La evolución de la computación y de las comunicaciones en las últimas décadas [7, Deitel]:
• Ha hecho más accesibles a los sistemas informáticos.
• Ha incrementado los riesgos vinculados a la seguridad.
La vulnerabilidad de las comunicaciones de datos es un aspecto clave de la seguridad de los sistemas informáticos; la importancia de este aspecto es cada vez mayor en función de la proliferación de las redes de computadoras.
El nivel de criticidad y de confidencialidad de los datos administrados por los sistemas informáticos es cada vez mayor:
• Ej.: correo personal, transferencia de fondos, control de manufactura, control de sistemas de armas, control de tráfico aéreo, control de implantes médicos (marcapasos, etc.).
• Los sistemas deben funcionar ininterrumpidamente y sin problemas.
El sistema operativo, como administrador de los recursos del sistema:
• Cumple una función muy importante en la instrumentación de la seguridad.
• No engloba a todos los aspectos de la seguridad.
• Debe ser complementado con medidas externas al S. O.
La simple seguridad física resulta insuficiente ante la posibilidad de acceso mediante equipos remotos conectados.
La tendencia es que los sistemas sean más asequibles y fáciles de usar, pero la favorabilidad hacia el usuario puede implicar un aumento de la vulnerabilidad.
Se deben identificar las amenazas potenciales, que pueden proceder de fuentes maliciosas o no.
El nivel de seguridad a proporcionar depende del valor de los recursos que hay que asegurar.
Requisitos de Seguridad
Los requisitos de seguridad de un sistema dado definen lo que significa la seguridad, para ese sistema [7, Deitel].
Los requisitos sirven de base para determinar si el sistema implementado es seguro:
• Sin una serie de requisitos precisos tiene poco sentido cuestionar la seguridad de un sistema.
• Si los requisitos están débilmente establecidos no dicen mucho sobre la verdadera seguridad del sistema.
Algunos ejemplos de formulación de los requisitos de seguridad son los siguientes:
• Directiva DOD 5200.28 (EE. UU.):
o Especifica cómo debe manipularse la información clasificada en sistemas de procesamiento de datos.
• Manual de Referencia de Tecnología de Seguridad de la Computadora (EE. UU.):
o Especifica cómo evaluar la seguridad de los sistemas de computación de la Fuerza Aérea.
• Ley de Intimidad de 1974 (EE. UU.):
o Requiere que las Agencias Federales aseguren la integridad y seguridad de la información acerca de los individuos, especialmente en el contexto del amplio uso de las computadoras.
Un Tratamiento Total de la Seguridad
Un tratamiento total incluye aspectos de la seguridad del computador distintos a los de la seguridad de los S. O. [7, Deitel].
La seguridad externa debe asegurar la instalación computacional contra intrusos y desastres como incendios e inundaciones:
• Concedido el acceso físico el S. O. debe identificar al usuario antes de permitirle el acceso a los recursos: seguridad de la interfaz del usuario.
La seguridad interna trata de los controles incorporados al hardware y al S. O. para asegurar la confiabilidad, operabilidad y la integridad de los programas y datos.
Seguridad Externa y Seguridad Operacional
Seguridad Externa
La seguridad externa consiste en [7, Deitel]:
• Seguridad física.
• Seguridad operacional.
La seguridad física incluye:
• Protección contra desastres.
• Protección contra intrusos.
En la seguridad física son importantes los mecanismos de detección, algunos ejemplos son:
• Detectores de humo.
• Sensores de calor.
• Detectores de movimiento.
La protección contra desastres puede ser costosa y frecuentemente no se analiza en detalle; depende en gran medida de las consecuencias de la pérdida.
La seguridad física trata especialmente de impedir la entrada de intrusos:
• Se utilizan sistemas de identificación física:
o Tarjetas de identificación.
o Sistemas de huellas digitales.
o Identificación por medio de la voz.
Seguridad Operacional
Consiste en las diferentes políticas y procedimientos implementados por la administración de la instalación computacional [7, Deitel].
La autorización determina qué acceso se permite y a quién.
La clasificación divide el problema en subproblemas:
• Los datos del sistema y los usuarios se dividen en clases:
o A las clases se conceden diferentes derechos de acceso.
Un aspecto crítico es la selección y asignación de personal:
• La pregunta es si se puede confiar en la gente.
• El tratamiento que generalmente se da al problema es la división de responsabilidades:
o Se otorgan distintos conjuntos de responsabilidades.
o No es necesario que se conozca la totalidad del sistema para cumplir con esas responsabilidades.
o Para poder comprometer al sistema puede ser necesaria la cooperación entre muchas personas:
Se reduce la probabilidad de violar la seguridad.
o Debe instrumentarse un gran número de verificaciones y balances en el sistema para ayudar a la detección de brechas en la seguridad.
o El personal debe estar al tanto de que el sistema dispone de controles, pero:
Debe desconocer cuáles son esos controles:
Se reduce la probabilidad de poder evitarlos.
Debe producirse un efecto disuasivo respecto de posibles intentos de violar la seguridad.
Para diseñar medidas efectivas de seguridad se debe primero:
• Enumerar y comprender las amenazas potenciales.
• Definir qué grado de seguridad se desea (y cuánto se está dispuesto a gastar en seguridad).
• Analizar las contramedidas disponibles.
http://exa.unne.edu.ar/depar/areas/informatica/SistemasOperativos/SO14.htm#Intro
No hay comentarios:
Publicar un comentario