Introduccin a la seguridad de la informacin

El objetivo de la seguridad de la informacin es evitar riesgos potenciales,

ya sean por una accin intencionada o no; que suponga robo, daos que
impidan el funcionamiento normal de una organizacin.

Riesgos

- Amenazas
-Vulnerabilidades (Aqu podemos actuar)
- Coste

No solo se ha de proteger la informacin dentro del ordenador o dentro de la

red, si no tambin, durante su transmisin.
Desde un punto de vista genrico la seguridad se centra en dos aspectos:
-Tcnico
-Factor humano
Ingeniera Social (Estudiar a la gente para sacarle informacin).

Medidas de proteccin
1 Nivel: Lgicas
2 Nivel: Fsicas
3 Nivel: Administrativas
4 Nivel: Legislacin

1 Nivel: Medidas Lgicas

Tambin llamadas tcnicas se utilizan para proteger el sw. Para ello
utilizamos herramientas fsicas o hw como herramientas lgicas sw. Como
ejemplo de estas medidas que podemos adoptar tenemos:
-La criptografa ( la criptologa comprende criptografa y el criptoanlisis )
-Sistemas Operativos (que permiten contraseas, tienen registro de
eventos, podemos
controlar el acceso a ciertos datos).
-Las BD ( Bases de datos ) junto con los SGBD ( Sistema gestor de bases de
datos ).
-Seguridad en redes.
2 Nivel: Medidas Fsicas
Proteccion fsica ante robos, ante peligros elctricos, inundaciones incendios
etc
Suelen ser las primeras que se adoptan.
3 Nivel: Medidas Administrativas
-Poltica de seguridad.
-Establecimiento de responsabilidades ( jerarqua ).
-Gestin de personal

4 Nivel: Medidas Legislativas

Todas las medidas que se tomen han de ser acorde a la ley.

Arquitectura de seguridad OSI

ROU

Aplicacin
Presentacin
Sesin
Transporte
Red
Enlace D
Fsica

PRINCIPIOS GENERALES DE SEGURIDAD

Aplicacin
Presentacin
Sesin
Transporte
Red
Enlace D
Fsica

Principio de contabilidad: existen unos principios principales de seguridad

los mas destacarles:
OCDE organizacin de cooperacin y desarrollo econmico.
ISSA informativo sistemas secura asociativo.

Principio de conciencian: educacin en temas de seguridad de los

empleados.

Principio de tica: Nunca se ha de exigir algo que no conforme a los

principios ticos que se observan tanto a nivel personal como a nivel
profesional.

Principio de multidisciplinario: Las medidas que se adoptan no suelen

ser de un solo tipo, si no que suelen combinarse con otras medidas.

Principio de proporcionalidad: significa que las medidas que se adopten

han de ser consecuentes con lo que se desea proteger.

Principio de integracin: las medidas que se adopten han de tomarse de

medida coordinada con las dems fuerzas de la empresa.

Principio de acompaamiento: Las medidas que se adopten han se ser

acordes a las medidas establecidas por los organismos superiores.

Principio de re evaluacin: Significa que las medidas han de estar en

constante observacin para ver si es necesario modificarlas.

Principio de democracia: se refiere a que hay que respetar los derechos

de los usuarios y de todas las personas involucradas.

Principio del mnimo privilegio: He refiere a otorgar solo aquellos

privilegios que sean necesarios para realizar la labor encomendada.

Principio de separacin de tareas y responsabilidades: Hay que pedir

solamente a aquellos a los que sea encomendado la realizacin de ciertas
tareas.

Principio de continuidad: las medidas se establecen con la intencin de

que perduren en el tiempo.

Principio de anticipacin: Es mejor adoptar si es posible medidas

preventivas antes que medidas correctivas.

ORGANISMOS DE ESTANDARIZACIN

Existen diferentes organismos internacionales que se encargan de establecer como

estndares determinados sistemas, productos y equipos, entre los que tambin
se encuentran algoritmos y protocolos criptogrficos. Estos organismos son los que
determinan la calidad y fiabilidad de los diferentes sistemas y productos para su
uso comercial. La mayor parte de los organismos son entidades independientes
(aunque otras pertenezcan a organismos gubernamentales).
Los organismos de estandarizan internacionales ms importantes son los
siguientes:
- ANSI (American National Standards Institute): el Instituto Nacional Americano
de Estndares (http://www.ansi.org/), es una organizacin norteamericana
que supervisa el desarrollo de estndares para productos, servicios,
procesos y sistemas. Es miembro de ISO y de IEC.
Tambin se encarga de la coordinacin entre los estndares norteamericanos
e internacionales.

IEC (International Electrotechnical Commission): la Comisin Electrotcnica

Internacional (http://www.iec.ch/) es un organismo de estandarizacin en
los campos elctrico, electrnico y de otras tecnologas relacionadas con
ellos. Muchas normas se desarrollan conjuntamente con ISO, por lo que
muchas de ellas se conocen como normas ISO/IEC

IEEE (Institute of Electrical and Electronics Engineers): el Instituto de

Ingenieros Elctricos y Electrnicos (http://www.ieee.org/index.html) es una
asociacin mundial de carcter tcnico-profesional dedicada a la
estandarizacin de tecnologas derivadas de la electricidad: ingeniera
computacional, tecnologa biomdica y aeroespacial, energa elctrica,
telecomunicaciones, etc.

ISO (International Organization for Standardization): la Organizacin

Internacional para la Estandarizacin (http://www.iso.org/iso/home.html),
es el organismo encargado de desarrollar normas internacionales de
fabricacin, comercio y comunicacin en todas las ramas de la industria
(salvo las relativas a la industria elctrica y electrnica), especialmente en
los temas relacionados con las normas de los productos y la seguridad

NIST (National Institute of Standards and Technology): el Instituto Nacional

de Estndares y Tecnologa norteamericano
(http://www.nist.gov/index.html), es una agencia del Departamento de
Comercio de los Estados Unidos. Se encarga de promocionar la innovacin y
la competencia industrial en Estados Unidos mediante avances en las
normas aplicadas y en la propia tecnologa. Sus principales reas de
actuacin son biotecnologa, nanotecnologa y tecnologas de la informacin

SECG (Standards for Efficient Cryptography Group): el Grupo de Estndares

para la Criptografa Eficiente (http://www.secg.org/) es un consorcio
internacional cuyo principal objetivo es promover el uso de la criptografa
basada en curvas elpticas.
Entre sus miembros destacan Certicom, Entrust, Fujitsu y Visa.