UNIVERSIDAD NACIONAL DE LA AMAZONIA PERUANA

FACULTAD DE INGENIERIA DE SISTEMAS E INFORMATICA

Seguridad de la
Informacion
Por:
Carlos Gonzlez Aspajo
Ingeniero de Sistemas y Computo
gonascar@hotmail.com

Seguridad Electrnica
y Legislacin
Agenda
Confianza,

seguridad y sociedad de la
informacin.
Tecnologa y organizacin de la
seguridad de la informacin.
La Infraestructura para la Organizacin
de la confianza.
Marco normativo y regulatorio de la
seguridad y del comercio electrnico.
2

Seguridad Electrnica
y Legislacin
Agenda
Confianza,

seguridad y sociedad de la
informacin.
Tecnologa y organizacin de la
seguridad de la informacin.
La Infraestructura para la Organizacin
de la confianza.
Marco normativo y regulatorio de la
seguridad y del comercio electrnico.
3

Captulo 2.-Tecnologa y
organizacin de la seguridad
de la informacin
Se

presentan en este captulo los

conceptos bsicos de la seguridad,
del anlisis del riesgo y de las
salvaguardas que sirven para
gestionarlo.
Se completa con una descripcin del
proceso de certificacin y de la firma
digital
4

2.1 Medida del riesgo y

gestin de la seguridad
Se pueden establecer varios escalones
de seguridad en una Organizacin,
desde el "sentido comn" hasta la
aplicacin de una gestin global de
seguridad en los sistemas y
proyectos de complejidad media y
alta.
5

2.1 Medida del riesgo y

gestin de la seguridad
2.1.1 Escalones de seguridad para
sistemas sencillos
1er Escaln
En la mayora de los casos, la salvaguarda
mejor es cuestin de prestar atencin para
detectar el peligro y usar el sentido comn
para abortarlo.
Ese mismo sentido comn indica cmo en
seguridad vale el conocido "principio de la
cadena" que siempre se rompe por el
eslabn ms dbil.
6

2.1 Medida del riesgo y

gestin de la seguridad
2.1.1 Escalones de seguridad para
sistemas sencillos
2do Escaln
Conviene

apoyar al sentido comn con referencias

reconocidas mnimas o salvaguardas preventivas
mnimas y tan normalizadas como sea posible.

En

una"gua de seguridad, por ejemplo la Gua de buenas prcticas

delBritish Standards Institute(Norma britnica BS 7799) que subyace
al proyecto de Norma internacional 14980 de ISO/IEC para establecer
unCdigo de Prcticas para la Gestin de la Seguridad de la
Informacin.
En un"reglamento de seguridad"de cumplimento obligatorio, por
ejemplo el contenido del Documento de Seguridad establecido por el
Reglamento de Seguridad en el Real Decreto Ley 994/1999).
7

2.1 Medida del riesgo y

gestin de la seguridad
2.1.2 Escalones de seguridad para
sistemas complejos
3cer Escaln
Las Organizaciones ms complejas
suelen requerir la consulta a
especialistas de seguridad y un proceso
detallado de Anlisis y Gestin de
Riesgos para establecer hasta donde las
salvaguardas son necesarias y
rentables.
8

2.1 Medida del riesgo y

gestin de la seguridad
2.1.2 Escalones de seguridad para
sistemas complejos
3cer Escaln
La Gestin global de Seguridad de
un Sistema de Informacin es una
accin permanente, cclica y recurrente.
Esta Gestin global se descompone en
Fases sucesivas llamado ciclo de Fases
de la Gestin global de la seguridad.
9

2.1 Medida del riesgo y

gestin de la seguridad

10

2.1 Medida del riesgo y

gestin de la seguridad
2.1.2 Escalones de seguridad para sistemas
complejos
4to Escaln
Los proyectos de complejidad media o alta en
materia de seguridad requieren la realizacin de
ms de un ciclo de la Gestin global de
seguridad.
La primera aplicacin del ciclo de
Gestinabarca todo el sistema en estudio
Las siguientes aplicaciones del ciclo de
Gestinde seguridadabarcan los componentes
retenidos por sus riesgos mayores
11

2.1 Medida del riesgo y

gestin de la seguridad

12

2.1 Medida del riesgo y

gestin de la seguridad
2.1.3 Encuadre de MAGERIT en la gestin de
seguridad de los SI
MAGERIT, la Metodologa Automatizada de Anlisis y
GEstin de Riesgos de los Sistemas de Informacin de las
AdminisTraciones Pblicas, cubre las Fase de Anlisis y
Gestin de Riesgos en la GESTIN global de la Seguridad
de un Sistema de Informacin.
. MAGERIT es el "corazn" de toda actuacin organizada en
la materia, pues influye en las Fases de tipo estratgico
(implicacin de la Direccin, objetivos, polticas) y
condiciona la profundidad de las Fases de tipo logstico
(planificacin, organizacin, implantacin de
salvaguardas, sensibilizacin, accin diaria y
mantenimiento).
13

2.1 Medida del riesgo y

gestin de la seguridad

14

2.1 Medida del riesgo y

gestin de la seguridad
2.1.4 Submodelo de entidades
El Submodelo deEntidadesde MAGERIT comprende
las seis Entidades bsicas siguientes, as como sus
procesos de adquisicin y actualizacin:
Activos.
Amenazas.
Vulnerabilidades.
Impactos.
Riesgos.
Salvaguardas (Funciones, Servicios y Mecanismos).

15

2.1 Medida del riesgo y

gestin de la seguridad

Las relaciones entre estas Entidades

forman parte del Submodelo de
EVENTOS y por tanto se vern en el
tpico dedicado al "funcionamiento"
del Modelo de MAGERIT.

16

2.1 Medida del riesgo y

gestin de la seguridad
2.1.5 Submodelo de procesos
La Gua de Procedimientos de MAGERIT
marca de forma sistemtica el camino
prctico para realizar un proyecto de
Anlisis y Gestin de Riesgos.
En cada Etapa y en algunas de las
Actividades, estos comentarios indican los
hitos principales de lo que hay que hacer y
las posibles dificultades para conseguirlo.
17

2.1 Medida del riesgo y

gestin de la seguridad

18

2.1 Medida del riesgo y

gestin de la seguridad
2.1.6 Criterios de clasificacin de
proyectos MAGERIT
Los proyectos MAGERIT se adaptan a
los distintos tipos de situaciones con
una clasificacin de proyectos de
seguridad informtica que est
ligada a diversos indicadores.
19

2.2 Salvaguardas generales

para la informacin
2.2.1 La seguridad del activo
"informacin"
Los activos son los recursos del sistema de
informacin o relacionados con ste,
necesarios para que la organizacin funcione
correctamente y alcance los objetivos
propuestos por su direccin.
La definicin (tomada de MAGERIT) acoge
tanto a componentes internos de la
organizacin como a la relacin de sta con
su entorno.
20

2.2 Salvaguardas generales

para la informacin
2.2.2 Mtricas de los subestados
del activo informacin
Las mtricas de valoracin del estado
de seguridad del Activo considerado
permiten estimar los niveles de sus 4
subestados A-C-I-D (autenticacin,
confidencialidad, integridad,
disponibilidad).
21

2.2 Salvaguardas generales

para la informacin
2.2.2 Mtricas de los subestados del
activo informacin
Subestado

A de Autenticacin.Su escala est ligada a la

menor o mayor necesidad de formalizacin, de autorizacin y de
responsabilizacin probatoria en el conocimiento o la
comunicacin de la Informacin.
Subestado C de Confidencialidad. Se basa en la Ley Orgnica
de Proteccin de Datos.
Subestado I de Integridad. Se trata de la facilidad de reobtener
el Activo con calidad suficiente, o sea completo y no "corrompido"
para el uso que se desea darle.
Subestado D de Disponibilidad. Se trata de los niveles de
tiempo mximo de carencia de la Informacin sin que las
consecuencias o Impactos sean graves para la Organizacin.
22

2.2 Salvaguardas generales

para la informacin
2.2.3 Mecanismos de salvaguarda
Los mecanismos de salvaguarda, tipificados tambin como
preventivos o curativos, se especifican segn el tipo de
"recurso" empleado de la Organizacin (mecanismos
organizativos, fsicos, de software especfico de seguridad,
de contratacin de seguros, entre otros).
Estos tipos de recursos se relacionan con los Activos o Grupos
de Activos tipificados en el Submodelo de Entidades de
MAGERIT, dando tipos de mecanismos concernientes a la
arquitectura bsica, los soportes, las comunicaciones, la
explotacin, la compra de paquetes o el desarrollo de
aplicaciones, etc.
23

2.2 Salvaguardas generales

para la informacin

24

2.2 Salvaguardas generales

para la informacin
2.2.4 Subestados de seguridad de la
informacin y arquitecturas
La arquitectura de los Sistemas de Informacin en red
presenta ahora los Activos como "urbanizaciones abiertas"
casi sin "fronteras" con el entorno por lo que se necesita una
arquitectura dinmica y flexible de seguridad que "incruste"
ahora en cada "urbanizacin" o Grupo de Activos unos
mecanismos de salvaguarda en forma de "agentes" que
crezcan con la urbanizacin, la "patrullen" y hasta se
"camuflen", para burlar a unos agresores cada vez ms
inteligentes.
Cuando el cada Activo amenazable viaje fuera de la
"urbanizacin", habr que acudir a su "autoproteccin".
25

2.2 Salvaguardas generales

para la informacin
2.2.4 Subestados de seguridad
de la informacin y
arquitecturas
Los mecanismos de salvaguarda corresponden en lneas generales
a cuatro grandes categoras:
Mecanismos

fsicos y organizativos bsicos mnimos.

Mecanismos de control lgico de accesos.
Mecanismos contra intrusin ("cortafuegos", antivirus,
"patrulladores", detectores).
Mecanismos de cifrado (para "autoproteccin" de la informacin).
26

2.2 Salvaguardas generales

para la informacin
2.2.5 Gestin de la seguridad
en las organizaciones
La mejor estrategia de seguridad consiste en subir
con tranquilidad pero con firmeza los
"escalones". El "segundo escaln" de
cumplimiento legislativo puede ser el mejor
"rellano" para tomarse en serio la seguridad y
abordar el "tercer" escaln con garanta y con
eficiencia de medios.
27

2.2 Salvaguardas generales

para la informacin
2.2.6 Cumplimiento de la
legislacin estatal sobre
seguridad
Prcticamente todas las entidades pblicas o
privadas tienen sistemas con ficheros que contienen
datos personales, difciles de separar de los
tratamientos y ficheros que no los contengan. En
nuestro estado rige las NORMA TECNICA PERUANA
NTP-ISO/IEC 17799-2077 para su aplicacin.
28

2.2 Salvaguardas generales

para la informacin
2.2.9 El factor humano en la
seguridad de la informacin
La seguridad suele considerarse como una cuestin
tecnolgica, pero bsicamente comporta problemas
organizativos y especficamente humanos.
Adems de los problemas psicolgicos que implica todo cambio
en general y en particular donde el riesgo y la seguridad son
fcilmente reconocibles como una crtica a una imperfeccin
en el trabajo personal o colectivo, hay que tener en cuenta
que el cumplimiento de normas de seguridad implica un
esfuerzo adicional o al menos cierta molestia.
29