Seguridad Lógica
A partir del axioma de que lo más importante para la seguridad informática es la información y cómo preservarla y del hecho de que los peligros para esta no están en su mayor volumen en los problemas en el orden físico, sino en como garantizar su confidencialidad, integridad y disponibilidad.
La Seguridad Lógica consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo.
Sobre esta base se plantean como principios básicos del trabajo los siguientes:
- Restringir el acceso a los programas y archivos.
- Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan.
- Asegurar que se estén utilizando los datos, archivos y programas correctos en y por el procedimiento correcto.
- Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro.
- Que la información recibida sea la misma que ha sido transmitida.
- Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.
- Que se disponga de pasos alternativos de emergencia para la transmisión de información.
Sobre esta base el control de accesos constituye un punto vital para el cumplimiento de estos objetivos básicos de la seguridad informática, aplicándose directamente a través del sistema operativo, sobre los sistemas de aplicación, las bases de datos, o en paquetes específicos de seguridad o algún utilitario. En este ámbito la autenticación y la autorización desempeñan un lugar muy importante, que son las categorías que permiten proteger, mantener la integridad y resguardar la información, en fin: la confidencialidad, integridad y disponibilidad de la información.
Muy vinculado a esto se encuentra el rol que desempeña cada uno de los usuarios que implican en dependencia de las necesidades que requiera su actividad la determinación de los derechos de accesos o permisos.
También en este grupo se encuentran las Transacciones, las limitaciones de servicios, la modalidad de acceso, la ubicación y el horario, los controles de accesos interno y externo, así como la administración de los recursos informativos.
A esto se unen los llamados niveles de acceso que fueron expuestos por primera vez en 1983 en el llamado Libro Naranja (Orange Book) cuyo verdadero título es: “Trusted Computer Systems Evaluation Criteria” introducido por el Departamento de Defensa de los Estados Unidos, que clasifica los niveles en D, C, B y A, donde D es el nivel mínimo de seguridad y A es el “diseño verificado”, aunque se introducen otros niveles intermedios ( C1; C2; B1; B2; B3)
En fecha reciente un grupo de países europeos: Alemania, Francia, Gran Bretaña y Holanda han publicado el documento “Information Technology Security Evaluation Criteria (ITSEC)”, con un objetivo similar al del libro naranja, aunque con diferentes niveles que son: F-C1, F-C2, F-B1, F-B2, F-B3, F-IN, F-AV, F-DI, F-DC, F-DX, correspondiendo los cinco primeros con los seis últimos de antecesor norteamericano. Este proceso es lo que se ha dado en conocer como: Evaluación y certificación de la seguridad
