Fundamentos de Controles de Seguridad y Modelos de Acceso en Informática

Controles de Seguridad

Controles Lógicos y Técnicos

• Implican la restricción del acceso a los sistemas y la protección de la información.
• Ejemplos: Encriptación, Smart Cards, ACLs (Listas de Control de Acceso), etc. 5A

Controles Físicos

• Incluyen guardias, seguridad física del edificio en general, separación de funciones, backups, cerraduras, biométricos, tarjetas de ID, CCTV, sensores, alarmas, perros, cardkeys y tokens.

Controles Proactivos

• Awareness training (Concientización de usuarios)
• Background checks (Verificación de antecedentes)
• Separación de Tareas
• Distribución del Conocimiento
• Políticas de Seguridad
• Clasificación de Datos
• Registro efectivo de usuarios
• Procedimientos de despido de empleados
• Procedimientos de control de cambios

Modelos de Control de Acceso

• Formales
• Discrecionales (DAC)
• Mandatorios (MAC)
• No Discrecionales

Modelos Formales

• Basados en infraestructuras estáticas.
• Definen políticas restringidas.
• No funcionan eficientemente en sistemas corporativos debido a su dinamismo y continuo cambio.
• Presentan documentación limitada relacionada con la implementación y desarrollo de estos sistemas.
• Ninguno de los modelos mencionados tiene en cuenta:
  • Virus/contenido activo
  • Caballos de Troya (Trojan horses)
  • Cortafuegos (Firewalls)

Control de Acceso Mandatorio (MAC)

• Asigna niveles de sensibilidad, también conocidos como etiquetas (labels).
• A cada objeto se le asigna una etiqueta y es accesible por usuarios que tienen permitido el acceso a ese nivel de sensibilidad.
• Solo los administradores, no los dueños de los objetos, pueden modificar el nivel de sensibilidad del objeto.
• Es más seguro que el Control de Acceso Discrecional (DAC).
• Corresponde al nivel B del Orange Book. 5B

Problemas con MAC

• Difícil de programar, configurar e implementar.
• Pérdida de rendimiento (performance).
• Depende del sistema para controlar los accesos.
• Ejemplo: Si un archivo es clasificado como confidencial, MAC impedirá que alguien introduzca información secreta o ultrasecreta dentro de ese archivo. 5B

Control de Acceso Discrecional (DAC)

• El acceso es restringido en función de la autorización otorgada al usuario.
• Utilizado principalmente para separar y proteger a los usuarios de datos no autorizados.
• Depende del dueño del objeto para realizar el control de accesos.
• Utilizado por sistemas operativos como Unix, Windows NT, NetWare, Linux, Vines, etc.
• Corresponde al nivel C del Orange Book.

Control de Acceso No Discrecional

• Una autoridad central determina qué sujetos pueden acceder a qué objetos, tomando como base la política de seguridad de la organización.
• Los controles de acceso pueden estar basados en:
  • El rol del sujeto dentro de la organización (basado en roles).
  • Las responsabilidades y tareas desempeñadas por el sujeto en la organización (basado en tareas).
• Útil para organizaciones con un alto nivel de rotación de personal.

Comparativa: MAC vs. DAC

Control de Acceso Mandatorio (MAC)

• El sistema decide cómo se compartirán los datos.
• La autorización depende de etiquetas (labels), las cuales indican el nivel de acceso del sujeto en cuestión y la clasificación o sensibilidad del objeto.
• Típicamente utilizado en sistemas militares.

Control de Acceso Discrecional (DAC)

• El administrador decide cómo quiere proteger y compartir los datos.
• El sujeto, de forma limitada, tiene la autoridad para especificar qué objetos son accesibles.
• Utilizado en entornos dinámicos.