1 / 22

ADMINISTRACIÓN DEL CONTROL DE ACCESOS, ADECUADO A LOS SISTEMAS DE INFORMACIÓN.

ADMINISTRACIÓN DEL CONTROL DE ACCESOS, ADECUADO A LOS SISTEMAS DE INFORMACIÓN. ¿Qué es el control de accesos?.

leann
Download Presentation

ADMINISTRACIÓN DEL CONTROL DE ACCESOS, ADECUADO A LOS SISTEMAS DE INFORMACIÓN.

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ADMINISTRACIÓN DEL CONTROL DE ACCESOS, ADECUADO A LOS SISTEMAS DE INFORMACIÓN.

  2. ¿Qué es el control de accesos? El control de acceso implica quién tiene acceso a sistemas informáticos específicos y recursos en un momento dado. El concepto de control de acceso consta de tres pasos. Estos pasos son la identificación, autenticación y autorización. Con el uso de estos tres principios un administrador del sistema puede controlar que recursos están disponibles para los usuarios de un sistema.

  3. OBJETIVOS DEL CONTROL DE ACCESO • Impedir el acceso no autorizado a los sistemas de información, bases de datos y servicios de información. • Implementar seguridad en los accesos de usuarios por medio de técnicas de autenticación y autorización. • Controlar la seguridad en la conexión entre la red del Organismo y otras redes públicas o privadas. • Registrar y revisar eventos y actividades críticas llevadas a cabo por los usuarios en los sistemas. • Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equipos. • Garantizar la seguridad de la información cuando se utiliza computación móvil e instalaciones de trabajo remoto.

  4. PRINCIPIOS DEL CONTROL DE ACCESO • Uno de los principios que deben incorporarse al establecer una política de control de acceso eficaz es la práctica de un acceso mínimo o menos privilegios. Lo que esto significa es que un usuario debe tener la menor cantidad de acceso requerido para hacer su trabajo. • El principio del menor privilegio incluye la limitación de los recursos y aplicaciones accesibles por el usuario, así como el acceso en tiempo permitido. Por, ejemplo, a veces, puede no ser aconsejable permitir el acceso a los registros financieros a las 3:00 am por la mañana, cuando las instalaciones deberían estar cerradas.

  5. PASOS PARA UN CONTROL DE ACCESO • La identificación se refiere las cosas como nombres de usuario y tarjetas de identificación. Es el medio por el cual un usuario del sistema identifica quiénes son. Este paso se realiza generalmente al iniciar sesión. • La autenticación es el segundo paso del proceso de control de acceso. Contraseñas, reconocimiento de voz, y escáneres biométricos son métodos comunes de autenticación. El objetivo de la autenticación es para verificar la identidad del usuario del sistema. • La autorizacion se produce después de que un usuario del sistema se autentica y luego es autorizado a utilizar el sistema. El usuario esta generalmente sólo autorizado a usar una porción de los recursos del sistema en función de su papel en la organización. Por ejemplo, el personal de ingeniería tiene acceso a diferentes aplicaciones y archivos que el personal de finanzas, o recursos humanos no.

  6. TIPOS DE CONTROL DE ACCESOS • Gestión de accesos de usuario • Control de accesos al sistema operativo • Control de acceso a la información y aplicaciones • Control de accesos en red

  7. TIPOS DE CONTROL DE ACCESOSGestión de accesos de usuario • Registro de usuarios • Gestión de privilegios • Gestión de contraseñas de usuario • Revisión de los derechos de acceso de los usuarios

  8. TIPOS DE CONTROL DE ACCESOSControl de accesos al sistema operativo • Procedimientos de conexión de terminales • Identificación y autenticación de los usuarios • Sistema de gestión de contraseñas • Utilización de utilidades del sistema • Timeout de sesiones • Limitación del tiempo de conexión

  9. TIPOS DE CONTROL DE ACCESOSControl de acceso a la información y aplicaciones • Restricción de acceso a la información • Aislamiento de sistemas sensibles

  10. TIPOS DE CONTROL DE ACCESOSControl de accesos en red • Política de uso de los servicios de red • Autenticación para conexiones externas • Identificación de equipos en la red • Protección a puertos de diagnóstico remoto y configuración • Segregación en las redes • Control de conexión a las redes • Control de enrutamiento en red

  11. METODOS DE CONTROL DE ACCESOS • Contraseñas • Certificados • Limitación del tiempo de conexión • Control de acceso a las aplicaciones • Restricciones por IP • Dispositivos Biometricos • ETC…

  12. ASIGNACION DE PRIVILEGIOS • El objetivo es asegurar el acceso autorizado de usuario y prevenir accesos no autorizados a los sistemas de información. • Debería restringirse y controlarse el uso y asignación de privilegios: • identificar los privilegios; • asignar privilegios a los individuos según los principios de “necesidad de uso”; • mantener un proceso de autorización y un registro de todos los privilegios asignados. No se otorgarán privilegios hasta que el proceso de autorización haya concluido; • promover el desarrollo y uso de rutinas del sistema; promover el desarrollo y uso de programas; • asignar los privilegios a un identificador de usuario distinto al asignado para un uso normal. Un uso inapropiado de los privilegios puede ser causa de fallas.

  13. REQUERIMIENTOS LEGALES • Ley Orgánica de Protección de Datos • Real Decreto 994/1999 que desarrolla el Reglamento de Medidas de Seguridad

  14. REQUERIMIENTOS LEGALES Es importante señalar que tanto la Ley Orgánica como el Real Decreto 994/1999 que desarrolla el Reglamento de Medidas de Seguridad ligan el concepto de seguridad de los datos a los conceptos de: a) Confidencialidad: entendido como el acceso autorizado a los datos. b) Exactitud: la información no debe sufrir alteraciones no deseadas, en cuanto a su contenido. c) Disponibilidad: sólo las personas autorizadas pueden tener acceso a la información.

  15. REQUERIMIENTOS LEGALES Las medidas que deberán ser adoptadas e implantadas por el Responsable del Fichero son: • Medidas Organizativas: aquellas medidas destinadas a establecer procedimientos, normas, reglas y estándares de seguridad, cuyos destinatarios son los usuarios que tratan los datos de los ficheros. • Medidas Técnicas: medidas destinadas principalmente a la conservar la integridad de la información (su no alteración, pérdida o robo) y en menor medida a la confidencialidad de los datos personales. Se encuentran delimitadas en función del nivel de seguridad de los datos tratados: básico, medio y alto.

  16. REQUERIMIENTOS LEGALES Los niveles de seguridad en el Reglamento. • Nivel Básico: Para todos los ficheros de datos de carácter personal. • Nivel Medio: Serán adoptadas para: • Ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales. • Ficheros que contengan datos sobre Hacienda Pública. • Ficheros que contengan datos sobre Servicios Financieros. • Ficheros que contengan datos sobre solvencia patrimonial y crédito. • Ficheros que contengan un conjunto de datos suficientes que permitan elaborar un perfil del afectado (se les aplican las medidas descritas en los art.17 a 20). • Nivel Alto: Aquellos que contengan datos de ideología, religión, creencias, origen racial, salud, vida sexual.

  17. REQUERIMIENTOS LEGALES

  18. ACTIVE DIRECTORY – LDAP¿Qué es un Directorio Activo? • El directorio activo es un servicio de directorio. El término servicio de directorio se refiere a dos cosas: • un directorio donde la información sobre usuarios y recursos está almacenada, • un servicio o servicios te dejan acceder y manipular estos recursos. • El directorio activo es una manera de manejar todos los elementos de una red, incluidos ordenadores, grupos, usuarios, dominios, políticas de seguridad, y cualquier tipo de objetos definidos para el usuario. Además de esto, provee de funciones adicionales más allá de estas herramientas y servicios. • El directorio activo está construido alrededor de la tecnología DNS y LDAP. • Al ser protocolos de plataforma independiente, Los ordenadores Unix, Linux y Macintosh pueden tener acceso a los recursos de igual modo que los clientes de Windows.

  19. ACTIVE DIRECTORY – LDAPProtocolos • LDAP: Es un protocolo que permite el acceso a un servicio de directorio ordenado y distribuido para buscar diversa información en un entorno de red, es un protocolo de acceso unificado a un conjunto de información sobre una red. También es considerado una base de datos a la que pueden realizarse consultas. • DNS: Es una base de datos que almacena información asociada a nombres de dominio, los usos más comunes son la asignación de nombres de dominio a direcciones IP y la localización de los servidores de correo electrónico de cada dominio. • DHCP (Dynamic Host ConfigurationProtocol) Es un protocolo de asignacion de direcciones ipautomaticamente. • kerberos: es un protocolo de autenticación, permite a dos computadores en una red insegura demostrar su identidad mutuamente de manera segura.

  20. ACTIVE DIRECTORY – LDAPEstructura • La estructura de directorio activo tiene una forma jerárquica donde se localizan los objetos. Estos objetos caen en tres tipos de categorías: • Recursos, como por ejemplo impresoras. • Servicios, como correo, Web, FTP, etc. • Usuarios, los cuales incluyen cuentas para conectarse, grupos de trabajo, etc. • Un objeto es únicamente identificado por su nombre y tiene un serie de atributos definidos por un esquema, que también determina la clase de objetos que se pueden almacenar en él. Los atributos son las características y la información que el objeto contiene.

  21. GRACIAS POR SU ATENCION

  22. MORALEJA EL PODER ESTA EN EL QUE DEJA… Ahí queda eso

More Related