Beruflich Dokumente
Kultur Dokumente
CONTENIDO
DEFINICIN ...................................................................................................................................... 2
1.1
1.2
1.3
1.4
1.5
1.6
QU ES LA SEGURIDAD INFORMTICA?....................................................................................... 2
POR QU LA SEGURIDAD INFORMTICA ES AHORA TAN IMPORTANTE? ....................................... 3
TRES INSTANCIAS DE LA SEGURIDAD ............................................................................................ 5
ESTNDARES ................................................................................................................................ 6
REQUERIMIENTOS DE SEGURIDAD ................................................................................................ 7
ROLES DE SEGURIDAD .................................................................................................................. 8
AMENAZAS................................................................................................................................... 9
RIESGOS ..................................................................................................................................... 11
OTRAS DEFINICIONES ................................................................................................................. 11
REFERENCIAS................................................................................................................................ 17
APNDICES ..................................................................................................................................... 18
8.1
8.2
Noviembre de 2005
Bogot, Colombia
pgina 1
CAPTULO I
INTRODUCCIN A LA SEGURIDAD INFORMTICA
La seguridad informtica es tan fuerte como el ms dbil
de sus mecanismos de apoyo sea; as como una cadena
es tan fuerte como el ms dbil de sus eslabones
1 Definicin
1.1 Qu es la seguridad informtica?
La seguridad de la informacin es un conjunto de procesos,
procedimientos, tareas y actividades implementados con elementos de
computacin y telecomunicaciones para controlar y proteger contra
amenazas que pongan en riesgo los recursos informticos (informacin,
Noviembre de 2005
Bogot, Colombia
pgina 2
pgina 3
Noviembre de 2005
Bogot, Colombia
pgina 4
Noviembre de 2005
Bogot, Colombia
pgina 5
1.4 Estndares
Existen muchos estndares y recomendaciones de estndares
relacionadas con seguridad informtica producidos por diferentes
organizaciones
internacionales
de
estndares.
Las
principales
organizaciones son la ISO (International Organization for Standardization),
la IETF (Internet Engineering Task Force), el IEEE (Institute of Electrical
and Electronics Engineers) y el Instituto Nacional de Estndares y
Tecnologa o NIST (National Institute of Standards and Technology),
sucesor de la Oficina Nacional de Estndares de los Estados Unidos.
En particular, la ISO ha generado un conjunto de recomendaciones
generales de seguridad, algunas de las cuales se relacionan al final del
captulo, en el Apndice.
Para mayor informacin se puede consultar la siguiente direccin:
http://www.iso.org/iso/en/StandardsQueryFormHandler.Standar
dsQueryFormHandler?keyword=security&sortOrder=ISO&scopec
atalogue=CATALOGUE&scopeprogramme=PROGRAMME&title=tr
ue&cacheid=4040564
La IETF (Internet Engineering Task Force) ha publicado una gran cantidad
de recomendaciones denominadas RFC (Request For Comments)
relacionadas con la seguridad informtica y orientadas a Internet. Una
lista parcial se incluye en el Apndice.
Para mayor informacin se recomienda consultar:
http://www.ietf.org/rfc.html
Otra entidad que genera estndares en este tema es el IEEE (Institute of
Electrical and Electronics Engineers). El IEEE dentro de su estndar 802
para redes de rea Local LAN incluye entre los diferentes documentos
de estndares recomendaciones de seguridad. Ejemplos de esto son:
Noviembre de 2005
Bogot, Colombia
pgina 6
pgina 7
Noviembre de 2005
Bogot, Colombia
pgina 8
pgina 9
Noviembre de 2005
Bogot, Colombia
pgina 10
2.2 Riesgos
En forma genrica, un riesgo puede definirse como la probabilidad de
ocurrencia de un siniestro. [2] La ISO define riesgo tecnolgico como la
probabilidad de que una amenaza se materialice, utilizando
vulnerabilidades existentes de un activo o grupo de activos, generndoles
perdidas o daos.
Vase el documento de la referencia [3] que presenta una introduccin al
riesgo informtico.
pgina 11
Noviembre de 2005
Bogot, Colombia
pgina 12
Noviembre de 2005
Bogot, Colombia
pgina 13
Noviembre de 2005
Bogot, Colombia
pgina 14
Noviembre de 2005
Bogot, Colombia
pgina 15
Riesgos
Seguridad implantada
Listados de todos los computadores (caractersticas, usos, plizas,
etc.)
Sistemas instalados (que incluya informacin tal como nombre del
software, sistema operativo, actualizacionesnivel de ltima
versin o actualizacin, configuraciones, requerimientos y usos)
Personal de atencin de desastres (son quienes guiarn las
actividades ante un desastre especfico: debern capacitarse,
entrenarse y ejercitarse para tal eventualidad)
Personal de control (para revisin permanente de lo que se est
haciendo y que realice recomendaciones).
pgina 16
7 Referencias
[1] RUBIO, J. (1999) Seguridad en Redes de Computadores, Diplomado
en Telemtica y Negocios por Internet, Escuela Colombiana de Ingeniera,
Bogot. Documento indito.
[2] Glosario de trminos, consultado en:
www.aach.cl/html/general/glosario/glosario.asp
[3] SENA L. y TENZER, S. M. (8/2004) Introduccin al Riesgo
Informtico, FCEA, Ctedra Introduccin a la Computacin, Facultad de
Ciencias Econmicas y de Administracin, Universidad de la Repblica,
Montevideo, Uruguay. Consultado en:
http://www.ccee.edu.uy/ensenian/catcomp/material/riesgo.pdf
[4] Espiera, Sheldon y Asociados, Firma miembro de Price-WaterhouseCoopers (5/2005) Respuesta a incidentes de seguridad, publicado en pcnews.com. Consultado el 11 de octubre de 2005 en:
http://www.pc-news.com/detalle.asp?sid=&id=11&Ida=1950
Noviembre de 2005
Bogot, Colombia
pgina 17
8 Apndices
8.1 Algunos estndares de la ISO
Noviembre de 2005
Bogot, Colombia
pgina 18
ISO 9979: Information technology -- Security techniques -Procedures for the registration of cryptographic algorithms
ISO 10116: Information technology -- Security techniques -Modes of operation for an n-bit block cipher
ISO 10118: Information technology -- Security techniques -Hash-functions
- Part 1: General
- Part 2: Hash-functions using an n-bit block cipher
- Part 3: Dedicated hash-functions
- Part 4: Hash-functions using modular arithmetic
ISO10736: Information technology -- Telecommunications and
information exchange between systems -- Transport layer
security protocol
ISO10745: Information technology -- Open Systems
Interconnection -- Upper layers security model
ISO 11577: Information technology -- Open Systems
Interconnection -- Network layer security protocol
ISO 13335: Information technology -- Security techniques -Management of information and communications technology
security
- Part 1: Concepts and models for information and
communications technology security management
- Part 2: Information security risk
- Part 3: Techniques for the management of IT Security
- Part 4: Selection of safeguards
- Part 5: Management guidance on network security
(available in English only)
ISO 15408: Information technology -- Security techniques -Evaluation criteria for IT security
Part 1: Introduction and general model
- Part 2: Security functional
- Part 3: Security assurance requirements
ISO 15816: Information technology -- Security techniques -Security information objects for access control
ISO 15946: Information technology -- Security techniques -Cryptographic techniques based on elliptic curves
- Part 1: General
- Part 2: Digital
- Part 3: Key establishment
- Part 4: Digital signatures giving message recovery
ISO 18028: Information technology -- Security techniques -- IT
network security
- Part 1: Network security
- Part 2: Network security architecture
Noviembre de 2005
Bogot, Colombia
pgina 19
Noviembre de 2005
Bogot, Colombia
pgina 20
Noviembre de 2005
Bogot, Colombia
pgina 21