Antonio Jesús Sánchez Castillejo Gestión de Sistemas Informatizados

Ingeniería en Organización Industrial Ejercicio 5: Seguridad

Ejercicio 1:

Dependiendo de la finalidad de un sistema, los

responsables de su seguridad le deberían dar más prioridad a un
aspecto u otro (confidencialidad, integridad, disponibilidad):

¿Cuál de los tres aspectos sería más importante garantizar en un

sistema militar?
Aquí lo más importante sería la confidencialidad, por el tema de que
siempre hay que asegurarse que los datos almacenados no se difundan bajo ningún
concepto debido a su alto nivel de secretismo.

¿Y en un sistema de un banco?
El aspecto más importante en un banco sería la integridad, debido a que los
datos almacenados (hablamos de dinero, !ojo!) en las cuentas de los clientes deben de
tener un exhaustivo control para ser modificados sólo por aquellas personas autorizadas.

¿Y en un sistema que actúa de servidor NFS en una universidad?

En este caso la disponibilidad sería la característica más importante, ya que
en este caso la información va a tener muchísimos accesos al día, de personas distintas y
esta debería estar siempre disponible para cada persona que consulte la información a la
que tenga acceso.

Ejercicio 2:

Un empleado poco satisfecho ha robado varios discos duros de

muy alta calidad con datos de la empresa. ¿Qué importa más, el costo
de esos discos o el valor de los datos?

El valor de los datos almacenados es, por norma general, mucho más importante
que el disco duro en sí, ya que tales datos habrán requerido un cierto esfuerzo o trabajo
almacenarlos, o simplemente son confidenciales, o en general, cualquiera característica
que los haga extremadamente valiosos.
Antonio Jesús Sánchez Castillejo Gestión de Sistemas Informatizados

Ingeniería en Organización Industrial Ejercicio 5: Seguridad

Ejercicio 3:

Clasifique los siguientes ataques:

Robo de un disco duro

Esto es una interrupción, porque hace que, tras esta acción, la información
no esté disponible a todo el mundo.

Borrado de un fichero
Esto es una modificación, porque se produce una destrucción irreversible
de la información.

Captura de información que viaja a través de una red

Es una intercepción, ya que se produce un acceso a un elemento que está
viajando por la red por parte de una persona no autorizada que lo captura.

Utilización de un software pirata por parte de un empleado de la

empresa
Esto es una fabricación, porque el empleado intenta modificar la
información final a partir de un software pirata siendo difícil la distinción de tal
información al incio y al final

Ejercicio 4:

Si un sistema de autenticación biométrica tiene una tasa de falso

rechazo elevada (FRR) ¿para quién sería más perjudicial, para los
usuarios o para el sistema? ¿Y si fuera elevada la tasa de falsa
aceptación (FAR)?
Si la FRR es alta, es más perjudicial para los usuarios, ya que es obvio, que si el
sistema rechaza a todos estos usuarios porque no es capaz de identificarlos
correctamente, limita el acceso al mismo de todas estas personas totalmente legales.
Antonio Jesús Sánchez Castillejo Gestión de Sistemas Informatizados

Ingeniería en Organización Industrial Ejercicio 5: Seguridad

Si, por el contrario, lo que es alta es la FAR, entonces el sistema sale perdiendo,
debido a que dejaría acceder con una alta probabilidad a usuarios que no están
autorizados, pudiendo causar unos destrozos de alta consideración en tal sistema.

Ejercicio 5:

Describa las posibilidades de las listas de control de acceso y de

las listas de capacidades en términos de:

Facilidad para determinar un acceso autorizado durante la

ejecución de un proceso
En el caso de usar listas de control de acceso habría que buscar, en la lista de
control de acceso del objeto al que se desea acceder, si el proceso en ejecución (usuario)
tiene los derechos para acceder al objeto.

Si se usa listas de capacidades habría que buscar en la lista del proceso (usuario)
los permisos que tiene para acceder al objeto determinado.

En este caso los dos mecanismos tienen prácticamente la misma facilidad para
determinar el acceso de un usuario a un objeto

Facilidad para añadir un acceso para un nuevo sujeto

Si se usan listas de control, habría que añadir para cada objeto que nos interese,
los permisos para el nuevo sujeto. No obstante es más fácil en este caso determinar el
acceso de un usuario a un objeto mediante una lista de capacidades, ya que al nuevo
sujeto se le asignarían los derechos correspondientes para los objetos deseados.

Facilidad para borrar un acceso de un sujeto

Aquí también sería más fácil utilizar listas de capacidades, ya que al sujeto en
cuestión se le borra la capacidad de acceso determinada. Sin embargo, en una lista de
control, para borrar un acceso de un sujeto, habría que borrar de todos los objetos que
contengan a dicho usuario como posible usuario, valga la redundancia, que pueda acceder
a tales objetos, siendo esta una tarea más tediosa.
Antonio Jesús Sánchez Castillejo Gestión de Sistemas Informatizados

Ingeniería en Organización Industrial Ejercicio 5: Seguridad

Facilidad para crear un objeto nuevo al cual deberían tener

acceso todos los sujetos
Aquí es más fácil con una lista de control crear un objeto y enumerar todos los
sujetos que deban tener acceso. Sería más tedioso con una lista de capacidades ir sujeto
por sujeto añadiendo el posible acceso al objeto nuevo

Ejercicio 6:

Considere los siguientes sujetos de un sistema con sus etiquetas:

María -> Público [Ventas]

Pedro -> Empleado [Ventas Personal]

Jesús -> Directivo [Ventas Marketing]

Rosa -> Propietario [Ventas]

¿Cuáles de estos usuarios pueden leer el fichero Venta03 cuya etiqueta

es Directivo [Ventas Marketing]? ¿Cuáles podrían escribir en el mismo
fichero?

Según las reglas de Lectura estudiadas en el tema, en el fichero Venta03 sólo

puede leer Jesús, porque Rosa, a pesar de tener rango de Propietario no tiene Marketing
entre sus categorías.

Por otra parte, y según también las reglas estudiadas de Escritura en el tema,
podrían escribir en tal fichero Jesús y María, ya que Pedro, a pesar de tener el rango
menor de Empleado, la categoría de Personal no está incluida en el objeto.
Antonio Jesús Sánchez Castillejo Gestión de Sistemas Informatizados

Ingeniería en Organización Industrial Ejercicio 5: Seguridad

Ejercicio 7:

Considere un sistema en el que se realizan copias de seguridad

completas y progresivas ¿Cómo se puede recuperar el sistema
completo? ¿Y un fichero individual?
A partir de la copia de seguridad completa se puede recuperar el sistema
completo, ya que esta copia todos los ficheros que existen en ese momento en el sistema.
Para recuperar un fichero individual, si este ha sido modificado hay que acudir a la copia
progresiva, puesto que esta habrá copiado todo áquel fichero modificado desde la última
copia completa o progresiva. Si el fichero no ha sido modificado habría que ver la última
copia completa del sistema que se hizo.

Considere un sistema en el que se realizan copias de seguridad

completas y diferenciales ¿Cómo se puede recuperar el sistema
completo? ¿Y un fichero individual?
Como en el caso anterior, para recuperar todos los ficheros nos serviríamos
de la copia completa por el mismo caso que el anterior. Al hacer copias diferenciales, si el
fichero ha sido creado o modificado desde la última copia completa pues se puede
recuperar a partir de la copia diferencial.