4 nov. 2015

Introducción a control de accesos (tipos)

Son un conjunto de procesos ejecutados por hardware, software y administrativos, para monitorear  accesos, identificar usuarios requirentes de acceso, registrar intentos de acceso, y otorgar o denegar accesos de acuerdo a reglas predeterminadas.

La transferencia de información desde un objeto a un sujeto es llamada acceso.

Los sujetos son entidades activas, algunos ejemplos:

  • Usuarios
  • Programas
  • Procesos
  • Computadoras
  • Etc.
Los objetos son entidades pasivas, algunos ejemplos:
  • Archivos
  • Base de datos
  • Programas
  • Procesos
  • Impresoras
  • Medios de almacenamiento
  • Etc.
Entonces decimos que: El sujeto es siempre la entidad que recibe información/datos acerca del objeto, también es quien modifica la información del objeto (o datos almacenados en él).

Los Controles de Acceso se implementan para asegurar la confidencialidad, la integridad y disponibilidad.

  • Confidencialidad: Que la información sólo sea conocida por las personas autorizadas.
  • Integridad: Que el contenido de la información permanezca inalterado, a menos que sea modificado por personas autorizadas.
  • Disponibilidad: Que la información siempre y cuando sea procesada por personal autorizado, se encuentre disponible.

Tipos de Control de Acceso

  • Control de acceso preventivo: Detener actividades no autorizadas antes que ocurran; Políticas de seguridad, capacitación en materia de seguridad, antivirus, firewall, etc
  • Control de acceso detectivo: Descubrir actividades no autorizadas; Personal de seguridad (física), investigación de incidentes, sistemas de detección (físicos / IDS), etc
  • Control de acceso correctivo: restaurar un sistema, en caso que ocurra una actividad no autorizada; Políticas de seguridad, manuales, plan de contingencia, etc.
  • Control de acceso de disuación; Desalentar las violaciones de seguridad; cerraduras, CCTV, rejas, etc.
  • Control de acceso de recuperación: Restaurar recursos y capacidades; Copias de seguridad, etc.
  • Control de acceso de compensación: Brindar alternativas a otro tipos de control; monitoreo y supervisión, procedimientos de personal, etc.

Categorías de implementación de control de accesos

Control de acceso administrativo: Normas y procedimientos definidos en la política de seguridad de la organización.
Ejemplos: Políticas, clasificación de datos, procedimientos, capacitación de seguridad, revisiones, etc

Control de acceso lógico/técnico: Mecanismos de hardware o software usados para gestionar el acceso a recursos y sistemas.
Ejemplos: Passwords, encriptación, sistemas biométricos, ACL´s, etc.

Control de acceso físico: barreras físicas.
Ejemplos: Detectores de movimientos, cerraduras, cámaras de seguridad, sensores, etc.

13 oct. 2015

Principales diferencias entre distintas versiones de USB

El estándar USB (Universal Serial Bus) ha cambiado nuestra forma de trabajar con el PC. Gracias a él, podemos tener un único cable para conectar toda clase de dispositivos.

USB 1.0 = El primero, pensado para funcionar con teclados, ratones y dispositivos que requieran de un ancho de banda muy pequeño.

Permite trabajar a una velocidad aproximada de 1.5 Megabits por segundo. Con este necesitarías aproximadamente 6 horas para copiar una película de 4 Gigabytes. Aparece en el año 1996.

USB 1.1 = Como no podría ser de otra forma y gracias a su éxito no tarda mucho en diseñarse otro estándar que supera al anterior.

En este caso su velocidad se multiplica por ocho hasta los 12 Megabits por segundo. Ahora puedes copiar esa misma película en “tan solo” 45 minutos. Estamos ya en 1998.

USB 2.0 = Con este tenemos un salto mayúsculo. Se multiplica la velocidad por 40 veces para llegar a los 480 Megabits por segundo. La misma película del ejemplo anterior tardaría poco más de 1 minuto en copiarse. Estamos ya en el año 2000. Es muy común encontrarte PCs que incorporan ambos puertos, USB 1.x y 2.0 luego es muy importante conocer a cual estas conectando tus dispositivos sobre todo si vas a realizar copias de archivos muy grandes.

USB 3.0 = Aparece en 2008. Multiplica la velocidad hasta 4.8 Gigabits, es decir es 10 veces más rápido que el USB 2.0.

La misma película tardaría apenas unos 10 o 15 segundos en copiarse. Ahora el problema, por primera vez, no es el cable si no que el disco duro o dispositivo que conectes sea lo suficientemente rápido como para poder darte esa velocidad.

Una de sus mejoras más importantes es que además aumenta la cantidad de energía que puede ofrecer a los dispositivos. Muy importante ya que cada vez somos más los que cargamos nuestros teléfonos y tabletas usando este cable.

Al USB 3.0 y en el ámbito de los discos duros externos le aparece un competidor, el estándar SATA 3.0. En este caso lo que se hace es poner un conector en el gabinete o caja del PC que se conecta directamente a la placa base. La diferencia en velocidad entre un disco duro externo e interno se diluye. La interfaz SATA 3.0 es capaz de funcionar a 6 Gigabits por segundo.

USB 3.1 con conectores Tipo-C reversibles
En agosto de 2014, la (USB-IF), organización formada por empresas como Intel, Microsoft, HP y Apple entre muchas otras y que decide sobre el estándar del USB, publicó la especificación del nuevo conector USB, también conocido como "Tipo C", que implementa un nuevo tipo de conector reversible tanto en extremos como en posición. Este tipo de conector, además de ofrecer comodidad por su diseño reversible, ofrece una velocidad de hasta 10 Gbit/s de rendimiento mientras que a la vez hasta 2A se pueden extraer sobre 5V, y opcionalmente, también 5A sobre 12V (60W) o 20V (100W).

12 oct. 2015

Porque las IP v4 tienen ese formato

Las direcciones IP v4 son en realidad interpretaciones de un número binario de 32 bits, permitiendo 2^32 direcciones posibles.

Cada dirección IP se expresa como números de notación decimal; se dividen los 32 bits de la dirección en cuatro octetos.

[xxx].[xxx].[xxx].[xxx]     =     Decimal

[xxxxxxxx].[xxxxxxxx].[xxxxxxxx].[xxxxxxxx]     =     Binario

También se interpreta que una dirección IP (Internet Protocol) esta compuesta por 4 bytes

192 . 168 . 0 . 1
11000000 . 10101000 . 00000000 . 00000001

8 bits = 1 byte

El valor decimal de cada octeto está comprendido en el rango de 0 a 255.

255 porque el número binario de 8 bits más alto es 11111111, lo que seria en valores decimales 255.

Tabla de valores

128 _ 64 _ 32 _ 16 _ 8 _ 4 _ 2 _ 1

Para calcular sólo de debe sumar de izquierda a derecha, hasta llegar a la cifra.

Clases de direcciones IP privadas

  • Clase A: 10.0.0.0 /8
  • Clase B: 172.16.0.0 /16 hasta la 172.31.0.0 /16
  • Clase C: 192.168.0.0 /24 hasta la 192.168.255.0 /24

El número después de la barra, representa la mascara de red (la cantidad de bits):

/32 (255.255.255.255 - un único host); /24 (255.255.255.0); /16 (255.255.0.0); y /8 (255.0.0.0)

20 ago. 2015

Clasificación de la información

La clasificación de la información es algo necesario, tanto en niveles empresariales/privado, como en gubernamental/militar. Y la esencia parte de algo tan básico, que es: no todos los datos tienen el mismo valor.
Aunque cada entidad puede clasificar sus activos informáticos como se le de la gana, aunque también existen regulaciones; se puede considerar cierta clasificación estandarizada...

veamos lo que seria un esquema Militar/Gubernamental:


  • Top Secret ("Alto secreto")

Nivel más alto de clasificación de material en un nivel nacional. Esta información podría provocar un "daño excepcionalmente grave" a la seguridad nacional si estuviera públicamente disponible.


  • Secret ("Secreto")

Este material eventualmente causaría "serios daños" a la seguridad nacional si estuviera públicamente disponible.


  • Confidential ("Confidencial")

Este material podría "dañar" o "ser perjudicial" a la seguridad nacional si estuviera públicamente disponible.


  • Restricted ("Restringido")

Este material podría producir "efectos indeseados" si estuviera públicamente disponible. Algunos países no tienen esta clasificación.


  • Unclassified ("Sin clasificar")

Técnicamente no es un nivel de clasificación, pero es usado por los documentos gubernamentales que no poseen una de las clasificaciones presentadas arriba.

hay que mencionar que la información "restringida" {Restricted ("Restringido")}, también se la puede encontrar como Sensitive but Unclassified (sensible pero sin/no clasificada), es decir, baja sensibilidad, no produce mayor daño si se hace pública.

Por otro lado tenemos Comercial/Privado:

  • Confidencial: muy sensible! impacto grave en la empresa

  • Private: Información personal, y de uso interno.

  • Sensitive: Debe protegerse su confidencialidad e integridad

  • Public: Su conocimiento no tiene gravedad.

Como medidas de protección es común pensar que puede haber falsos positivos, algo que recuerda a los honeypot, ó incluso sub-divisiones

Buscando específicamente sobre la clasificación en la argentina me encontré con este documento Observatorio de políticas públicas_Políticas de clasificación de la información en el 

categorías


Parámetros


Fuentes: 

21 jul. 2015

Hábeas data y principales leyes sobre el manejo y seguridad de la información en Argentina

Hábeas data:

Segun la Wikipedia:
El Habeas data es una acción jurisdiccional, normalmente constitucional, que puede ejercer cualquier persona física o jurídica, que estuviera incluida en un registro o banco de datos de todo tipo, ya sea en instituciones públicas o privadas, en registros informáticos o no, a fin de que le sea suministrada la información existente sobre su persona, y de solicitar la eliminación o corrección si fuera falsa o estuviera desactualizada. También puede aplicarse al derecho al olvido, esto es, el derecho a eliminar información que se considera obsoleta por el transcurso del tiempo y ha perdido su utilidad. La frase legal se utiliza en latín, cuya traducción más literal es «tener datos presentes» siendo «hábeās» la segunda persona singular del presente de subjuntivo del verbo latino «habēre» (en este caso entendido como «tener»).

El hábeas data lo encontramos dentro del artículo 43 de la Constitución Nacional Argentina, la cual nos habla de la acción de amparo, hábeas data y hábeas corpus:

Artículo 43.- Toda persona puede interponer acción expedita y rápida de amparo, siempre que no exista otro medio judicial más idóneo, contra todo acto u omisión de autoridades públicas o de particulares, que en forma actual o inminente lesione, restrinja, altere o amenace, con arbitrariedad o ilegalidad manifiesta, derechos y garantías reconocidos por esta Constitución, un tratado o una ley. En el caso, el juez podrá declarar la inconstitucionalidad de la norma en que se funde el acto u omisión lesiva. Podrán interponer esta acción contra cualquier forma de discriminación y en lo relativo a los derechos que protegen al ambiente, a la competencia, al usuario y al consumidor, así como a los derechos de incidencia colectiva en general, el afectado, el defensor del pueblo y las asociaciones que propendan a esos fines, registradas conforme a la ley, la que determinará los requisitos y formas de su organización.
Toda persona podrá interponer esta acción para tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en registros o bancos de datos públicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquéllos. No podrá afectarse el secreto de las fuentes de información periodística.
Cuando el derecho lesionado, restringido, alterado o amenazado fuera la libertad física, o en caso de agravamiento ilegítimo en la forma o condiciones de detención, o en el de desaparición forzada de personas, la acción de hábeas corpus podrá ser interpuesta por el afectado o por cualquiera en su favor y el juez resolverá de inmediato, aun durante la vigencia del estado de sitio.

Si quieren más información, les dejo un pdf interesante:
Habeas data
autor: Dra. María Laura Spina
año: Octubre 2001
Descarga: cybsec.com

Ley 25.326 Protección de los datos personales

Related Posts with Thumbnails

Páginas vistas en total