE ACCESOS • Gestión de accesos de usuario • Control de accesos al sistema operativo • Control de acceso a la información y aplicaciones • Control de accesos en red
TIPOS DE CONTROL DE ACCESOSGestión de accesos de usuario • Registro de usuarios • Gestión de privilegios • Gestión de contraseñas de usuario • Revisión de los derechos de acceso de los usuarios
TIPOS DE CONTROL DE ACCESOSControl de accesos al sistema operativo • Procedimientos de conexión de terminales • Identificación y autenticación de los usuarios • Sistema de gestión de contraseñas • Utilización de utilidades del sistema • Timeout de sesiones • Limitación del tiempo de conexión
TIPOS DE CONTROL DE ACCESOSControl de acceso a la información y aplicaciones • Restricción de acceso a la información • Aislamiento de sistemas sensibles
TIPOS DE CONTROL DE ACCESOSControl de accesos en red • Política de uso de los servicios de red • Autenticación para conexiones externas • Identificación de equipos en la red • Protección a puertos de diagnóstico remoto y configuración • Segregación en las redes • Control de conexión a las redes • Control de enrutamiento en red
METODOS DE CONTROL DE ACCESOS • Contraseñas • Certificados • Limitación del tiempo de conexión • Control de acceso a las aplicaciones • Restricciones por IP • Dispositivos Biometricos • ETC…
ASIGNACION DE PRIVILEGIOS • El objetivo es asegurar el acceso autorizado de usuario y prevenir accesos no autorizados a los sistemas de información. • Debería restringirse y controlarse el uso y asignación de privilegios: • identificar los privilegios; • asignar privilegios a los individuos según los principios de “necesidad de uso”; • mantener un proceso de autorización y un registro de todos los privilegios asignados. No se otorgarán privilegios hasta que el proceso de autorización haya concluido; • promover el desarrollo y uso de rutinas del sistema; promover el desarrollo y uso de programas; • asignar los privilegios a un identificador de usuario distinto al asignado para un uso normal. Un uso inapropiado de los privilegios puede ser causa de fallas.
REQUERIMIENTOS LEGALES • Ley Orgánica de Protección de Datos • Real Decreto 994/1999 que desarrolla el Reglamento de Medidas de Seguridad
REQUERIMIENTOS LEGALES Es importante señalar que tanto la Ley Orgánica como el Real Decreto 994/1999 que desarrolla el Reglamento de Medidas de Seguridad ligan el concepto de seguridad de los datos a los conceptos de: a) Confidencialidad: entendido como el acceso autorizado a los datos. b) Exactitud: la información no debe sufrir alteraciones no deseadas, en cuanto a su contenido. c) Disponibilidad: sólo las personas autorizadas pueden tener acceso a la información.
REQUERIMIENTOS LEGALES Las medidas que deberán ser adoptadas e implantadas por el Responsable del Fichero son: • Medidas Organizativas: aquellas medidas destinadas a establecer procedimientos, normas, reglas y estándares de seguridad, cuyos destinatarios son los usuarios que tratan los datos de los ficheros. • Medidas Técnicas: medidas destinadas principalmente a la conservar la integridad de la información (su no alteración, pérdida o robo) y en menor medida a la confidencialidad de los datos personales. Se encuentran delimitadas en función del nivel de seguridad de los datos tratados: básico, medio y alto.
REQUERIMIENTOS LEGALES Los niveles de seguridad en el Reglamento. • Nivel Básico: Para todos los ficheros de datos de carácter personal. • Nivel Medio: Serán adoptadas para: • Ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales. • Ficheros que contengan datos sobre Hacienda Pública. • Ficheros que contengan datos sobre Servicios Financieros. • Ficheros que contengan datos sobre solvencia patrimonial y crédito. • Ficheros que contengan un conjunto de datos suficientes que permitan elaborar un perfil del afectado (se les aplican las medidas descritas en los art.17 a 20). • Nivel Alto: Aquellos que contengan datos de ideología, religión, creencias, origen racial, salud, vida sexual.
ACTIVE DIRECTORY – LDAP¿Qué es un Directorio Activo? • El directorio activo es un servicio de directorio. El término servicio de directorio se refiere a dos cosas: • un directorio donde la información sobre usuarios y recursos está almacenada, • un servicio o servicios te dejan acceder y manipular estos recursos. • El directorio activo es una manera de manejar todos los elementos de una red, incluidos ordenadores, grupos, usuarios, dominios, políticas de seguridad, y cualquier tipo de objetos definidos para el usuario. Además de esto, provee de funciones adicionales más allá de estas herramientas y servicios. • El directorio activo está construido alrededor de la tecnología DNS y LDAP. • Al ser protocolos de plataforma independiente, Los ordenadores Unix, Linux y Macintosh pueden tener acceso a los recursos de igual modo que los clientes de Windows.
ACTIVE DIRECTORY – LDAPProtocolos • LDAP: Es un protocolo que permite el acceso a un servicio de directorio ordenado y distribuido para buscar diversa información en un entorno de red, es un protocolo de acceso unificado a un conjunto de información sobre una red. También es considerado una base de datos a la que pueden realizarse consultas. • DNS: Es una base de datos que almacena información asociada a nombres de dominio, los usos más comunes son la asignación de nombres de dominio a direcciones IP y la localización de los servidores de correo electrónico de cada dominio. • DHCP (Dynamic Host ConfigurationProtocol) Es un protocolo de asignacion de direcciones ipautomaticamente. • kerberos: es un protocolo de autenticación, permite a dos computadores en una red insegura demostrar su identidad mutuamente de manera segura.
ACTIVE DIRECTORY – LDAPEstructura • La estructura de directorio activo tiene una forma jerárquica donde se localizan los objetos. Estos objetos caen en tres tipos de categorías: • Recursos, como por ejemplo impresoras. • Servicios, como correo, Web, FTP, etc. • Usuarios, los cuales incluyen cuentas para conectarse, grupos de trabajo, etc. • Un objeto es únicamente identificado por su nombre y tiene un serie de atributos definidos por un esquema, que también determina la clase de objetos que se pueden almacenar en él. Los atributos son las características y la información que el objeto contiene.
MORALEJA EL PODER ESTA EN EL QUE DEJA… Ahí queda eso