1

CORPORACION UNIVERSITARIA REMINGTON

INGENIERIA DE SISTEMAS
PROFESOR: ING. JOSE TRINIDAD GELVEZ MARTINEZ
SEGURIDAD INFORMATICA

La seguridad informática consiste en asegurar que los recursos del sistema de información (material informático o programas) de una
organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida así como su modificación sólo
sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización.

Podemos entender como seguridad un estado de cualquier tipo de información (informático o no) que nos indica que ese sistema está
libre de peligro, daño o riesgo. Se entiende como peligro o daño todo aquello que pueda afectar su funcionamiento directo o los
resultados que se obtienen del mismo. Para la mayoría de los expertos el concepto de seguridad en la informática es utópico porque no
existe un sistema 100% seguro. Para que un sistema se pueda definir como seguro debe tener estas cuatro características:

 Integridad: La información sólo puede ser modificada por quien está autorizado y de manera controlada.
 Confidencialidad: La información sólo debe ser legible para los autorizados.
 Disponibilidad: Debe estar disponible cuando se necesita.
 Irrefutabilidad (No repudio): El uso y/o modificación de la información por parte de un usuario debe ser irrefutable, es decir, que el
usuario no puede negar dicha acción.

Dependiendo de las fuentes de amenaza, la seguridad puede dividirse en seguridad lógica y seguridad física.

En estos momentos la seguridad informática es un tema de dominio obligado por cualquier usuario de la Internet, para no permitir que
su información sea comprometida.

Términos relacionados con la seguridad informática

 Activo: recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y
alcance los objetivos propuestos.
 Amenaza: es un evento que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas
inmateriales en sus activos.
 Impacto: medir la consecuencia al materializarse una amenaza.
 Riesgo: posibilidad de que se produzca un impacto determinado en un Activo, en un Dominio o en toda la Organización.
 Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo.
 Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.
 Desastre o Contingencia: interrupción de la capacidad de acceso a información y procesamiento de la misma a través de
computadoras necesarias para la operación normal de un negocio.

Aunque a simple vista se puede entender que un Riesgo y una Vulnerabilidad se podrían englobar un mismo concepto, una definición
más informal denota la diferencia entre riesgo y vulnerabilidad, de modo que se debe la Vulnerabilidad está ligada a una Amenaza y el
Riesgo a un Impacto.

Objetivos

Los activos son los elementos que la seguridad informática tiene como objetivo proteger. Son tres elementos que conforman los activos:

Información

Es el objeto de mayor valor para una organización, el objetivo es el resguardo de la información, independientemente del lugar en
donde se encuentre registrada, en algún medio electrónico o físico.

Equipos que la soportan.

Software, hardware y organización.
Usuarios
Individuos que utilizan la estructura tecnológica y de comunicaciones que manejan la información.
 2
Análisis de riesgos

El activo más importante que se posee es la información y, por lo tanto, deben existir técnicas que la aseguren, más allá de la seguridad
física que se establezca sobre los equipos en los cuales se almacena. Estas técnicas las brinda la seguridad lógica que consiste en la
aplicación de barreras y procedimientos que resguardan el acceso a los datos y sólo permiten acceder a ellos a las personas autorizadas
para hacerlo.

Existe un viejo dicho en la seguridad informática que dicta: "lo que no está permitido debe estar prohibido" y ésta debe ser la meta
perseguida.

Los medios para conseguirlo son:

1. Restringir el acceso (de personas de la organización y de las que no lo son) a los programas y archivos.
2. Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin
una supervisión minuciosa).
3. Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido.
4. Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro.
5. Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentes puntos.
6. Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos, en todos y cada
uno de los sistemas o aplicaciones empleadas.
7. Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo.

Los derechos de acceso de los operadores deben ser definidos por los responsables jerárquicos y no por los administradores
informáticos, los cuales tienen que conseguir que los recursos y derechos de acceso sean coherentes con la política de seguridad
definida. Además, como el administrador suele ser el único en conocer perfectamente el sistema, tiene que derivar a la directiva
cualquier problema e información relevante sobre la seguridad, y eventualmente aconsejar estrategias a poner en marcha, así como ser
el punto de entrada de la comunicación a los trabajadores sobre problemas y recomendaciones en término de seguridad.

Las amenazas

Una vez que la programación y el funcionamiento de un dispositivo de almacenamiento (o transmisión) de la información se consideran
seguras, todavía deben ser tenidos en cuenta las circunstancias "no informáticas" que pueden afectar a los datos, las cuales son a
menudo imprevisibles o inevitables, de modo que la única protección posible es la redundancia (en el caso de los datos) y la
descentralización -por ejemplo mediante estructura de redes- (en el caso de las comunicaciones). Estos fenómenos pueden ser
causados por:

 El usuario: causa del mayor problema ligado a la seguridad de un sistema informático (porque no le importa, no se da cuenta o a
propósito).
 Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Es instalado (por
inatención o maldad) en el ordenador abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus
informático, un gusano informático, un troyano, una bomba lógica o un programa espía o Spyware.
 Un intruso: persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido (cracker, defacer, script
kiddie o Script boy, viruxer, etc.).
 Un siniestro (robo, incendio, por agua): una mala manipulación o una malintención derivan a la pérdida del material o de los
archivos.
 El personal interno de Sistemas. Las pujas de poder que llevan a disociaciones entre los sectores y soluciones incompatibles para la
seguridad informática.

Técnicas de aseguramiento del sistema

 Codificar la información: Criptología, Criptografía y Criptociencia, contraseñas difíciles de averiguar a partir de datos personales
del individuo.
 Vigilancia de red.
 Tecnologías repelentes o protectoras: cortafuegos, sistema de detección de intrusos - antispyware, antivirus, llaves para
protección de software, etc. Mantener los sistemas de información con las actualizaciones que más impacten en la seguridad.
 3
Consideraciones de software

Tener instalado en la máquina únicamente el software necesario reduce riesgos. Así mismo tener controlado el software asegura la
calidad de la procedencia del mismo (el software obtenido de forma ilegal o sin garantías aumenta los riesgos). En todo caso un
inventario de software proporciona un método correcto de asegurar la reinstalación en caso de desastre. El software con métodos de
instalación rápidos facilita también la reinstalación en caso de contingencia. Existe software que es conocido por la cantidad de
agujeros de seguridad que introduce. Se pueden buscar alternativas que proporcionen iguales funcionalidades pero permitiendo una
seguridad extra.

Consideraciones de una red

Los puntos de entrada en la red son generalmente el correo, las páginas web y la entrada de ficheros desde discos, o de ordenadores
ajenos, como portátiles.

Mantener al máximo el número de recursos de red sólo en modo lectura, impide que ordenadores infectados propaguen virus. En el
mismo sentido se pueden reducir los permisos de los usuarios al mínimo.

Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan trabajar durante el tiempo inactivo de las
máquinas.

Controlar y monitorizar el acceso a Internet puede detectar, en fases de recuperación, cómo se ha introducido el virus.

Algunas afirmaciones erróneas comunes acerca de la seguridad

 Mi sistema no es importante para un cracker. Esta afirmación se basa en la idea de que no introducir contraseñas seguras en
una empresa no entraña riesgos pues ¿quién va a querer obtener información mía?. Sin embargo, dado que los métodos de contagio se
realizan por medio de programas automáticos, desde unas máquinas a otras, estos no distinguen buenos de malos, interesantes de no
interesantes, etc. Por tanto abrir sistemas y dejarlos sin claves es facilitar la vida a los virus.
 Estoy protegido pues no abro archivos que no conozco. Esto es falso, pues existen múltiples formas de contagio, además los
programas realizan acciones sin la supervisión del usuario poniendo en riesgo los sistemas.
 Como tengo antivirus estoy protegido. En general los programas antivirus no son capaces de detectar todas las posibles formas
de contagio existentes, ni las nuevas que pudieran aparecer conforme los ordenadores aumenten las capacidades de comunicación,
además los antivirus son vulnerables a desbordamientos de búfer que hacen que la seguridad del sistema operativo se vea más afectada
aún.
 Como dispongo de un firewall no me contagio. Esto únicamente proporciona una limitada capacidad de respuesta. Las formas
de infectarse en una red son múltiples. Unas provienen directamente de accesos al sistema (de lo que protege un firewall) y otras de
conexiones que se realizan (de las que no me protege). Emplear usuarios con altos privilegios para realizar conexiones puede entrañar
riesgos, además los firewalls de aplicación (los más usados) no brindan protección suficiente contra el spoofing.
 Tengo un servidor web cuyo sistema operativo es un unix actualizado a la fecha: Puede que este protegído contra ataques
directamente hacia el núcleo, pero si alguna de las aplicaciones web (PHP, Perl, Cpanel, etc.) está desactualizada, un ataque sobre algún
script de dicha aplicación puede permitir que el atacante abra una shell y por ende ejecutar comandos en el unix.

RIESGOS FÍSICOS.

Los riesgos físicos pueden dividirse en riesgos naturales, los procedentes del entorno natural, y riesgos “de vecindad”, los procedentes
del entorno creado por el hombre. Los riesgos cuya causa primaria es natural pero que tienen a la acción o inacción humana como un
factor contribuyente producido por trabajos de minería, se incluyen dentro de los riesgos naturales.

Riesgos Naturales:

1 Hundimientos. El ajuste natural del suelo, el hundimiento de alcantarillas y conducciones de agua, o las fallas producidas por
trabajos de minería.
2 Daños por viento. Pueden producirse por los efectos de vientos de alta velocidad. La ubicación en una de las zonas
consideradas como “peligrosas” llevará consigo un aumento de precio en la póliza de seguro, caso de contratarse.
3 Descargas eléctricas atmosféricas. El uso de pararrayos y otros métodos modernos de protección de edificios hacen muy
pequeño el riesgo de daños estructurales. Sin embargo, hay riesgos en cuanto al abastecimiento de energía eléctrica. Los sistemas de
 4
comunicaciones pueden también estar expuestos a estos riesgos por efectos de las descargas en las líneas de transmisión, causando
interferencias en los mensajes.
4 Deslizamiento del suelo. El barro o tierra de terrenos altos, o materiales de desechos o escombreras, pueden llegar a ser
inestables, particularmente después de periodos de lluvias, en el caso de que el terreno tenga pendientes notables.
5 Inundación. Pueden producirse por tierras bajas adyacentes a ríos o al mar, lagos o desbordamientos de presas, rotura de
diques de canales, fuertes tormentas, rotura de conducciones de agua, debilitamiento del drenaje natural o inadecuado drenaje.
6 Terremotos. Está perfectamente limitada a determinadas zonas geográficas. Los posibles daños son tales que pueden ser
graves e incluso si la estructura ha sido bien diseñada para aguantar, son tales los accesos, servicios públicos y abastecimientos al lugar
pueden ser severamente dañados.
Todos los riesgos que se han descrito pueden evitarse mediante la elección de un lugar o localidad apropiada. En caso contrario, la
elección del emplazamiento, la adopción de medidas apropiadas en el diseño del edificio pueden probablemente superar mucho de los
inconvenientes naturales del lugar. Si la elección está restringida a un edificio existente, parte de los riesgos pueden ser inevitables,
debiendo sin embargo identificarse y analizarse sus posibles efectos con detalle, adoptando las medidas adecuadas para reducirlos o, en
su caso, transferirlo.

Riesgos de Vecindad:

1 Riesgos por proximidad. Equipamiento adyacentes, fábricas o edificios próximos pueden ser fuentes de posibles riesgos por causas
tales como fuego, explosión, materiales tóxicos o corrosivos, polvo abrasivo, ruido, radiación electromagnética y vibración.
2 Transportes. Pueden presentar riesgos tales como causas directas, como colisión y la posible liberación de explosivos, materiales
inflamables, corrosivos, tóxicos o radiactivos, o indirectas, como contaminación atmosférica, ruido o vibración.
3 Servicios públicos. En estos servicios se incluyen: electricidad, gas, agua, alcantarillado, drenaje, correos y transportes, servicios de
bomberos, ambulancias y demás servicios de emergencia.
4 Riesgos sociopolíticos. Son particularmente difíciles de prever. Estos son los ataques vandálicos, manifestaciones, terrorismos, etc.
Un lugar discreto para el edificio es la mejor primera línea de defensa, debiendo adoptarse además las medidas adecuadas para la
seguridad del lugar que impidan una entrada forzada en el mismo, junto a la debida asistencia profesional para las situaciones de
emergencia.

Seguridad Física

Las medidas de seguridad física pueden ser divididas en dos grandes categorías: contra factores ambientales como el fuego, la humedad,
las inundaciones, el calor o el frío y los fallos en el suministro de energía; y contra interferencias humanas sean deliberadas o
accidentales.

La Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y
contramedidas ante amenazas a los recursos e información confidencial"(*). Se refiere a los controles y mecanismos de seguridad
dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el
hardware y medios de almacenamiento de datos.

Otros aspectos de la seguridad física es prevenir el acceso de personas no autorizadas. Si cualquiera puede entrar en su sala de
computadoras, sentarse delante de una y comenzar a trabajar sin que nadie le diga nada, entonces tiene un verdadero problema. El
control del acceso a las computadoras hace que sea más difícil que alguien robe o que dañe los datos o el equipo.
Las principales amenazas que se prevén en la seguridad física son:
1. Desastres naturales, incendios accidentales tormentas e inundaciones.
2. Amenazas ocasionadas por el hombre.
3. Disturbios, sabotajes internos y externos deliberados.

Medidas para mejorar la seguridad física de su instalación:

 No deje el sistema, las unidades de cinta, las terminales o las estaciones de trabajo sin vigilancia durante largos períodos de tiempo.
Conviene establecer algunas restricciones de acceso en los lugares donde se encuentren estos dispositivos.
 No deje la consola del sistema u otros dispositivos de terminal conectados como raíz y sin supervisión alguna.
 Sensibilice a los usuarios del sistema sobre los riesgos que amenazan la seguridad física del equipo.
 Guarde las copias de seguridad en una zona segura y limite el acceso a dicha zona.

Contra factores ambientales

 5
Cuando la tecnología es alimentada por electricidad (y la mayoría lo es), la seguridad de la fuente de energía es crucial. Incluso en
países desarrollados con redes de suministros bien establecidas, la energía puede ser cortada sin previo aviso. En los países de menor
desarrollo el suministro de energía puede ser errático, intermitente o inexistente.

Por tanto, en todos los casos en que el suministro continuo de energía sea crucial, los suministros de emergencia o respaldo deben ser
parte integral del sistema tecnológico.

Una fuente común de respaldo de energía es el denominado Suministro de Energía Ininterrumpible (UPS por sus siglas en inglés). Suele
conectarse un UPS entre la principal fuente de energía y el componente tecnológico, como un equipo de cómputo. Si la principal fuente
de suministro falla, la batería incluida en el UPS entra en operación inmediatamente y se hace cargo del suministro de energía.

Algunos sistemas UPS son lo suficientemente poderosos para mantener el sistema en operación por un periodo prolongado, por lo que
es posible que los usuarios ni siquiera se percaten que la principal fuente de suministro ha fallado y pueden seguir trabajando.
Sin embargo, como esta clase de sistemas UPS requieren de potentes baterías para operar, suelen ser muy costosos. Otro tipo de
sistemas UPS menos costoso no pueden servir como sistemas de reemplazo durante mucho tiempo.

En estos casos, el UPS activa una batería de respaldo temporal y emite una señal de alarma a los administradores y usuarios del sistema,
indicando que la principal fuente ha fallado para que los usuarios cierren sus sistemas de manera ordenada. Este tipo de sistemas UPS
pretenden prevenir la pérdida o alteración accidental de información por problemas en el suministro de energía, permitiendo el cierre
controlado de un sistema más que garantizando que el trabajo pueda continuar mediante energía de respaldo.
La otra función de los sistemas UPS es la de regular variaciones o sobrecargas en el suministro de energía. Si bien las fuentes de energía
buscan proveer un nivel de electricidad constante, ocasionalmente pueden producir sobrecargas en el suministro. Las descargas pueden
ser peligrosas para los equipos de cómputo y pueden quemar fusibles o componentes del equipo. Un sistema UPS intercepta una
sobrecarga y evita que llegue a un equipo sensible.
Otro método común de asegurar un suministro de energía confiable es a través del uso de generadores. Existen distintos tipos de
generadores que son alimentados por diferentes clases de combustible, normalmente petróleo o diesel. Los generadores pueden ser
utilizados sistemáticamente, sobre todo donde las principales fuentes de suministro eléctrico son poco confiables o inexistentes, o como
sistemas de respaldo o emergencia cuando falle la fuente principal. Los generadores pueden usarse de manera conjunta con los
sistemas UPS.

Cuando se utiliza un generador como la principal fuente de suministro, es recomendable contar con uno o más generadores de
reemplazo. Su mantenimiento regular puede garantizar su efectiva operación continua.
Otro aspecto importante de la seguridad física es asegurar que el equipo tecnológico, especialmente el de cómputo, esté debidamente
resguardado.
Idealmente, el equipo de cómputo debe ser almacenado en edificios sellados con control de clima, para que la temperatura y la
humedad se mantengan a un nivel óptimo constante y se eliminen contaminantes como la suciedad, el polvo y el humo. Es usual que los
sistemas convencionales de aire acondicionado que se utilizan para controlar la temperatura en los edificios se empleen para estos
efectos.

Sin embargo, en ambientes particularmente difíciles o en el caso de equipo muy sensible, los sistemas convencionales de aire
acondicionado pueden no ser suficientes y se requiere instalar sistemas especiales para el control climático. Una solución puede ser la
de concentrar todo el equipo en edificios o salones especialmente habilitados y donde opere un sistema especial de aire acondicionado
controlado por especialistas.

Los edificios o salones que alberguen equipos de cómputo u otros componentes tecnológicos deben protegerlo contra temperaturas
extremas y contra ingreso de contaminantes como el polvo, la arena y el humo. Los salones deben ser aseados periódicamente. Los
residuos del humo del cigarrillo pueden dañar los equipos de cómputo por lo que de ser posible no se debe permitir fumar en los sitios
de trabajo tanto por la salud de los trabajadores como del equipo.

El equipo que se utilice en espacios abiertos o en edificios poco seguros, como el que utilizan las unidades móviles de votación, debe
venir con sus propios resguardos para asegurar que los factores ambientales externos, como el polvo o la humedad, no los afecten.
Puede ser necesario usar equipo que haya sido fabricado expresamente para su uso en sitios remotos, asegurándose que sea sólido y
capaz de funcionar bajo circunstancias adversas.

El equipo de comunicación es otro tipo de tecnología que requiere seguridad física especial. En particular los cables de conexión de las
redes de cómputo requieren gran seguridad. Entre las formas de proteger los cables contra la amenaza de roedores o humanos puede
ser colocarlos dentro de ductos, tras paredes, bajo piso o bajo techo, instalar pisos falsos para permitir que los cables circulen sin
 6
problema, enterrarlos o montarlos sobre poleas. Cuando los cables estén en riesgo, se pueden considerar alternativas como las de
enlace a través de microondas.

Contra factores humanos

Muchas de las medidas tomadas para garantizar la seguridad contra factores ambientales también pueden ser utilizadas para prevenir
ingerencias humanas deliberadas o accidentales. El aislamiento físico, como colocar componentes clave o los servidores de las redes en
salones especiales, puede ayudar a reducir la posibilidad de intervención humana.

De igual forma, colocar los cables de las redes dentro de las paredes o bajo suelos y techos torna difícil acceder a ellos. Sin embargo, la
medida física más efectiva que se puede tomar para prevenir la intervención humana es la de ubicar la tecnología dentro de sitios
seguros bajo llave. La tecnología moderna ofrece un amplio catálogo de dispositivos sofisticados que pueden restringir la entrada a
edificios o salones solo al personal autorizado. Entre ellos: Candados y cerrojos convencionales, Cerrojos operados por códigos de
acceso (mecánicos o automatizados), Cerrojos operados por tarjetas con bandas magnéticas, Cerrojos que reconocen rasgos físicos,
como las huellas dactilares, de la mano o la retina, Cerrojos que requieren una combinación de dos o más de estos dispositivos.

La ventaja de los cerrojos más sofisticados que utilizan sistemas de cómputo para validar la entrada es que pueden ser utilizados para
monitorear que individuos han ingresado a un recinto y cuándo. Los que utilizan rasgos físicos van un paso adelante y aseguran que solo
los individuos identificados y verificados tengan acceso. Los cerrojos que no incorporan rasgos biológicos no son tan seguros ya que
siempre es posible que alguien robe una tarjeta o los códigos de acceso.

La vigilancia es otro mecanismo de seguridad. Se pueden utilizar guardias de seguridad para controlar el acceso a un recinto. Los
guardias pueden utilizar cámaras de seguridad para monitorear distintas áreas de acceso. Se pueden emplear censores para monitorear
la actividad y activar alarmas en caso de riesgo.

Si la seguridad fija es muy costosa, se pueden utilizar servicios de seguridad a petición expresa (llamada telefónica) a una tasa menor
que pueden patrullar periódicamente las instalaciones y atender llamadas de emergencia. Se pueden instalar sistemas que no solo
activen alarmas a nivel local sino también en sitios remotos como una estación de policía o un puesto de seguridad.

Si bien los cerrojos y la vigilancia son buenos sistemas de seguridad, el nivel total de seguridad solo será tan bueno como lo sea el
eslabón más débil de la cadena. Por ejemplo, muchos edificios permiten la circulación humana entre pisos a través de los ductos de
servicio. Es importante asegurar que las restricciones de acceso a la tecnología no puedan simplemente ser burladas por una persona
que se filtra por los accesos para el aire acondicionado.

Si la seguridad física de la tecnología electoral es de gran importancia, puede valer la pena emplear un experto en seguridad que realice
una auditoria de todas las instalaciones para asegurar que se han tomado todas las medidas y precauciones necesarias.
La forma final de seguridad contra la intervención humana es la de dificultar o hacer imposible que una persona no autorizada pueda
acceder o modificar los datos contenidos en un sistema de cómputo. Esto se puede lograr a través del uso de contraseñas y el
encriptamiento.

Control de Accesos

El control de acceso no sólo requiere la capacidad de identificación, sino también asociarla a la apertura o cerramiento de puertas,
permitir o negar acceso basado en restricciones de tiempo, área o sector dentro de una empresa o institución.

SEGURIDAD LOGICA

La Seguridad Lógica consiste en la "aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita
acceder a ellos a las personas autorizadas para hacerlo."
Los objetivos que se plantean serán:
1. Restringir el acceso a los programas y archivos.
2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que
no correspondan.
3. Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el procedimiento correcto.
4. Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro.
5. Que la información recibida sea la misma que ha sido transmitida.
6. Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.
7. Que se disponga de pasos alternativos de emergencia para la transmisión de información.
 7

Controles de Acceso

Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de aplicación, en bases de datos, en un paquete
específico de seguridad o en cualquier otro utilitario. Constituyen una importante ayuda para proteger al sistema operativo de la red, al
sistema de aplicación y demás software de la utilización o modificaciones no autorizadas; para mantener la integridad de la información
(restringiendo la cantidad de usuarios y procesos con acceso permitido) y para resguardar la información confidencial de accesos no
autorizados.

Asimismo, es conveniente tener en cuenta otras consideraciones referidas a la seguridad lógica, como por ejemplo las relacionadas al
procedimiento que se lleva a cabo para determinar si corresponde un permiso de acceso (solicitado por un usuario) a un determinado
recurso. Al respecto, el National Institute for Standars and Technology (NIST)(*) ha resumido los siguientes estándares de seguridad que
se refieren a los requisitos mínimos de seguridad en cualquier sistema:
· Identificación y Autentificación
· Roles
· Transacciones
· Limitaciones a los Servicios
· Modalidad de Acceso
· Ubicación y Horario
· Control de Acceso Interno
· Control de Acceso Externo
· Administración