Transcript ADMINISTRACIÓN DEL CONTROL DE ACCESOS

ADMINISTRACIÓN DEL CONTROL DE
ACCESOS, ADECUADO A LOS
SISTEMAS DE INFORMACIÓN.
¿Qué es el control de accesos?
El control de acceso implica quién tiene acceso
a sistemas informáticos específicos y recursos
en un momento dado. El concepto de control de
acceso consta de tres pasos. Estos pasos son la
identificación, autenticación y autorización.
Con el uso de estos tres principios un
administrador del sistema puede controlar que
recursos están disponibles para los usuarios de
un sistema.
OBJETIVOS DEL CONTROL DE ACCESO
• Impedir el acceso no autorizado a los sistemas de información,
bases de datos y servicios de información.
• Implementar seguridad en los accesos de usuarios por medio de
técnicas de autenticación y autorización.
• Controlar la seguridad en la conexión entre la red del Organismo y
otras redes públicas o privadas.
• Registrar y revisar eventos y actividades críticas llevadas a cabo por
los usuarios en los sistemas.
• Concientizar a los usuarios respecto de su responsabilidad frente a
la utilización de contraseñas y equipos.
• Garantizar la seguridad de la información cuando se utiliza
computación móvil e instalaciones de trabajo remoto.
PRINCIPIOS DEL CONTROL DE ACCESO
• Uno de los principios que deben incorporarse al
establecer una política de control de acceso eficaz es la
práctica de un acceso mínimo o menos privilegios. Lo que
esto significa es que un usuario debe tener la menor
cantidad de acceso requerido para hacer su trabajo.
• El principio del menor privilegio incluye la limitación de los
recursos y aplicaciones accesibles por el usuario, así como
el acceso en tiempo permitido. Por, ejemplo, a veces,
puede no ser aconsejable permitir el acceso a los registros
financieros a las 3:00 am por la mañana, cuando las
instalaciones deberían estar cerradas.
PASOS PARA UN CONTROL DE ACCESO
• La identificación se refiere las cosas como nombres de usuario y
tarjetas de identificación. Es el medio por el cual un usuario del
sistema identifica quiénes son. Este paso se realiza generalmente al
iniciar sesión.
• La autenticación es el segundo paso del proceso de control de
acceso. Contraseñas, reconocimiento de voz, y escáneres
biométricos son métodos comunes de autenticación. El objetivo de
la autenticación es para verificar la identidad del usuario del
sistema.
• La autorizacion se produce después de que un usuario del sistema
se autentica y luego es autorizado a utilizar el sistema. El usuario
esta generalmente sólo autorizado a usar una porción de los
recursos del sistema en función de su papel en la organización. Por
ejemplo, el personal de ingeniería tiene acceso a diferentes
aplicaciones y archivos que el personal de finanzas, o recursos
humanos no.
TIPOS DE CONTROL DE ACCESOS
• Gestión de accesos de usuario
• Control de accesos al sistema operativo
• Control de acceso a la información y
aplicaciones
• Control de accesos en red
TIPOS DE CONTROL DE ACCESOS
Gestión de accesos de usuario
•
•
•
•
Registro de usuarios
Gestión de privilegios
Gestión de contraseñas de usuario
Revisión de los derechos de acceso de los
usuarios
TIPOS DE CONTROL DE ACCESOS
Control de accesos al sistema operativo
• Procedimientos de conexión de terminales
• Identificación y autenticación de los usuarios
• Sistema de gestión de contraseñas
• Utilización de utilidades del sistema
• Timeout de sesiones
• Limitación del tiempo de conexión
TIPOS DE CONTROL DE ACCESOS
Control de acceso a la información y aplicaciones
• Restricción de acceso a la información
• Aislamiento de sistemas sensibles
TIPOS DE CONTROL DE ACCESOS
Control de accesos en red
•
•
•
•
Política de uso de los servicios de red
Autenticación para conexiones externas
Identificación de equipos en la red
Protección a puertos de diagnóstico remoto y
configuración
• Segregación en las redes
• Control de conexión a las redes
• Control de enrutamiento en red
METODOS DE CONTROL DE ACCESOS
•
•
•
•
•
•
•
Contraseñas
Certificados
Limitación del tiempo de conexión
Control de acceso a las aplicaciones
Restricciones por IP
Dispositivos Biometricos
ETC…
ASIGNACION DE PRIVILEGIOS
• El objetivo es asegurar el acceso autorizado de usuario y prevenir
accesos no autorizados a los sistemas de información.
• Debería restringirse y controlarse el uso y asignación de privilegios:
– identificar los privilegios;
– asignar privilegios a los individuos según los principios de
“necesidad de uso”;
– mantener un proceso de autorización y un registro de todos los
privilegios asignados. No se otorgarán privilegios hasta que el
proceso de autorización haya concluido;
– promover el desarrollo y uso de rutinas del sistema; promover
el desarrollo y uso de programas;
– asignar los privilegios a un identificador de usuario distinto al
asignado para un uso normal. Un uso inapropiado de los
privilegios puede ser causa de fallas.
REQUERIMIENTOS LEGALES
• Ley Orgánica de Protección de Datos
• Real Decreto 994/1999 que desarrolla
el Reglamento de Medidas de Seguridad
REQUERIMIENTOS LEGALES
Es importante señalar que tanto la Ley Orgánica como el
Real Decreto 994/1999 que desarrolla el Reglamento de
Medidas de Seguridad ligan el concepto de seguridad de
los datos a los conceptos de:
a) Confidencialidad: entendido como el acceso
autorizado a los datos.
b) Exactitud: la información no debe sufrir alteraciones
no deseadas, en cuanto a su contenido.
c) Disponibilidad: sólo las personas autorizadas pueden
tener acceso a la información.
REQUERIMIENTOS LEGALES
Las medidas que deberán ser adoptadas e implantadas por el
Responsable del Fichero son:
a) Medidas Organizativas: aquellas medidas destinadas a
establecer procedimientos, normas, reglas y estándares
de seguridad, cuyos destinatarios son los usuarios que
tratan los datos de los ficheros.
b) Medidas Técnicas: medidas destinadas principalmente a
la conservar la integridad de la información (su no
alteración, pérdida o robo) y en menor medida a la
confidencialidad de los datos personales. Se encuentran
delimitadas en función del nivel de seguridad de los datos
tratados: básico, medio y alto.
REQUERIMIENTOS LEGALES
Los niveles de seguridad en el Reglamento.
• Nivel Básico: Para todos los ficheros de datos de carácter personal.
• Nivel Medio: Serán adoptadas para:
– Ficheros que contengan datos relativos a la comisión de infracciones
administrativas o penales.
– Ficheros que contengan datos sobre Hacienda Pública.
– Ficheros que contengan datos sobre Servicios Financieros.
– Ficheros que contengan datos sobre solvencia patrimonial y crédito.
– Ficheros que contengan un conjunto de datos suficientes que
permitan elaborar un perfil del afectado (se les aplican las medidas
descritas en los art.17 a 20).
• Nivel Alto: Aquellos que contengan datos de ideología, religión,
creencias, origen racial, salud, vida sexual.
REQUERIMIENTOS LEGALES
MEDIDAS DE SEGURIDAD (Control de Accesos)
1.- Los usuarios tendrán únicamente acceso a los datos/recursos de acuerdo a
su puesto laboral y tareas definidas en el documento (art.12.1).
2.- Deberán implantarse mecanismos que eviten el acceso no autorizado a otros
recursos: establecimiento de perfiles de usuario (art.12.2).
3.- Control de acceso físico a servidores y CPD (art.19).
4.- De cada acceso se guardarán: identificación usuario, fecha y hora, fichero
accedido, tipo de acceso y su autorización o denegación, guardando la
información que permita identificar registro accedido (art.24.2).
5.- Los mecanismos de acceso estarán bajo el control directo del Responsable
de Seguridad, sin que pueda permitirse la desactivación (art.24.3).
6.- Registro y conservación de accesos lógicos al fichero por un plazo no inferior
a 2 años (art.24.4).
7.- Para accesos a través de redes de telecomunicaciones, deberán tener las
mismas medidas que para accesos en modo local (art.5).
BÁSICO MEDIO
ALTO
ACTIVE DIRECTORY – LDAP
¿Qué es un Directorio Activo?
• El directorio activo es un servicio de directorio. El término servicio de
directorio se refiere a dos cosas:
– un directorio donde la información sobre usuarios y recursos está
almacenada,
– un servicio o servicios te dejan acceder y manipular estos recursos.
• El directorio activo es una manera de manejar todos los elementos de una
red, incluidos ordenadores, grupos, usuarios, dominios, políticas de
seguridad, y cualquier tipo de objetos definidos para el usuario. Además
de esto, provee de funciones adicionales más allá de estas herramientas y
servicios.
• El directorio activo está construido alrededor de la tecnología DNS y LDAP.
• Al ser protocolos de plataforma independiente, Los ordenadores Unix,
Linux y Macintosh pueden tener acceso a los recursos de igual modo que
los clientes de Windows.
ACTIVE DIRECTORY – LDAP
Protocolos
• LDAP: Es un protocolo que permite el acceso a un servicio de
directorio ordenado y distribuido para buscar diversa información en un
entorno de red, es un protocolo de acceso unificado a un conjunto de
información sobre una red. También es considerado una base de datos a la
que pueden realizarse consultas.
• DNS: Es una base de datos que almacena información asociada a nombres
de dominio, los usos más comunes son la asignación de nombres de
dominio a direcciones IP y la localización de los servidores de correo
electrónico de cada dominio.
• DHCP (Dynamic Host Configuration Protocol) Es un protocolo de
asignacion de direcciones ip automaticamente.
• kerberos: es un protocolo de autenticación, permite a dos computadores
en una red insegura demostrar su identidad mutuamente de manera
segura.
ACTIVE DIRECTORY – LDAP
Estructura
• La estructura de directorio activo tiene una forma jerárquica donde
se localizan los objetos. Estos objetos caen en tres tipos de
categorías:
– Recursos, como por ejemplo impresoras.
– Servicios, como correo, Web, FTP, etc.
– Usuarios, los cuales incluyen cuentas para conectarse, grupos de
trabajo, etc.
• Un objeto es únicamente identificado por su nombre y tiene un
serie de atributos definidos por un esquema, que también
determina la clase de objetos que se pueden almacenar en él. Los
atributos son las características y la información que el objeto
contiene.
GRACIAS POR SU
ATENCION
MORALEJA
EL PODER ESTA EN EL QUE DEJA…
Ahí queda eso