Mecanismos de seguridad

Autenticacin
Definimos la Autenticacin como la verificacin de la identidad del usuario,
generalmente cuando entra en el sistema o la red, o accede a una base de datos.
Normalmente para entrar en el sistema informtico se utiliza un nombre de usuario
y una contrasea. Pero, cada vez ms se estn utilizando otras tcnicas ms
seguras.
Es posible autenticarse de tres maneras:

Por lo que uno sabe (una contrasea)

Por lo que uno tiene (una tarjeta magntica la cual ser utilizada por los
gerentes y supervisores del supermercado)
Por lo que uno es (las huellas digitales, este no sera utilizado )

La utilizacin de ms de un mtodo a la vez aumenta las probabilidades de que la

autenticacin sea correcta. Pero la decisin de adoptar ms de un modo de
autenticacin por parte de las empresas debe estar en relacin al valor de la
informacin a proteger.
La tcnica ms usual (aunque no siempre bien) es la autenticacin utilizando
contraseas. Este mtodo ser mejor o peor dependiendo de las caractersticas
de la contrasea. En la medida que la contrasea sea ms grande y compleja para
ser adivinada, ms difcil ser burlar esta tcnica.
Adems, la contrasea debe ser confidencial. No puede ser conocida por nadie
ms que el usuario. Muchas veces sucede que los usuarios se prestan las
contraseas o las anotan en un papel pegado en el escritorio y que puede ser
ledo por cualquier otro usuario, comprometiendo a la empresa y al propio dueo,
ya que la accin/es que se hagan con esa contrasea es/son responsabilidad del
dueo.

Autorizacin
Definimos la Autorizacin como el proceso por el cual se determina qu, cmo y
cundo, un usuario autenticado puede utilizar los recursos de la organizacin.
El mecanismo o el grado de autorizacin puede variar dependiendo de qu sea lo
que se est protegiendo. No toda la informacin de la organizacin es igual de
crtica. Los recursos en general y los datos en particular, se organizan en niveles y
cada nivel debe tener una autorizacin.
Dependiendo del recurso la autorizacin puede hacerse por medio de la firma en
un formulario o mediante una contrasea, pero siempre es necesario que dicha
autorizacin quede registrada para ser controlada posteriormente.
En el caso de los datos, la autorizacin debe asegurar la confidencialidad e
integridad, ya sea dando o denegando el acceso en lectura, modificacin, creacin
o borrado de los datos.
Por otra parte, solo se debe dar autorizacin a acceder a un recurso a aquellos
usuarios que lo necesiten para hacer su trabajo, y si no se le negar. Aunque
tambin es posible dar autorizaciones transitorias o modificarlas a medida que las
necesidades del usuario varen.
Para que la contrasea sea difcil de adivinar debe tener un conjunto de caracteres
amplio y variado (con minsculas, maysculas y nmeros). El problema es que los
usuarios difcilmente recuerdan contraseas tan elaboradas y utilizan (utilizamos)
palabras previsibles (el nombre, el apellido, el nombre de usuario, el grupo musical
preferido,...), que facilitan la tarea a quin quiere entrar en el sistema sin
autorizacin.
Por esta manera dentro de nuestra red optaremos por esta tcnica ya que a pesar
de ser una de las maneras ms comunes de accesar a nuestra informacin, a
nuestro equipo nos pareci ser la tcnica ms comn y las ms barata adems no
todos podrn accesar a la informacin ya que solo el gerente ser el que tenga
conocimiento de la contrasea.

Auditora y registro
Definimos la Auditora como la continua vigilancia de los servicios en produccin y
para ello se recaba informacin y se analiza.
Este proceso permite a los administradores verificar que las tcnicas de
autenticacin y autorizacin utilizadas se realizan segn lo establecido y se
cumplen los objetivos fijados por la organizacin.
Definimos el Registro como el mecanismo por el cual cualquier intento de violar las
reglas de seguridad establecidas queda almacenado en una base de eventos para
luego analizarlo.
Pero auditar y registrar no tiene sentido sino van acompaados de un estudio
posterior en el que se analice la informacin recabada.
Monitorear la informacin registrada o auditar se puede realizar mediante medios
manuales o automticos, y con una periodicidad que depender de lo crtica que
sea la informacin protegida y del nivel de riesgo.

Mantenimiento de la integridad
Definimos el Mantenimiento de la integridad de la informacin como el conjunto de
procedimientos establecidos para evitar o controlar que los archivos sufran
cambios no autorizados y que la informacin enviada desde un punto llegue al
destino inalterada.
Dentro de las tcnicas ms utilizadas para mantener (o controlar) la integridad de
los datos estn: uso de antivirus, encriptacin y funciones 'hash'.