fasciculo 3
TRANSCRIPT
1
Semestre 6
Fascículo
3
Arquitecturas de TI
Arquitecturas de TI Semestre 6
Arquitecturas de TI
Arquitecturas de TI
Semestre 6 Arquitecturas de TI
Tabla de contenido Página
Introducción 1
Conceptos previos 2
Mapa conceptual Fascículo 3 3
Logros 4
Accesos y seguridad en tecnología de la información 4
Requerimientos de acceso y seguridad 5
Evaluación de riesgos 7
Control de acceso 8
Tipos de controles de acceso 9
Control de acceso a los usuarios 10
Control de acceso a la red 13
Control de acceso al sistema operativo 15
Control de acceso a las aplicaciones 18
Actividad de trabajo colaborativo 19
Resumen 19
Bibliografía recomendada 20
Nexo 20
Seguimiento al autoaprendizaje 21
Créditos: 2
Tipo de asignatura: Teórico – Práctica
Arquitecturas de TI Semestre 6
Arquitecturas de TI
Copyright©2008 FUNDICIÓN UNIVERSITARIA SAN MARTÍN
Facultad de Universidad Abierta y a Distancia,
“Educación a Través de Escenarios Múltiples”
Bogotá, D.C.
Prohibida la reproducción total o parcial sin autorización
por escrito del Presidente de la Fundación.
La actualización de este fascículo estuvo a cargo de
JOSHEFF DAVID CÉSPEDES
Docente tutor – Programa de Ingeniería de Sistemas a Distancia.
Sede Bogotá, D.C.
Coautor
MACK UESSELER
Corrección de estilo
MARLON CARRERO R.
Diseño gráfico y diagramación a cargo de
SANTIAGO BECERRA SÁENZ
ORLANDO DÍAZ CÁRDENAS
Impreso en: GRÁFICAS SAN MARTÍN
Calle 61A No. 14-18 - Tels.: 2350298 - 2359825
Bogotá, D.C., Febrero de 2012
1
Fascículo No. 3
Semestre 6
Arquitecturas de TI
Arquitecturas de TI
Introducción
Luego de haber visto la capa de comunidades del modelo de Arquitectura
de Tecnología de la Información en la cual se analizaron las relaciones que
son creadas por los individuos y las organizaciones con el fin de dinamizar
los procesos tecnológicos, se continuará con el análisis de la capa de
accesos y seguridad.
Esta segunda capa del modelo, es considerada como el primer frente con
que el usuario relacionado (comunidades) interactúa; además se
establecen los controles de seguridad que buscan minimizar los riesgos en
el negocio.
Esta capa contempla los esquemas de seguridad, los cuales deben ser
estructurados hacia toda la infraestructura física como lógica de la
organización. La importancia de esta capa radica en que, el entorno
informático de una organización se ve afectado por la evolución de las
tecnologías de información, lo cual crea oportunidades y amenazas y
riesgos que afectan directamente los procesos de negocio de la
organización.
En consecuencia, los conceptos de confiabilidad, integridad y disponibili-
dad de la información, son pilares de los accesos y seguridad que se im-
plementa en una organización.
Para concluir, los accesos y seguridad dentro del Modelo de Arquitectura
de Tecnologías de la Información deben tener como objetivo minimizar el
riesgo y amenazas de los procesos organizacionales pero a un costo
aceptable.
2
Arquitecturas de TI
Arquitecturas de TI
Fascículo No. 3
Semestre 6
Conceptos previos
Administración de riesgos: La cultura, procesos y estructuras que están
dirigidas hacia la administración efectiva de oportunidades potenciales y
efectos adversos.
Análisis de riesgo: Un uso sistemático de la información disponible para
determinar cuán frecuentemente puede ocurrir eventos especificados y la
magnitud de sus consecuencias.
Confidencialidad: La información no se pone a disposición ni se revela a
individuos, entidades o procesos no autorizados.
Integridad: Mantenimiento de la exactitud y completitud de la información
y sus métodos de proceso.
Disponibilidad: Acceso y utilización de la información y los sistemas de
tratamiento de la misma por parte de los individuos, entidades o procesos
autorizados cuando lo requieran.
Riesgo: La posibilidad de que suceda algo que tendrá un impacto sobre
los objetivos. Se mide en términos de consecuencias y probabilidades
Riesgo Residual: El nivel restante de riesgo luego de tomar medidas de
tratamiento del riesgo.
3
Arquitecturas de TI
Arquitecturas de TI
Fascículo No. 3
Semestre 6
Mapa conceptual Fascículo 3
4
Arquitecturas de TI
Arquitecturas de TI
Fascículo No. 3
Semestre 6
Al finalizar el estudio de este fascículo el estudiante:
Comprende el concepto de seguridad, llevándolo al contexto de seguri-
dad de la información.
Identifica los conceptos de confiabilidad, integridad y disponibilidad de
la información como pilar de la seguridad Informática.
Reconoce alguno de los controles de seguridad que se deben implantar
con el fin de proveer integridad, confiabilidad y disponibilidad de la in-
formación.
Accesos y seguridad en tecnología de la información
Figura 3.1. Seguridad de la Información.
Tomado de http://www.izaro.com/contenidos/ver.php?id=es&se=3&su=30&co=1294246491
La información, los procesos, sistemas y redes que brindan apoyo se
constituyen como importantes recursos de la empresa. La
confidencialidad, integridad y disponibilidad de la información pueden ser
esenciales para mantener la ventaja competitiva, el flujo de fondos, la
rentabilidad, el cumplimiento de las leyes y la imagen comercial.
En las organizaciones, la infraestructura de tecnología de la información
que se encuentra constituida por las redes y sistemas de información, se
enfrentan en forma creciente con amenazas relativas a la seguridad, de
diversos orígenes, incluyendo el fraude asistido por computadora,
espionaje, sabotaje, vandalismo, incendio o inundación.
LogrosLogrosLogros
5
Arquitecturas de TI
Arquitecturas de TI
Fascículo No. 3
Semestre 6
Las comunidades, que son la primera capa de la Arquitectura de
Tecnología de la Información, interactúan directamente con los accesos a
los sistemas, y las implementaciones en cuanto a políticas de seguridad se
refieren. Por lo tanto, en un esquema de acceso y seguridad, se debe
proveer de controles que permitan minimizar los riesgos derivados del
accionar de las comunidades, ya sea de manera voluntaria o involuntaria.
Por lo tanto, proveer controles físicos, y de seguridad se debe realizar por
frentes. La gestión debe estar respaldada y formalizada dentro de los
procesos de la organización. La identificación de los controles que deben
implementarse requiere una cuidadosa planificación y atención a todos los
detalles. La administración de la seguridad de la información, exige como
mínimo, la participación de todas las comunidades que intervienen en la
organización. (ISO/IEC, 2007) Los controles de seguridad de la
información resultan considerablemente más económicos y eficaces si se
incorporan en la etapa de especificación de requerimientos y diseño.
Requerimientos de Acceso y Seguridad
Figura 3.2. Tríada de Seguridad Informática.
Tomado de: http://www.mattica.com/wp-content/uploads/2004/06/TriadaSeguridadInformatica-300x260.jpg
6
Arquitecturas de TI
Arquitecturas de TI
Fascículo No. 3
Semestre 6
Para establecer las necesidades de los accesos y seguridad que le
permitirán a la organización minimizar los riesgos asociados a las
amenazas, existen tres recursos con los se pueden identificar los requisitos
en cuanto a seguridad (Administración del Riesgo, 1999), éstos se
mencionan a continuación:
1. Las evaluaciones de riesgos que enfrenta la organización. Con esta
evaluación se logra identificar las amenazas que enfrenta la
Arquitectura de la Tecnología de la información, además de las
vulnerabilidades y probabilidades de ocurrencia, estimando el impacto
potencial.
2. Los requisitos legales, normativos, reglamentarios y contractuales que
deben cumplir la organización, sus socios comerciales, los contratistas
y los prestadores de servicios.
3. Los procesos, objetivos y requisitos para el procesamiento de la
información, que ha desarrollado la organización para respaldar sus
operaciones.
En Colombia la legislación en materia de seguridad Informática es
la Ley 1273 de 2009, con la cual se adiciona al Código Penal el
Título VII denominad “De la Protección de la información y de los
datos”.
3.1.
Determine cómo se relacionan los conceptos de confidencialidad, dis-
ponibilidad e integridad de la información.
7
Arquitecturas de TI
Arquitecturas de TI
Fascículo No. 3
Semestre 6
Para la evaluación de riesgos
se puede consultar en
(Administración del Riesgo,
1999), las metodologías y
pautas que permiten desde
su identificación, evaluación,
y si es el caso aceptación.
Los controles permiten
minimizar el riesgo, es decir,
un riesgo residual que por
razones ya sea de costos u
ocurrencia, se convierte en
un riesgo aceptado.
Evaluación de riesgos
Figura 3.3. Tríada de Seguridad Informática.
Tomado de: http://www.lomasnuevo.net/wp-contentupl/2008/12/ciberterrorismo.png
La evaluación de riesgos es un proceso metódico que permite la
identificación de las amenazas a los procesos que afronta toda la
estructura de tecnología de la información de la organización. Para poder
realizar una correcta evaluación de riesgos, se hace necesario tener en
cuenta aspectos como el impacto y la probabilidad de ocurrencia. (ISO
and Comisión International Electrotechnical Commission., 2009).
El Impacto permite cuantificar las consecuencias por pérdida de la confi-
dencialidad, integridad y disponibilidad de la información. Además, este
tipo de consecuencias pueden repercutir en la información. Por otro lado,
la probabilidad de ocurrencia, se debe definir según las vulnerabilidades y
amenazas que pueden ser predominantes en la Arquitectura.
Luego de haber realizado la evaluación de riesgos, se procede a
determinar los controles que permitirán seleccionar los controles que
mitigaran su impacto. Los procesos de evaluación deben ser periódicos,
con el fin de tenerlos actualizarlos a fin de reflejar los cambios de
requerimientos y prioridades de la organización. Además, se deben
considerar, las nuevas vulnerabilidades y amenazas que afronta la
organización, y realizar la revisión periódica de los controles con el fin de
tenerlos actualizados y eficientes. (iso27000.es, 2005)
8
Arquitecturas de TI
Arquitecturas de TI
Fascículo No. 3
Semestre 6
3.2.
Desarrolle un análisis de riesgos de (mínimo 10 páginas) sobre el pro-
ceso de creación de usuarios que tiene la Universidad San Martin o
cualquier otra universidad.
Control de Acceso
Figura 3.4. Control de acceso físico.
Tomado de http://t0.gstatic.com/images?q=tbn:ANd9GcTEAuDAk0tv0Sx5TYz6zPeSqrPOA5P7n2zsHJf_-mSvn0Z9_tDcCNO90EaMnA
Luego de haber identificado y evaluado los riesgos de seguridad, se deben
seleccionar e implementar controles que garanticen la mitigación de los
riesgos. De ahí, toma gran importancia una política de administración de
riesgos (Administración del Riesgo, 1999), que debe tener en cuenta el
costo de implementar los controles que logren minimizar su impacto y la
pérdida de la información.
Por lo tanto, parte del estudio de este fascículo va enfocado en desarro-
llar los tipos de controles que permitan limitar los accesos y proveer se-
guridad basada siempre en los principios de confiabilidad, integridad y
disponibilidad de la información.
Otras características adicionales a la confiabilidad, integridad y
disponibilidad de la información, son la autenticación, no repudio,
y auditoria.
De igual forma, una de las principales finalidades de la implementar los
sistemas de controles de acceso es limitar el ingreso a la información y a
9
Arquitecturas de TI
Arquitecturas de TI
Fascículo No. 3
Semestre 6
La premisa que rige la segu-
ridad de la información se
fundamenta en que en los
dispositivos se debe realizar
la negación de todas peticio-
nes –inicialmente– y luego
habilitar los permisos.
los procesos de organizaciones, que deben ser diseñados con base a re-
querimientos establecidos previamente.
3.3.
Investigue sobre los métodos de control de accesos más seguros que
existen en el mundo.
Tipos de controles de acceso
Al momento de implementar los controles de acceso como medida de se-
guridad, éstos se deben fijar con base en un conjunto de reglas y requeri-
mientos que depende del esquema de la organización, como una caracte-
rización de los usuarios definiéndolos en grupos y clases, restricción de
privilegios, entre otras. (ISO and Comisión International Electrotechnical
Commission., 2009)
Dicho conjunto de reglas y requerimientos deben ser constituidos como
una política dentro de la organización y, contemplar algunos aspectos
como los que se mencionan a continuación:
a) Requerimiento de seguridad en las aplicaciones y comunidades.
b) Divulgación de los procesos de seguridad de la organización. Este
aspecto va de la mano de una concienciación de la importancia de
blindar la información organizacional.
c) Las políticas de seguridad no puede ir contra de las legislación.
d) Se deben crear perfiles de usuarios que tengan en cuenta la categoría,
el nivel dentro de la organización, salario, el tipo de información que se
maneja.
De lo anterior, se concluye que la implementación de los controles consi-
dera aspectos como el tipo de reglas que los usuarios deben cumplir de
forma estricta y las que son opcionales. Además, la seguridad de la infor-
mación aplica la premisa que “Todo está prohibido a menos que sea
10
Arquitecturas de TI
Arquitecturas de TI
Fascículo No. 3
Semestre 6
permitido expresamente” (ISO/IEC, 2007). Al implementar la premisa an-
terior, se da por sentado que en materia de seguridad todo se encuentra
restringido, y que la organización debe trabajar sobre lo que se debe habi-
litar y/o permitir a las comunidades.
Control de acceso a los usuarios
Este tipo de control de acceso tiene como finalidad impedir el ingreso no
autorizado a los sistemas de información. Para lograrlo, se deben aplicar
procedimientos que establezcan cómo es la asignación de los permisos y
privilegios de los usuarios a los sistemas de información. (ISO/IEC, 2007)
Estos controles deben abarcar desde que el usuario ingresa hasta que fi-
naliza la sesión en los sistemas de información. Por lo tanto, las restriccio-
nes a los usuarios inician con el proceso de registro del usuario, continúan
con la asignación de privilegios, luego con unas reglas de contraseña se-
gura e incluyen además, la auditoría y finalizan con la terminación de la
sesión.
Cuando un usuario se registra o termina la sesión en algún sistema de in-
formación de la organización, debe existir un conjunto de garantías que
permitan hacer seguimiento e identificarlos, como la utilización de identifi-
cadores (ID's). Estos deben ser verificados y actualizados periódicamente.
(iso27000.es, 2005). Además, las acciones de ingreso y salida de los sis-
temas de información deben quedar reportadas en el LOG de los equipos,
con el fin de poder hacer auditoría que permite revisar periódicamente si
estos accesos son realizados según el perfil de cada usuario o grupo.
Un ejemplo de administración de privilegios es el Active Directory
de los sistemas Microsoft.
11
Arquitecturas de TI
Arquitecturas de TI
Fascículo No. 3
Semestre 6
El rol de un usuario se puede
definir desde dos perspecti-
vas. La primera, en cuanto a
su función dentro de la orga-
nización (Técnico, profesio-
nal, directivo, gerente, presi-
dente) y la segunda, según la
dependencia en que labora
(Recursos Humanos, Admi-
nistrativa, Financiera, Conta-
bilidad, Tesorería, Tecnolog-
ía) y que va ligada a los
sistemas de información con
los que trabaja.
Por otra parte, la administración de privilegios debe limitar y controlar la
asignación del rol de cada usuario, es decir, esta característica tiene como
principal función establecer los parámetros y reglas necesarias que restrin-
jan el acceso a los sistemas de información, basada en un perfil. De una
buena construcción de los perfiles se puede garantizar parte del éxito de
que los controles de acceso a los usuario, dado que estas restricciones
son aplicables a todos los sistemas de información en conjunto.
La forma de asignar los perfiles a los usuarios debe cumplir buenas prácti-
cas como: identificar el tipo de permiso por sistemas de información, es
decir, asignar restricciones a los sistemas operativos, bases de datos, apli-
caciones de forma distinta dad la diversidad de formas para su operación.
Aunado a esto, los privilegios se deben asignar según el grado de utiliza-
ción del Sistema de Información por parte del usuario, es decir, que si so-
lamente un usuario necesita hacer consultas en la base de datos con el fin
de buscar información, se deben aplicar los permisos de lectura única-
mente. Ahora, la forma de asignar los privilegios debe partir de una autori-
zación por parte de un directivo de la organización que tenga la compe-
tencia administrativa y técnica para tales efectos.
Siguiendo con las características que se deben tener en cuenta al momen-
to de la construcción de roles y perfiles que permitan la implementación de
controles a los usuarios, la administración de las contraseñas se convierten
en el medio validador de la identidad de un usuario.
Por consiguiente, dentro de la organización debe existir una política de
administración de contraseñas, que tenga en cuenta la confidencialidad al
momento de utilizarla y que sea “segura”.
12
Arquitecturas de TI
Arquitecturas de TI
Fascículo No. 3
Semestre 6
Cabe anotar que una buena administración de contraseñas va de
la mano de concientizar y responsabilizar al usuario sobre el im-
pacto que tendría su uso indebido.
La confidencialidad de las contraseñas de usuarios se da cuando se man-
tienen en secreto y son almacenadas en sistemas de información con
algún tipo de cifrado. Cuando una contraseña es asignada a un usuario
por primer vez, ésta debe ser de carácter temporal a fin de proteger la
confidencialidad de la información.
Se definen tres parámetros para determinar que una contraseña es segura:
1. Que tenga caracteres alfabéticos.
2. Que tenga caracteres especiales.
3. Que tenga caracteres numéricos.
Se dice que una contraseña es segura si cumple dos de los tres paráme-
tros anteriores. (ISO/IEC, 2007). Otros aspectos que logran blindar de ma-
yor seguridad a las contraseñas es que su longitud sea mayor de 7 carac-
teres y que no se encuentre en un diccionario. El ciclo de vida de las con-
traseñas también se debe definir como política organizacional, por lo gene-
ral es de 30 días.
Por último, se tiene que dentro de los controles a los usuarios se deben
contemplar los procesos de revisión y auditoría a los perfiles que han sido
creados. Esto, con el fin de encontrar fallas y anomalías en la asignación
de estos roles. Una práctica común en las organizaciones es que algunos
permisos solicitados temporalmente, como accesos especiales a las bases
de datos, o sistemas operativos, se vuelven permanentes, en consecuen-
cia resulta pertinente su revisión periódica.
13
Arquitecturas de TI
Arquitecturas de TI
Fascículo No. 3
Semestre 6
El camino forzado hace
referencia a que la conexión
que se realiza entre al termi-
nal y el servidor donde se
encuentran los sistemas de
información, se debe realizar
con el dispositivo de seguri-
dad ya sea proxy, firewall,
detector de intrusos, entre
otros.
Control de acceso a la red
Figura 3.5. Estructura de una Zona Desmilitarizada.
Tomado de http://1.bp.blogspot.com/-LF4FXjqtq2k/TjI-290Xe2I/AAAAAAAAAAg/hg1UzNXu0og/s1600/DMZ_jpg.png
Estos controles tiene como finalidad la protección de los servicios de la
red. Para lograrlo se deben asegurar todos los accesos a la red, ya sean
internos o externos. Con la implementación de estos controles se garanti-
za una autenticación apropiada para las comunidades y equipos, y el con-
trol de acceso a los sistemas de información en general.
Igual que en los controles a los sistemas de información, los controles a la
red deben partir de una política de utilización del servicio, es decir, esta-
blecer las reglas que logren proporcionar una conexión segura. (ISO/IEC,
2007) Un claro ejemplo de esto, es utilizar métodos de cifrados en el acce-
so a la red por medio inalámbrico como el cifrado de contraseñas.
Estos controles encierran la red y servicios que las comunidades acceden
para procesar información, además, contemplan procedimientos de autori-
zación para los usuarios que tienen acceso, junto con la gestión que per-
mite proteger los servicios.
Una buena práctica en los controles de acceso a la red es implementar un
camino forzado, que se refiere en tener el completo dominio de la trayecto-
14
Arquitecturas de TI
Arquitecturas de TI
Fascículo No. 3
Semestre 6
Una VPN se define como una
red segura dentro de una red
pública (Insegura). Es así
como se logra acceder a la
red de la organización por
medio de Internet que es una
red netamente pública.
ria que hay desde el equipo del usuario hasta el servicio. (ISO/IEC, 2007).
Con esta técnica se evita que los usuarios utilicen otro tipo de rutas para
acceder a la red, y que solamente acceda el usuario con privilegios. Algu-
nos equipos permiten establecer este tipo de controles, como son los fi-
rewall por medio de las VPN, los proxys, ya que se limita la navegación en
la red aplicando un conjunto de reglas y restricciones.
Dentro de las tareas descritas anteriormente, el control de acceso a la red
debe permitir el control de las conexiones a la red, haciendo mayor énfasis
en aquellas que se encuentran por fuera de la organización. Una forma de
realizarlos es por medio de la implementación de gateway, las cuales sir-
ven como puente entre el equipo del usuario y la salida a la red pública
(Internet), y en las que se filtra el tráfico de la red. Cabe resaltar, que estos
controles al igual que las configuraciones de los dispositivos, deben man-
tenerse actualizados a fin de evitar problemas de seguridad.
Dentro de las aplicaciones que hay en la organización se tienen: el correo
electrónico, los servidores de archivos (FTP), el acceso remoto y demás
servicios que demanden un intercambio de información sensible.
15
Arquitecturas de TI
Arquitecturas de TI
Fascículo No. 3
Semestre 6
Control de acceso al sistema operativo
Figura 3.6. Estructura de Active Directory.
Tomado de: http://pcexpertos.com/wp-content/uploads/2009/10/active-directory-manageability-security-interoperability.gif
El Active Directory de las redes Microsoft es considerado un de
control de acceso al sistema operativo.
Los controles de acceso al sistema operativo se implementan con el fin de
impedir el acceso sin autorización a la terminal de usuario (computador,
dispositivo portátil, entre otros). En este tipo de controles se deben des-
arrollar todos los mecanismos que logren proveer de seguridad y restringir
el acceso a las terminales de usuario. Para hacerlo, es necesario imple-
mentar un conjunto de acciones, que van desde la identificación de la
identidad del usuario, la toma de acciones en caso de presentarse un alto
número de intentos fallidos de acceder al sistema operativo, tener medios
de autenticación que permitan una confiabilidad en las contraseñas
(iso27000.es, 2005), entre otros.
16
Arquitecturas de TI
Arquitecturas de TI
Fascículo No. 3
Semestre 6
Los ID’s son utilizados y
únicos por usuario. Es una
buena práctica que un usua-
rio se pueda autenticar con
el mismo ID y contraseña
desde cualquier terminal.
Un primer paso, que permite llegar a la implementación de los controles de
acceso a los sistemas operativos, es tener mecanismos que logren identifi-
car las terminales de donde se conectan los usuarios, ya sea por medio de
un nombre o dirección, además esta identificación debe tener la capacidad
de ser auditada. Por consiguiente, esta identificación debe ser física y lógi-
ca. La identificación física de las terminales por medio de controles de ac-
ceso a los sistemas operativos se hace básicamente con el etiquetado de
la terminal, es decir, una secuencia de números que permitan determinar
su procedencia. La identificación lógica va encaminada hacia los protoco-
los que se deben utilizar para especificar la procedencia de la petición. Al-
gunos ejemplos, son los protocolos de nombre como es el caso del proto-
colo IP, o NETBIOS de Windows, donde la terminal se le asigna un nombre
y puede ser ubicada en la red.
El proceso de identificar las terminales de usuario se debe aplicar a todos
los equipos que permitan acceder a la red, ya sean equipos portátiles, es-
critorios, PDA, celulares entre otros. Para lograrlo se utilizan técnicas de
identificación del usuario, como la utilización de ID's que autentiquen el
proceso de ingreso a la red.
De ahí que para la identificación de los usuarios que se realiza por medio
de procesos de autenticación, es necesario implementar a todos sin ex-
cepción, sin importar perfil o cargo, una cuenta única o identificador como
ID's. Esto, con el fin de poder realizar un proceso de auditoría y tener un
control sobre los accesos al sistema operativo. Un factor importante, que
se ciñe a tener una buena política de identificación de usuarios, es que en
caso de que un usuario haya realizado algún tratamiento indebido a la in-
formación de la organización, se pueda rastrear por medio del ID que in-
gresó en el momento de la falta; es por eso que la confidencialidad de los
ID's y las contraseñas de cada usuario son factores de gran importancia en
el control de acceso a los sistemas operativos.
17
Arquitecturas de TI
Arquitecturas de TI
Fascículo No. 3
Semestre 6
Lo anterior si bien expone la importancia de que los usuarios y comunida-
des de la organización tengan un identificador único (ID's), con contrase-
ñas seguras, el proceso de gestionar las contraseñas como validador de
la identidad del usuario, debe tener un sistema que permita ejercer un con-
trol sobre la seguridad de las contraseñas de los usuarios.
Los sistemas de gestión de contraseñas deben primero validar que la con-
traseña que el usuario está ingresando corresponda con los parámetros de
seguridad que se describieron con anterioridad, además debe establecer
tiempos máximos de caducidad de las contraseñas, pero dejando como
opción que el usuario la pueda cambiar en cualquier momento. (ISO/IEC,
2007). Otro parámetro importante en la gestión de contraseñas es el histo-
rial de un número determinado de contraseñas anteriores del usuario, esto
con el fin de que no se puedan reutilizar.
La implementación de estos controles tiene características como: la im-
plementación de alarmas silenciosas, limitar los tiempos de conexión –
incluye por tiempo de no utilización y por hora–, que complementa un
buen esquema de control de acceso al sistema operativo.
La utilización de alarmas silenciosas permite no alertar al usuario en caso
de que esté infringiendo alguna política de seguridad de la organización, e
iniciar procesos de seguimiento y disciplinarios hacia este tipo de conduc-
tas sospechosas. (ISO and Comisión International Electrotechnical
Commission., 2009) Limitar los tiempos de conexión también es una buena
práctica dentro de un esquema de control de acceso al sistema operativo
(cuando un usuario no cierra la sesión o no se encuentre presente en el
equipo, éste se debe cerrar y de esta forma se evitan accesos no autoriza-
dos y robo de información. Además, esta buena práctica incluye que se
limite el acceso a los equipos en días u horas no hábiles.
18
Arquitecturas de TI
Arquitecturas de TI
Fascículo No. 3
Semestre 6
Cada una de las buenas prácticas enunciadas contribuye a tener un siste-
ma de control de acceso a los sistemas operativos, con mínimos riesgos
de ingresos no autorizados a la red y, evita la pérdida y/o robo de infor-
mación sensible para la organización.
Control de acceso a las aplicaciones
Con la implementación de estos controles se impide el acceso no autori-
zado a la información de la organización y se restringen los accesos lógi-
cos al software y a la información por medio de controles definidos dentro
de una política organizacional. (iso27000.es, 2005)
Estos controles se basan en restricciones que se deben imponer a los Sis-
temas de Información, como ERP, bases de datos, documentación sensi-
ble, entre otros. Para hacerlo se implementan políticas que abarcan la im-
plementación de controles lógicos y la confidencialidad de la información.
Los controles lógicos conllevan la aplicación de restricciones de archivos
sensibles, como la limitación al acceso o los derechos de autor como lec-
tura, escritura, modificación y ejecución. Por otro lado, la confidencialidad
de la información juega un papel importante en este tipo de controles, de-
bido a que la información sobre la ubicaciones de los archivos sensibles a
la organización solamente debe conocerla un grupo privilegiado de usua-
rios que por motivos de su rol dentro del a organización deba conocerla.
3.4.
Defina al menos tres ejemplos de controles de acceso a los sistemas
operativos, aplicaciones a la red, luego determine cómo estos controles
pueden proveer confiabilidad, integridad y disponibilidad en la informa-
ción.
19
Arquitecturas de TI
Arquitecturas de TI
Fascículo No. 3
Semestre 6
1. Realice un cuadro comparativo entre los diferentes productos/software que
permiten limitar el acceso a la red, teniendo en cuenta aspectos como
seguridad, escalabilidad, costos, calidad de servicio, administración, y
concluya extrayendo las ventajas y desventajas de los productos investigados.
2. Establezca una estrategia para definir cuándo un control se encuentra dentro
del rango de costo aceptable en una organización.
3. Investigue sobre las técnicas que permiten la identificación de riesgos y
administración de controles. Desarrolle la identificación de riesgos al proceso
de compras de una compañía.
4. Diseñe un esquema de perfiles que contenga al menos cinco niveles. Luego
establezca las políticas de controles de acceso y de administración de perfiles
de usuario.
Los accesos y seguridad dentro de la Arquitectura de Tecnología de la In-
formación constituyen la primera capa con que los usuarios y comunida-
des interactúan, es decir, lo más próximo hacia el usuario final.
Un esquema de seguridad debe estar fundamentado en la mitigación de
los riesgos que podrían impactar en el negocio de la organización. Éstos
se deben implementar para minimizar los riesgos y aplicarse en los acce-
sos, ya sea a la Red, a los Sistemas Operativos, Aplicaciones, entre otros.
Por lo tanto, de la implementación de unos controles eficaces, actualiza-
bles, evaluados, y consecuentes con las buenas prácticas depende la
seguridad del esquema.
El objetivo primordial de la Seguridad es proveer Confiabilidad, Integridad
y Disponibilidad de la Información, por medio de la minimización de los
riesgos y a través de la aplicación de controles.
20
Arquitecturas de TI
Arquitecturas de TI
Fascículo No. 3
Semestre 6
Administración del Riesgo. (1999). AS/NZS.
ISO and Comisión International Electrotechnical Commission. (2009).
ISO/IEC 27001. ISO/IEC.
ISO/IEC. (2007). Guía de buenas prácticas que describe los objetivos de
control y controles recomendables. ISO/IEC.
iso27000.es. (2005). ISO 27001: Sistemas de Gestión de la Seguridad de la
Información. Recuperado el 1 de Octubre de 2011, de:
http://www.iso27000.es/
Hasta aquí, la Arquitectura de Tecnología de la Información, ha estudiado
las comunidades, la relación que hay entre un conjunto de roles, y los ac-
cesos y seguridad como primer frente hacia el usuario final, con la necesa-
ria provisión de confiabilidad, integridad y disponibilidad de la informa-
ción; ahora se avanzará en el modelo de servicios que se implementan
dentro de una estructura de Tecnología de la Información.
Los servicios y aplicaciones son en cierta medida las herramientas que
permiten a los usuarios automatizar sus procesos y aumentar la producti-
vidad dentro de la organización. En consecuencia, en el siguiente fascículo
se abordaran los modelos que permiten prestar un diseño de servicios
óptimo encaminado hacia el negocio de la organización.
21
Arquitecturas de TI
Arquitecturas de TI
Fascículo No. 3
Semestre 6
Seguimiento al autoaprendizajeSeguimiento al autoaprendizajeSeguimiento al autoaprendizaje
Arquitecturas de TI - Fascículo No. 3
Nombre_______________________________________________________
Apellidos ________________________________ Fecha: _________________
Ciudad___________________________________Semestre: _______________
Preguntas de opción múltiple con única respuesta.
1. Los controles permiten:
a) Limitar la utilización de los recursos de la organización.
b) Minimizar el riesgo en los procesos de la organización.
c) Identificar las amenazas de los procesos organizaciones.
2. Una características de los controles es:
a) Facilidad en su configuración.
b) Que estén de acuerdo con el negocio de la organización.
c) Tengan un costo aceptable.
3. Los controles a los sistemas operativos permiten:
a) Limitar el acceso a los usuarios a las terminales.
b) Limitar el acceso de las terminales a las aplicaciones.
c) Definir las políticas y roles de la organización.
4. Los controles a las aplicaciones permiten:
a) Impedir el acceso no autorizado a la información de la organización.
b) Limitar el acceso de las terminales a las aplicaciones.
c) Definir las políticas y roles de la organización.