Académique Documents
Professionnel Documents
Culture Documents
POR:
JORGE LUIS PEREZ SEVERICHE
No existe un único mecanismo capaz de proveer todos los servicios, sin embargo, la mayoría
de ellos hace uso de técnicas criptográficas basadas en el cifrado de la información. Los
mecanismos pueden ser clasificados como preventivos, detectivos, y recuperables.
El documento debe ser elaborado con normas Icontec vigentes para trabajos escritos, además
de buenas prácticas de redacción y ortografía.
Producto entregable:
Documento PDF, con el desarrollo de los ítems propuestos para determinar el diseño de
controles y seguridad asociado al proyecto.
.
1. Segmentación de procesos, perfiles y roles.
La Clínica dental Sermedent es una empresa pequeña que cuenta con 8 empleados, de los
cuales solo a seis empleados se les generará un usuario, cada uno de estos usuarios tendrá
ciertas características de acceso, y manipulación de la información como borrado, consulta,
modificación, generación de informes, visualización de la información e impresión de copia
dura.
El segundo punto se relaciona con el diseño de autorización, en donde se contempla los roles,
permisos y privilegios de la aplicación. El Director general es el encargado de coordinar,
planificar, verificar, asesorar y controlar todos los procesos que se realizan en la empresa y
puede entre los requerimientos funcionales generar informes, consultas, registros para una
buena toma de decisiones, teniendo en cuenta el cargo y los proceso que debe realizar le serán
asignados los permisos para el manejo de la información, es decir modificar, consultar,
registrar etc.
De esta forma se le asignaran los roles a cada empleado teniendo en cuenta sus cargos y
procesos a realizar en el aplicativo.
El cifrado de datos es un procedimiento que utiliza un algoritmo de cifrado con una clave
(clave cifrada) para transformar un mensaje, sin atender a su estructura lingüística o
significado, de tal forma que sea incomprensible o al menos difícil de comprender para toda
persona que no tenga la clave secreta (clave de descifrado) del algoritmo.
Entre los datos que podemos cifrar tenemos los emails, toda la información digital de un PC,
como documentos, fotos, vídeos, particiones individuales e, incluso, el disco duro completo
(por ejemplo, con TrueCrypt) es susceptible de ser cifrado, además de las claves o
contraseñas.
Tipos de cifrado según sus claves
Simétrico: en caso de los sistemas simétricos se utiliza la misma clave para el cifrado y el
descifrado. Por lo tanto, debe ser conocida por todos los que deseen acceder a los datos
cifrados. En consecuencia, es importante mantenerlo en secreto. Este método es
particularmente adecuado para grandes conjuntos de datos. Entre los tipos de cifrados
simétricos tenemos:
DES: Estándar de cifrado de flujo de 52 bits usado en 1976. La cadena de 56 bits es muy
corta, por lo que es capaz de comprometerse en menos de 24 horas.
GOST: Es un algoritmo de cifrado de origen ruso que podría ser considerado el análogo ruso
al AES. Emplea bloques de 64 bits y claves de 256 bits y no ha podido ser vulnerado a pesar
de haber sido uno de los más estudiados. El mensaje de entrada se divide en trozos de bloques
de 256 bits (ocho de 32 bits enteros Endian) y el mensaje se rellena añadiendo tantos ceros
como se requiere para llevar la longitud del mensaje hasta 256 bits. También se utiliza como
función hash.
AES: Este funciona básicamente dividiendo los datos en muchos bloques pequeños y los
mezcla. Con la longitud de clave más grande (256 bits) este método es considerado como
inviolable, ya que, incluso los superordenadores más potentes necesitarían de un tiempo
infinito para dar con el cifrado.
El Gamal: Sistema de cifrado asimétrico libre de patentes y utilizado tanto para generar
firmas digitales como para cifrar/descifrar. Su funcionamiento se basa en cálculos sobre
“logaritmos discretos”, factorizando números muy grandes, de 150 dígitos o más. Usa para
ello un número primo y dos enteros. La velocidad de cifrado y autenticación es inferior a la
obtenida con RSA, las firmas producidas son más largas y los mensajes cifrados ocupan el
doble que el mensaje plano.
RSA: Sistema de cifrado asimétrico, que, a diferencia de los anteriores sistemas, trabaja con
dos claves diferentes: una clave “pública”, y otra “privada”. Ambas son complementarias
entre sí, así que un mensaje cifrado con una de ellas sólo puede ser descifrado por su
contraparte. La longitud de clave va desde los 128 bits a los 4096.
La criptografía híbrida es un método criptográfico que usa tanto un cifrado simétrico como
un asimétrico. Emplea el cifrado de clave pública para compartir una clave para el cifrado
simétrico. El mensaje que se esté enviando en el momento, se cifra usando su propia clave
privada, luego el mensaje cifrado se envía al destinatario. Ya que compartir una clave
simétrica no es seguro, ésta es diferente para cada sesión.
Cifrado en flujo: En estos algoritmos el cifrado se realiza bit a bit. Están basados en la
utilización de claves muy largas que son utilizadas tanto para cifrar como para descifrar.
Estas claves pueden estar predeterminadas (libreta de un solo uso) o generarse usando un
generador de claves pseudoaleatorias o RKG(acrónimo del inglés random key generator),
que genera una secuencia binaria pseudoaleatoria a partir de una clave de inicialización K. A
veces, en el cálculo de la clave pseudoaleatoria tambié n interviene el mensaje cifrado hasta
ese momento. Por otra parte, el cifrador propiamente dicho: habitualmente en este tipo de
algoritmos hay que mantener en secreto tanto la clave como el cifrador.
Cifrado por bloques: En este tipo de algoritmos, el cifrado se realiza bloque a bloque. En
primera instancia, se descompone el mensaje en bloques de la misma longitud. A
continuación, cada bloque se va convirtiendo en un bloque del mensaje cifrado mediante una
secuencia de operaciones.
Ejemplos típicos de operaciones realizadas para conseguir cada mensaje cifrado son la
sustitución y la permutación (cifrado por transposición) de elementos.
Este tipo de algoritmos pueden ser tanto de clave simétrica como de clave asimétrica. Sin
embargo, en la bibliografía suele haber confusión y es frecuente ver casos en que se refieren
sólo a algoritmos de clave simétrica.
Este dominio está relacionado con el personal que labora dentro de la entidad, se pueden
definir los siguientes procedimientos:
Gestión de Activos:
En este dominio relacionado con la identificación y clasificación de activos de acuerdo a su
criticidad y nivel de confidencialidad se pueden definir los siguientes procedimientos:
Adicionalmente se debe explicar cómo se hace una correcta disposición de los activos cuando
ya no se requieran y su transferencia hacia otros lugares de manera segura.
Seguridad física y del entorno:
Este dominio está relacionado con la prevención del acceso a áreas no autorizadas, el daño a
la infraestructura, las instalaciones o de la información. Se pueden generar los siguientes
procedimientos (estos procedimientos pueden tener la participación del área de seguridad y
vigilancia de la entidad):
Procedimiento de protección de activos: Este procedimiento debe contener los pasos con
los cuales los equipos son protegidos por la entidad. Se recomienda que este procedimiento
indique como se determina la ubicación de los equipos que procesan información
confidencial, como se aseguran dichas las instalaciones, los controles que se aplican para
minimizar riesgos de desastres naturales, amenazas físicas, daños, por polvo, agua,
interferencias, descargas eléctricas etc…
http://www.mintic.gov.co
Documento SENA
YouTube