UNIVERSIDAD TECNOLOGICA DE

CHIHUAHUA

INGENIERIA EN TECNOLOGIAS DE LA INFORMACION Y

COMUNICACIN

INTRODUCCION A LA SEGURIDAD DE LA INFORMACION

ndice
Introduccin a la seguridad de la informacin ....................................................................... 4

Tipos de Seguridad ............................................................................................................. 4

Seguridad Activa y Pasiva............................................................................................... 4

Seguridad fsica y lgica ................................................................................................. 5

Servicios de Seguridad de la informacin .......................................................................... 7

Polticas de Seguridad ............................................................................................................ 8

Escenarios de ataques a redes ................................................................................................. 9

Amenazas Software ............................................................................................................ 9

Amenazas Fsicas .............................................................................................................. 10

Amenazas Humanas .......................................................................................................... 10

Amenazas a la Seguridad Informtica .............................................................................. 10

Clasificacin de los intrusos en la redes........................................................................ 10

Tipos de Ataques Informticos ..................................................................................... 12

Cdigo Malicioso ................................................................................................................. 13

Virus de Boot (sector de arranque) ................................................................................... 13

Virus de ficheros ejecutables ............................................................................................ 13

Virus de MS-DOS ............................................................................................................. 14

Virus de WIN32 (Virus de Windows) .............................................................................. 14

Virus del lenguaje Java ..................................................................................................... 14

Virus de macros ................................................................................................................ 15

Troyanos ........................................................................................................................... 15

Rootkits ............................................................................................................................. 15

Gusanos (Worms) ............................................................................................................. 16

Principios Matemticos para Criptografa ............................................................................ 16

 Criptografa Simtrica....................................................................................................... 16

Modelo de Cifrado Simtrico ........................................................................................ 16

Criptografa ................................................................................................................... 18

Tcnicas de Sustitucin ................................................................................................. 20

Criptografa Asimtrica .................................................................................................... 20

Algoritmos de Criptografa................................................................................................... 21

DES (Data Encryptation Standard) ................................................................................... 21

3DES ................................................................................................................................. 22

AES (Advanced Encryption Standar) ............................................................................... 22

RSA ................................................................................................................................... 22

Normatividad Nacional e Internacional de Seguridad .......................................................... 23

Caractersticas de la normatividad Nacional e nacional ................................................... 23

Estndares Estadounidenses ............................................................................................. 24

TCSEC: Trusted Computer System Evaluation Criteria ............................................... 24

FISCAM: Federal Information Systems Controls Audit Manual ................................. 26

NIST SP 800.................................................................................................................. 26

Estndares Europeos ......................................................................................................... 26

ITSEC: Information Technology Security Evaluation Criteria..................................... 26

Agencia Europea de Seguridad de la Informacin y las Redes..................................... 26

Estndares Internacionales ................................................................................................ 27

ISO/EIC 17799 .............................................................................................................. 29

ISO/EIC 27001 .............................................................................................................. 29

Bibliografa ........................................................................................................................... 34
Introduccin a la seguridad de la informacin
Preservar la informacin la informacin y la integridad de un sistema informtico es algo
importante para una empresa u organizacin, por lo que en prdidas econmicas y de
tiempo podra suponer, sin olvidarnos del peligro que podra acarrear el acceso al sistema
de un usuario no autorizado.

Igualmente, es tambin importante para un usuario que emplee su ordenador en el ambiro

domestico, por lo que le podra suponer el perder documentos personales, sin olvidarnos del
inconveniente que supondra el no poder disponer de su equipo durante un tiempo
determinado o el coste de intentar recuperar la informacin perdida.

En los sistemas informticos actuales no existe el concepto de ordenador aislado como

sucedera en ordenadores de generaciones anteriores a la actual, sino que es extrao un
sistema informtico que no est dentro de una red de ordenadores para compartir recursos e
informacin, as como acceso a internet, como lo cual las amenazas les pueden llegar desde
el interior, as como desde el exterior, y al estar conectados en red, un ataque a un equipo
puede afectar a todo el conjunto.

Tipos de Seguridad
Cuando se habla de la seguridad en un sistema informtico, se puede encontrar diversos
tipos de seguridad, dependiendo de la naturaleza material de los elementos que utilicemos o
de si se ocupan de evitar el ataque o incidente o de recuperar el sistema una vez que este se
haya producido.

Seguridad Activa y Pasiva

La seguridad se divide en seguridad activa y pasiva, dependiendo de los elementos
utilizados para la misma, as como de la actuacin que van a tener en la seguridad los
mismos.

Activa

Se llega a entender por seguridad activa todas aquellas medidas que se utilizan para detectar
las amenazas, y en caso de su deteccin generar los mecanismos adecuados para evitar el
problema.
Un ejemplo de seguridad activa se puede encontrar en el empleo de contraseas o claves de
acceso, uso de antivirus, cortafuegos o firewall.

Una contrasea, cuanto ms compleja sea, ms segura y ms difcil ser descifrarla, es

decir, mayor fortaleza tendr. Su longitud y el uso de letras maysculas, minsculas,
nmeros y caracteres especiales hacen que la seguridad de la contrasea sea mayor. No es
conveniente para la seguridad de la contrasea el uso del mismo nombre de usuario, del
nombre o del apellido real, ni de palabras que vienen en diccionarios.

Pasiva

Comprende todo el conjunto de medidas utilizadas para que un vez que se produzca el
ataque o el fallo en la seguridad del sistema, hacer que el pacto sea el menor, y activar
mecanismos de recuperacin del mismo.

Ejemplos de seguridad pasiva son las copias de seguridad de los datos de sistema, uso de
redundancia en discos o discos RAID (Redundant Array of Inexperience Disks), uso de
SAI (UPS).

Seguridad fsica y lgica

Desde el punto de vista de la naturaleza de la amenaza, podemos hablar de seguridad a
nivel fsico o material o seguridad a nivel lgico o software.

Fsica

Se utiliza para proteger el sistema informtico utilizando barreras fsicas y mecanismos de

control. Se emplea para proteger fsicamente el sistema informtico.

Las amenazas fsicas se pueden producir provocadas por el hombre, de forma accidental o
voluntaria, o bien por factores naturales.

Dentro de las provocadas por el ser humano, encontramos amenazas de tipo:

Accidentales, como borrado accidental, olvide de la clave,....

Deliberadas: como robo de la clave, borrado deliberado de la informacin, robo de
datos confidenciales,.
Dentro de las provocadas por factores naturales, podemos encontrar: incendios,
inundaciones.

Lgica

La seguridad lgica se encarga de asegurar la parte software de un sistema informtico, que

se compone de todo lo que no es fsico, es decir, los programas y los datos.

La seguridad lgica se encarga de controlar que el acceso al sistema informtico, desde el

punto de vista software, se realice correctamente y por usuarios autorizados, ya sea desde
dentro del sistema informtico, como desde fuera, desde una red externa, usando una VPN
(protocolos PPP, PPTP,.), la web (protocolos http, https), transmisin de ficheros (ftp),
conexin remota (ssh, telnet)

Dentro de la seguridad lgica, tenemos una serie de programas, o software, como el sistema
operativo, que se debe encargar de controlar el acceso de los protocolos o usuarios a los
recursos del sistema.

Para ellos debe tomar en cuenta distintas medidas de seguridad. Cada vez los sistemas
operativos controlan ms la seguridad del equipo informativo ya sea por parte de un error,
por un uso incorrecto del sistema operativo o del usuario, o bien por un acceso no
controlado fsicamente o a travs de la red, o por un programa malicioso, como los virus,
espas, troyanos, gusanos, phising,

Es casi imposible que sea totalmente seguro, pero se puede tomar ciertas medidas para
evitar daos a la informacin o a la privacidad de esta. Uno de los principales peligros de
un sistema informtico con otro equipo para la red o a travs de un equipo infectado que
entre en el sistema mediante una memoria secundaria, como un dispositivo de
almacenamiento USB, DVD, disco duro externo, etc.

Los servicios del sistema operativo pueden ser otro punto especial de ataque, ya que son
procesos que estn en ejecucin y que suelen tener privilegios especiales. (Garcia-Cervigon
Hurtado & Alegre Ramos, 2011)
Servicios de Seguridad de la informacin
Dentro del proceso de gestin de la seguridad informtica es necesario contemplar una serie
de servicios o funciones de seguridad de la informacin los cuales son los siguientes:

Disponibilidad
La disponibilidad del sistema informtico tambin es una cuestin de especial
importancia para garantizar el cumplimiento de sus objetivos, ya que se debe
disear un sistema lo suficientemente robusto frente a ataques e interferencias como
para garantizar su correcto funcionamiento, de manera que pueda estar
permanentemente a disposicin de los usuarios que deseen acceder a sus servicios.
Dentro de la disponibilidad tambin debemos considerar la recuperacin del sistema
frente a posibles incidentes de seguridad, as como frente a desastres naturales o
intencionados (incendios, inundaciones, sabotajes).
Se debe de tener en cuenta que de nada sirven los dems servicios de seguridad si el
sistema informtico no se encuentra disponible para que pueda ser utilizado por sus
legtimos usuarios.
Tambin que quiere decir que las personas autorizadas a acceder a la informacin lo
podrn hacer en el momento en que lo deseen.
Integridad
La funcin de integridad se encarga de garantizar que un mensaje o fichero no ha
sido modificado desde su creacin o durante su transmisin a travs de una red
informtica. De este modo, es posible detectar si se ha aadido o eliminado algn
dato en un mensaje o fichero almacenado, procesado o transmitido por un sistema o
red informtica.
En otras palabras se refiere a la salvaguardia de la precisin de la informacin, es
decir, asegurarse que la informacin se encontrara completa y sin errores.
Confidencialidad
Mediante este servicio o funcin de seguridad se garantiza que cada mensaje
transmitido o almacenado en un sistema informtico solo podr ser ledo por su
legtimo destinatario. Si dicho mensaje cae en manos de terceras personas, estas no
podrn acceder al contenido del mensaje original. Por lo tanto, este servicio
 pretende garantizar la confidencialidad de los datos almacenados en un equipo, de
los datos guardados en dispositivos de backup y/o de los datos transmitidos a travs
de redes de comunicacin.
Logrando que el acceso a la informacin se realice por la persona adecuada
nicamente.
Control de acceso
Mediante el servicio de control de acceso se persigue controlar el acceso de los
usuarios a los distintos equipos y servicios ofrecidos por el sistema informtico, una
vez superado el proceso de autentificacin de cada usuario. Para ello, se definen
unas Listas de Control de Acceso (ACL) con la relacin de usuarios y grupos de
usuarios y sus distintos permisos de acceso a los recursos del sistema. (Gmez
Vieites, 2007)

Polticas de Seguridad
Se define una poltica de seguridad como una declaracin de intenciones de alto nivel que
cubre la seguridad de los sistemas informticos y que proporciona las bases para definir y
delimitar responsabilidades para las diversas actuaciones tcnicas y organizativas que se
requieran.

Dentro del siguiente apartado se presentaran las principales caractersticas y requisitos que
debern cumplir las polticas de seguridad:

Las polticas de seguridad deberan poder ser implementadas a travs de

determinados procedimientos administrativos y la publicacin de unas guas de uso
aceptable del sistema por parte del personal, as como mediante la instalacin,
configuracin y mantenimiento de determinados dispositivos y herramientas
hardware y software que implanten servicios de seguridad.
Deben definir claramente las responsabilidades exigidas al personal con acceso al
sistema: tcnicos, analistas y programadores, usuarios finales, directivos, personal
externo a la organizacin, etc.
Deben cumplir con las exigencias del entorno legal (Proteccin de Datos Personales
LOPD, Proteccin de la Propiedad Intelectual, Cdigo Penal).
 Se tienen que revisar de forma peridica para poder adaptarlas a las nuevas
exigencias de la organizacin y del entorno tecnolgico y legal. En este sentido, se
debera contemplar un procedimiento para garantizar la revisin y actualizacin
peridica de las Polticas de Seguridad.
Aplicacin del principio de Defensas en Profundidad; definicin e implantacin
de varios niveles o capas de seguridad. As, si un nivel falla, los restantes todava
podran preservar la seguridad de los recursos del sistema. De acuerdo con este
principio, es necesario considerar una adecuada seleccin de medidas de
prevencin, de deteccin y de correccin.
Asignacin de los mnimos privilegios: los servicios, aplicaciones y usuarios del
sistema deberan tener asignados los mnimos privilegios necesarios para que
puedan realizar sus tareas. La poltica por defecto debe ser aquella en la que todo lo
que no se encuentre expresamente permitido en el sistema estar prohibido. Las
aplicaciones y servicios que no sean estrictamente necesarios deberan ser
eliminados de los sistemas informticos.
Configuracin robusta ante fallos: los sistemas deberan ser diseados e
implementados para que, en caso de fallo, se situaran en un estado seguro y cerrado,
en lugar de en uno abierto y expuesto a accesos no autorizados.
Las polticas de seguridad no deben limitarse a cumplir con los requisitos impuestos
por el entorno legal o las exigencias de terceros (clientes, Administracin
Pblica), sino que deberan estar adaptadas a las necesidades reales de cada
organizacin.

Escenarios de ataques a redes

Dentro de las amenazas a las que se encuentran las redes modernas al sistema informtico,
se pueden encontrar diferentes tipos de amenazas. Entre ellas destacan:

Amenazas Software
Dentro de este tipo de amenazas se pueden encontrar cualquier tipo de software
malintencionado, como virus, espas, troyanos, gusanos, phishing, spamming, ataques DoS,
etc.
Adems no hay que olvidar que todos estos programas de software malintencionado estn
diseados por una persona, con lo cual, tambin se puede considerar amenazas humanas.

Amenazas Fsicas
Dentro de este tipo de amenazas se pueden encuadrar todos aquellos posibles daos
causados al sistema informtico por razones fsicas y naturales, como robos, incendios
(fortuitos o provocados), catstrofes naturales, etc.

Hay que tener en cuenta, al igual que con las amenazas software, que las causas de los
daos provocados por factores fsicos no fortuitos estn provocados por el ser humano, con
lo cual tambin podran encuadrarse dentro de las amenazas humanas.

Amenazas Humanas
Adems de las amenazas anteriores, las amenazas puramente humanas, pueden venir desde
dos tipos de amenazas:

Intrusos, como piratas informticos, que pueden entrar va web, es decir, de forma
remota, o fsicamente, al sistema.
Fallos humanos de los propios usuarios del sistema informtico. (Garcia-Cervigon
Hurtado & Alegre Ramos, 2011)

Amenazas a la Seguridad Informtica

Clasificacin de los intrusos en la redes

Hackers
Los hacker son intrusos que se dedica en estas tareas como pasatiempo y como reto tcnico
hecho: entran en los sistemas informticos para demostrar y poner a pruebas inteligencia y
conocimientos de los entresijos de Internet, pero no pretende provocar daos en estos
sistemas. Sin embargo, hay que tener en cuenta que pueden tener acceso a informacin
confidencial, por lo que su actividad est haciendo considerada como un delito en bastantes
pases de nuestro entorno.

El perfil tpico de un hacker es el de una persona joven, con amplios conocimientos de

informacin y de Internet (ten ticos expertos en varios lenguajes de programacin,
arquitectura de ordenadores, servicios y protocolos de comunicacin, sistemas operativos,
etc.), que invierte un importante nmero de horas a la semana a su aficin.

Crackers
Los crackers son individuos con intereses en atacar un sistema informtico para obtener
beneficios de fuerte y legal o, simplemente, para provocar algn dao a la organizacin
propietaria del sistema, motivados por intereses econmicos, polticos, religiosos, etc.

A principios de los aos 70 comienzan a producirse los primeros casos de delitos

informticos, provocados por empleados que conseguan acceder a los ordenadores de sus
empresas pueden modificar sus datos: registro de ventas, nminas

Sniffers
Los sniffers son individuos que se dedican a rastrear y tratar de recomponer y descifrar los
mensajes que circulan por redes de ordenadores como Internet.

Phreakers
Los phreakers Son intrusos especializados y sabotear la redes telefnicas para poder
realizar llamadas gratuitas. Los phreakers desarrollaron las famosas "cajas azules", que
podan emitir distintos tonos en las frecuencias utilizadas por las operadoras para la
sealizacin interna de sus redes, cuando stas todava eran analgicas.

Spammers
Los spammers Son los responsables del envo masivo de miles de mensajes de correo
electrnico no solicitados A travs de redes como Internet, provocando el colapso de los
servidores y la sobrecarga de los buzones de correo de los usuarios.

Adems, muchos de estos mensajes de correo no solicitados pueden contener cdigo daino
O forman parte de intento de estafa realizados a travs de Internet.

Piratas Informticos
Los piratas informticos son los individuos especializados en el pirateo de programas y
contenidos digitales, infringiendo la legislacin sobre propiedad intelectual.
Creadores de virus y programas dainos
Se trata de expertos informticos que pretenden demostrar sus conocimientos construyendo
un virus y otros programas dainos, que distribuyen hoy en da a travs de Internet para
conseguir una propagacin exponencial y alcanzar as una mayor notoriedad.

Lamers
Son aquellas personas que han obtenido determinados programas herramientas para realizar
ataques informticos y que los que utilizan sin tener conocimientos tcnicos de cmo
funciona.

Tipos de Ataques Informticos

Los diferentes tipos de ataques informticos se pueden diferenciar en primer lugar entre los
ataques activos, que producen cambios en la informacin y en la situacin de los recursos
del sistema, y los ataques pasivos, que se limitan a registrar el uso de los recursos y/o
acceder a la informacin guardada o transmitida por el sistema.

Deteccin de vulnerabilidades en los sistemas

stos tipos de ataques tratan de detectar y documentacin las posibles vulnerabilidades de
un sistema informtico, para continuacin desarrollar alguna herramienta que permita
explotarlas fcilmente.

Robo de informacin mediante la interceptacin de mensajes

Ataques que tratan de interceptar los mensajes de correo o los documentos que se envan a
travs de redes de ordenadores cmo Internet, mirndote este modo no es confidencialidad
del sistema informtico y la privacidad de sus usuarios.

Modificacin del contenido y secuencia de los mensajes transmitidos

En esos ataques los intrusos tratan de reenviar mensajes y documentos que ya haban sido
previamente transmitidos en el sistema informtico, tras haberlos modificado de forma
maliciosa.

Anlisis del trfico

Estos ataques persiguen observar los datos y el tipo de trfico transmitido a travs de redes
informticas, utilizando para ello herramientas como los "sniffers". As, se conoce como
"eavesdropping" A la interceptacin del trfico que circula por una red de forma pasiva,
sin modificar su contenido.

Ataques de suplantacin de la identidad

IP Spoofing
Ataques de suplantacin de identidad presentan varias posibilidades, siendo una de las ms
conocidas la denominada "IP Spoofing", mediante la cual un atacante consigue modificar la
cabecera de los paquetes enviados a un determinado sistema informtico para simular que
proceden de un equipo distinto al que verdaderamente lo est original.

DSN Spoofing
Los ataques de falsificacin de DNS pretenden provocar un direccionamiento errneo que
los equipos afectados, debido a una traduccin errnea de los nombres de dominio a
direcciones IP, facilitando de este modo la redireccin de los usuarios de los sistemas
afectados hacia pginas falsas o bien la interceptacin de sus mensajes de correo
electrnico.

Cdigo Malicioso

Virus de Boot (sector de arranque)

El punto de entrada de estos virus en el sistema tiene lugar a travs de disquetes o discos
infectados. Su objetivo es el sector de arranque de un disquete o disco duro, guardando una
copia del contenido original en otro sector del disco infectado.

A partir de la infeccin, el virus se ejecuta antes que el propio Sistema Operativo, quedando
residente en la memoria del equipo.

Virus de ficheros ejecutables

Los virus de ficheros ejecutables pueden infectar programas de MS-DOS, de Windows o de
otros entornos informticos.
Para ello, el virus se adosa a un fichero ejecutable y desva el flujo de ejecucin a su propio
cdigo, para a continuacin retornar al cdigo del programa original y ejecutar las tareas
esperadas por el usuario.

Una vez que se han activado, el virus se mantiene residente en la memoria del sistema y es
capaz de infectar otros ficheros ejecutables que se puedan abrir en ese equipo.

Virus de MS-DOS
El objetivo principal de este tipo de virus son los ficheros ejecutables del entorno MS-DOS
(ficheros de extensin *.COM y *.EXE).

Entre los principales sntomas de una infeccin provocada por este tipo de virus se podra
citar el incremento del tamao de los ficheros infectados, la disminucin de la memoria
disponible o la lentitud o inusual del sistema.

Virus de WIN32 (Virus de Windows)

Se programan en lenguajes como Visual Basic o C++ e infectan a ficheros y componentes
de entorno Windows: ficheros ejecutables, libreras de cdigo, Controladores de
Dispositivos, Componentes de Objetos o Salvapantallas.

Entre los principales sntomas de una infeccin provocada por este tipo de virus tambin
podramos citar el incremento del tamao de los ficheros infectados, la ralentizacin del
sistema Windows o la aparicin de entradas inusuales en la lista de tareas del sistema.

Estos virus se instalan en el sistema y quedan residentes, modificando algunas de las

entradas del Registro de Windows. Por este motivo, ante sospechas de una posible
infeccin sera conveniente comprobar las entradas en el Registro de Windows.

Virus del lenguaje Java

Estos virus afectan a los applets Java, es decir, a los programas desarrollados en el lenguaje
Java que se pueden descargar desde Internet para ofrecer alguna nueva funcionalidad al
navegador web o a alguna otra aplicacin instalada en el sistema.

En este caso, es posible proteger el sistema si se configura un nivel de seguridad alto en el

navegador, para impedir la ejecucin de condigo Java.
Virus de macros
Se programan en lenguajes de macros de aplicaciones e infectan a documentos del
procesador de textos Word, hojas de clculo Excel o ficheros de Power Point. Entre los
sntomas de una infeccin provocada por este tipo de virus podramos destacar el
incremento del tamao de los ficheros infectados, as como el comportamiento inusual de
las aplicaciones que los manejan.

Troyanos
Son programas aparentemente inofensivos, con una determinada funcin o utilidad, pero
que contiene cdigo oculto para ejecutar acciones no esperadas por el usuario.

Se trata de programas dainos que permiten sustraer informacin confidencial del equipo
infectado, mientras se hacen pasar por programas o servicios inofensivos: envi de nombres
de usuarios y contraseas a una direccin de correo electrnico, sustraccin de
determinados ficheros de configuracin o con datos sensibles, etc.

Rootkits
Podran ser considerados como un tipo particular de troyanos utilizados por los atacantes de
un sistema informtico para ocultar puertas traseras que faciliten el acceso y control del
sistema infectado con los mximos privilegios posibles.

Se distinguen tres tipos de rootkits:

Rootkits binarios: reemplazan a una herramienta de administracin del sistema,

sustituyendo el fichero binario original por otro modificado que incluye nuevas
utilidades.
Rootkits de kernel: modifican el propio ncleo del sistema operativo en el equipo
infectado. De este modo, consiguen manipular las respuestas del kernel para poder
ocultar nuevos archivos, procesos en ejecucin, puertos abiertos, etc.
Rootkits de libreras: reemplazan las propias libreras del sistema, incluyendo
distintas funciones que son utilizadas por otros programas cuando se ejecutan en el
sistema infectado. De este modo, las funciones del troyano pueden afectar a
distintos programas que se estn ejecutando en el sistema.
Gusanos (Worms)
Los Gusano son programas dainos que se pueden propagar por s mismos y con gran
rapidez a travs de las redes de ordenadores.

Debido a sus caractersticas, los gusanos no necesitan utilizar otro programa, mensaje de
correo electrnico o documento con macros como agente para infectar otros equipos, ya
que para su propagacin recurren a servicios de correo electrnico, servicios de ejecucin
remota de procedimientos o servicios de conexin remota a otros equipos.

Una vez activos en el equipo infectado, pueden comportarse como un virus o un troyano,
con un determinado mecanismo de replicacin, de activacin y de ejecucin de un carga
daina.

Para su replicacin tratan de localizar a otros equipos que se encuentren accesibles en la

misma red, a travs de las tablas de hosts o las unidades de disco compartidas. (Gmez
Vieites, 2007)

Principios Matemticos para Criptografa

Criptografa Simtrica
El cifrado simtrica, tambin referido como cifrado convencional o cifrado de una sola
clave, era el nico tipo de de cifrado que se usaba antes del desarrollo del cifrado de clave
publica en los aos 70, se mantiene por lo lejos como el ms ampliamente utilizado de los
dos tipos de cifrado.

Modelo de Cifrado Simtrico

El esquema de cifrado simtrico consta de cinco elementos:

Texto sin formato: Es el mensaje o datos inteligibles originales que se introducen

en el algoritmo como entrada.
Algoritmo de cifrado: El algoritmo de cifrado realiza diversas sustituciones y
transformacin en el texto sin formato.
 Clave secreta: La clave secreta tambin se introduce al algoritmo de cifrado. La
clave es un valor independiente del texto plano y del algoritmo. El algoritmo
producir una salida diferente dependiendo de la clave especfica que se est
utilizando en ese momento. Las sustituciones y transformaciones exactas realizadas
por el algoritmo depende de la clave.
Texto Cifrado: Es el mensaje codificado producido como salida. Depende del texto
plano y de la clave secreta. Para dar un mensaje, dos diferentes claves producirn
dos textos cifrados diferentes. El texto cifrado es una aparente corriente aleatoria de
datos y como tal es ininteligible.
Algoritmo de descifrado: Esto es esencialmente el algoritmo de cifrado ejecutado
a la inversa, toma el texto cifrado y la clave secreta y produce el texto sin formato
original.

Hay dos requerimientos para asegurar el uso del cifrado convencional:

1. Se necesita un algoritmo de cifrado fuerte, como mnimo es preferible que el

algoritmo que un adversario que conozca el algoritmo y tiene acceso de uno o ms
texto cifrados sera incapaz de descifrar el texto cifrado o de averiguar la clave. Este
requisito se expresa normalmente en una forma ms fuerte: El oponente debe ser
incapaz de descifrar el texto cifrado o descubrir la clave, incluso si la persona se
encuentra en posesin de una serie de textos cifrados junto con el texto sin formato
que produjo cada texto cifrado.
2. El remitente y el receptor deben haber obtenido copias de la clave secreta de una
manera segura deben mantener la a salvo, si alguien puede descubrir la clave y
conoce el algoritmo, toda comunicacin que utilice esta clave sern legibles.

Asumimos que no es prctico descifrar un mensaje sobre la base del texto cifrado ms el
conocimiento del algoritmo de cifrado / descifrado. En otras palabras, no necesitamos
mantener el algoritmo en secreto; necesitamos mantener slo la clave en secreto. Esta
caracterstica del cifrado simtrico es lo que hace factible su uso generalizado. El hecho de
que el algoritmo no necesita mantenerse en secreto significa que los fabricantes pueden y
han desarrollado implementaciones de chip de bajo costo de algoritmos de cifrado de datos.
Estos chips estn ampliamente disponibles e incorporados a una serie de productos. Con el
uso de cifrado simtrico, el principal problema de seguridad es mantener el secreto de la
clave.

Criptografa
Los sistemas criptogrficos se caracterizan por tres dimensiones independientes:

1. El tipo de operaciones utilizadas para transformar el texto simple en texto

cifrado. Todos los algoritmos de cifrado se basan en dos principios generales: la
sustitucin, en la que cada elemento del texto plano (bit, letra, grupo de bits o
letras) se mapea en otro elemento, y la transposicin, en la que se reordenan los
elementos del texto claro. El requisito fundamental es que no se pierda
informacin (es decir, que todas las operaciones son reversibles). La mayora de
los sistemas, denominados sistemas de productos, implican mltiples etapas de
sustituciones y transposiciones.
2. El nmero de teclas utilizadas. Si tanto el remitente como el receptor utilizan la
misma clave, el sistema recibe el nombre de cifrado simtrico, de una sola clave,
de clave secreta o convencional. Si el remitente y el receptor utilizan diferentes
claves, el sistema recibe el nombre de cifrado asimtrico, de dos claves o de
clave pblica.
3. La forma en que se procesa el texto sin formato. Un cifrado de bloque procesa la
entrada de un bloque de elementos a la vez, produciendo un bloque de salida
para cada bloque de entrada. Un cifrado de flujo procesa los elementos de
entrada de forma continua, produciendo un elemento de salida a la vez, a
medida que avanza.

Criptoanlisis y Ataque de fuerza bruta

Tpicamente, el objetivo de atacar un sistema de cifrado es recuperar la clave en uso en

lugar de simplemente recuperar el texto sin formato de un solo texto cifrado. Existen dos
enfoques generales para atacar un esquema de cifrado convencional:

Criptoanlisis: Los ataques criptoanalticos dependen de la naturaleza del

algoritmo y quizs de algn conocimiento de las caractersticas generales del texto
plano o incluso de algunos ejemplos de texto claro-texto cifrado. Este tipo de ataque
 explota las caractersticas del algoritmo para tratar de deducir un texto claro
especfico o deducir la clave que se est utilizando.
Ataque de fuerza bruta: El atacante intenta todas las claves posibles en una pieza
de texto cifrado hasta que se obtiene una traduccin inteligible en texto plano. En
promedio, la mitad de todas las claves posibles deben ser probadas para lograr el
xito.

Todas las formas de criptoanlisis para esquemas de cifrado simtricos estn diseadas para
explotar el hecho de que rastros de estructura o patrn en el texto plano pueden sobrevivir a
la codificacin y ser discernibles en el texto cifrado.

El criptoanlisis para los esquemas de claves pblicas procede de una premisa

fundamentalmente diferente, a saber, que las propiedades matemticas del par de claves
pueden hacer posible deducir una de las dos claves del otro. Un ataque de fuerza bruta
implica el intentar de todas las llaves posibles hasta que se obtenga una traduccin
inteligible del texto cifrado en texto claro. En promedio, la mitad de todas las claves
posibles deben ser tratadas para lograr el xito

Tamao de la Numero de llaves Tiempo requerido en 1 Tiempo requerido en

clave (bits) alternativas Descifrado/s 106 Descifraciones/s
32 2.15 milisegundos
56 10.01 horas
128
168
26 caracteres
(permutaciones
)
Tcnicas de Sustitucin

Cifrado de Cesar
El ms conocido, y el ms simple, el uso de una cifra de sustitucin fue por Julio Csar. La
cifra de Csar implica reemplazar cada letra del alfabeto con las tres letras ms abajo del
alfabeto. Por ejemplo:

Simple: meet me after the toga party

Cifrado: PHHW PH DIWHU WKH WRJD SDUWB

Tenga en cuenta que el alfabeto se envuelve alrededor, de modo que la letra despus de Z
es A. Podemos definir la transformacin enumerando todas las posibilidades, como sigue:

Simple: a b c d e f g h i j k l m n o p q r s t u v w x y z

Cifrado: d e f g h I j k l m n o p q r s t u v w x z y a b c

Criptografa Asimtrica
El cifrado asimtrico es una forma de criptosistema en el que el cifrado y el descifrado se
realizan utilizando las diferentes claves, una clave pblica y una clave privada. Tambin se
conoce como cifrado de clave pblica, usndose para confidencialidad, autenticacin o
ambos.

El cifrado asimtrico transforma el texto sin formato en texto cifrado utilizando una de dos
claves y un algoritmo de cifrado. Utilizando la clave pareada y un algoritmo de descifrado,
el texto sin formato se recupera del texto cifrado.

El criptosistema de clave pblico ms utilizado es RSA. La dificultad de atacar a RSA se

basa en la dificultad de encontrar los factores primos de un nmero compuesto.

El desarrollo de la criptografa de clave pblica es la mayor y quiz la nica verdadera

revolucin en toda la historia de la criptografa. Desde sus primeros comienzos hasta los
tiempos modernos, prcticamente todos los sistemas criptogrficos se han basado en las
herramientas elementales de sustitucin y permutacin. Despus de milenios de trabajo con
algoritmos que podran ser calculados a mano, un avance importante en la criptografa
simtrica ocurri con el desarrollo de la mquina de cifrado / descifrado de rotor.

El rotor electromecnico permiti el desarrollo de sistemas de cifrado diablicamente

complejos. Con la disponibilidad de ordenadores, se idearon sistemas an ms complejos,
el ms destacado de los cuales fue el esfuerzo de Lucifer en IBM que culmin en el Data
Encryption Standard (DES). Pero ambas mquinas de rotor y DES, aunque representan
avances significativos, todava confiaban en las herramientas de sustitucin y permutacin
de pan y mantequilla.

La criptografa de clave pblica proporciona una salida radical de todo lo que ha pasado
antes. Por un lado, los algoritmos de clave pblica se basan en funciones matemticas y no
en sustitucin y permutacin. Ms importante an, la criptografa de clave pblica es
asimtrica, implicando el uso de dos claves separadas, en contraste con el cifrado simtrico,
que utiliza slo una clave. (Stalling, 2006)

Algoritmos de Criptografa

DES (Data Encryptation Standard)

Se trata de lo algoritmos mtrico ms extendido a nivel mundial y seora por la NSA en
colaboracin con IBM a mediados de los aos 70 para las comunicaciones seguras del
gobierno de los Estados Unidos.

Esto es morimos se comenz a desarrollar a finales de 1960 por empresa IBM, dentro de un
proyecto de investigacin dominado LUCIFER y cuyo objetivo era desarrollar un algoritmo
de cifrado comercial basado en tcnicas de cifrado en bloque.

El algoritmo DES emplea bloques de 64 bits, que se codifican mediante claves de 56 bits
quien gobierna mltiples operaciones de transposicin y sustitucin estas operaciones se
realizan de 16 rondas, utilizando bloques de transposicin y bloques de sustitucin:

Lo que es de transposicin: tambin conocidos como "cajas P", se encargan de la

"difusin" de los Pits del bloque que se est cifrado en cada ronda aplicando
distintas funciones de permutacin.
 Bloques de sustitucin: tambin conocidos como "cajas S", se encargan de aadir
"confusin" bloque de bits que se est cifrando en cada ronda del algoritmo.

Actualmente DES ya no se considera un algoritmo seguro, debido al avance experimentado

por la capacidad de clculo de los ordenadores.

3DES
Este algoritmo consiste en la aplicacin de algoritmo DES en varias etapas en el mensaje
original, empleando distintas claves en cada etapa, para mejorar de esta forma su robustez.
Se trata, por lo tanto, de una combinacin descifrador es en bloques

De una manera breve de explicar este algoritmo consiste en aplicar el algoritmo DES tres
veces: te codifica con la clave K1, se decodifica con la clave K2 y se vuelve a codificar con
la clave

AES (Advanced Encryption Standar)

Se trata de un algoritmo de cifrado en bloque, que utiliza bloques de 128 bits y claves
variables de longitudes de entre 128 y 256 bits, con varios modos de operacin. (Gmez
Vieites, 2007)

RSA
RSA hace uso de una expresin con exponenciales. El texto plano se cifra en bloques, cada
bloque tiene un valor binario menor que un nmero n. Esto significa que el tamao del
bloque debe ser menor o igual que log2 (n) + 1; en la prctica, el tamao del bloque es i
bits, donde 2i 6 n 2i + 1. La codificacin y el descifrado son de la siguiente forma, para
algunos bloques de texto sin formato M y bloque de texto cifrado C.

Tanto el emisor como el receptor deben conocer el valor de n. El remitente conoce el valor
de e, y slo el receptor conoce el valor de d. Por lo tanto, este es un algoritmo de cifrado de
clave pblica con una clave pblica de PU = {e, n} y una clave privada de PR = {d, n}.
Para que este algoritmo sea satisfactorio para el cifrado de clave pblica, se deben cumplir
los siguientes requisitos.

1. Es posible encontrar valores de e, d, n tales que Med mod n = M para todo M

<n.
2. Es relativamente fcil calcular Me mod n y Cd mod n para todos los valores de
M <n.
3. Es imposible determinar d dado ey n. (Stalling, 2006)

Normatividad Nacional e Internacional de Seguridad

Caractersticas de la normatividad Nacional e nacional

1. Suministrar normas de seguridad a los fabricantes de productos: los estndares
permiten establecer una serie de orientaciones para el desarrollo de nuevos
productos. Para cumplir de forma adecuada con este principio, los fabricantes de
productos certificados deben ofrecer una documentacin exhaustiva sobre la
seguridad de estos productos.
2. Definir mtricas de evaluacin, de certificacin y de acreditacin, aplicadas
tanto a procesos como a tcnicas de gestin y al desarrollo y comercializacin de
productos y servicios.
Las evaluaciones y certificaciones no pueden ser realizadas por el mismo fabricante
o vendedor, sino que correspondera este papel a organismos independientes
acreditados para llevar a cabo estas tareas.
3. Transmitir la confianza necesaria a los usuarios y consumidores: as, por una
parte, los usuarios pueden comparar sus requerimientos especficos de seguridad
frente a lo establecido en distintos estndares para poder determinar cul es el nivel
de seguridad que necesitan y, en consecuencia, que caractersticas o atributos
deberan exigir a los productos o servicios que vayan a adquirir.
Por otra parte, gracias a los estndares los usuarios y consumidores pueden
determinar ms fcilmente cuando un producto o servicio cumple una serie de
requisitos.
 En este sentido, los estndares permiten crear un lenguaje comn entre los
fabricantes y los usuarios y consumidores de los productos, que facilita la
adquisicin de sistemas y productos tecnolgicos.

Estndares Estadounidenses
En este apartado se presentaran de forma resumida los principales estndares en materia de
Gestin de la seguridad de la Informacin que se han desarrollado en Estados Unidos.

TCSEC: Trusted Computer System Evaluation Criteria

Los Criterios de Evaluacin de Sistemas Informticos de Confianza (Trusted Computer
System Evaluation Criteria) fueron desarrollados en 1985 por el Centro de Seguridad
Informtica Nacional de Estados Unidos (NCSC National Computer Security Center), un
organismo dependiente de la Agencia de Seguridad Nacional (NSA) responsable de la
fiabilidad de los sistemas informticos del gobierno de los Estados Unidos.

Tambin son conocidos popularmente como el libro naranja, por el color de las tapas de
su publicacin, y definen varias clases de sistemas en funcin de su nivel de seguridad: D,
C1, C2, B1, B2, B3 y A.

Clase D (Sin Seguridad): se otorga a aquellos sistemas que no cumplen ninguna

especificacin de seguridad, es decir, no se dispone de proteccin para el hardware,
el sistema operativo es inestable y no existe autentificacin con respecto a los
usuarios y sus derechos en el acceso a la informacin. Por ejemplo se puede citar los
sistemas operativos utilizados en los PCs de los aos ochenta y principios de los
noventa como MS-DOS o Windows 3.1.
Clase C1 (Control de Acceso Discrecional): el sistema informtico distingue
varios tipos de usuarios, disponiendo adems de mecanismos fiables de
autentificacin y de control de acceso a la informacin por parte de cada usuario. El
administrador del sistema es un usuario especial con control total de acceso.
Mediante el control de acceso discrecional es posible definir grupos de objetos
(archivos, directorios) y de grupos de usuarios que comparten los mismos
derechos.
 Clase C2 (Proteccin de Acceso Controlado): Adems de las caractersticas ya
prevista para la clase o nivel C1, en estos sistemas se debe implementar un
mecanismo de auditora de accesos e intentos fallidos a los objetos protegidos,
tambin poseen la capacidad de definir un mayor nmero y tipo de restricciones
sobre los usuarios del sistema: que comandos y aplicaciones pueden ejecutar,
limitacin del acceso a determinados archivos o servicios, etc. Por ltimo ofrecer la
posibilidad de registrar todas las acciones relacionadas con la seguridad para
facilitar la auditoria del sistema. Por ejemplo se puede citar los sistemas operativos
Windows NT, Windows 2000, Windows XP y UNIX.
Clase B1 (Seguridad Etiquetada): esos sistemas soportan la seguridad multinivel,
mediante la cual a cada objeto del sistema (ya sea este un usuario, dato fichero y
otro recurso) se le asigna un etiqueta, con un nivel de seguridad jerrquico (alto
secreto, secreto, reservado, etc.) y con unas determinadas categoras (contabilidad,
ventas, personal). De este modo, cada usuario que accede a un objeto debe poseer
un permiso expreso para hacerlo, y viceversa, es decir, el objeto debe incluir a ese
usuario entre la lista de los que se encuentran autorizados. Por otra parte, se
establecen controles para limitar la propagacin o modificacin de los permisos de
acceso a los distintos objetos del sistema.
Clase B2 (Proteccin Estructurada): en este caso se aplica a los sistemas que
permiten establecer una jerarqua de objetos a la hora de definir las etiquetas de
seguridad, facilitando adems la comunicacin entre objetos de un nivel superior
con otros de un nivel inferior. As, el sistema ser capaz de alertar a los usuarios si
sus condiciones de accesibilidad y seguridad han sido modificadas.
Clase B3 (Dominios de Seguridad): el sistema informtico contempla la
implantacin de Dominios de Seguridad, reforzados mediante hardware
especfico para facilitar la aplicacin de las polticas de acceso que se hayan
definido (cada usuario tiene previamente asignados los lugares y los objetos a los
que puede acceder). As, por ejemplo, el sistema hardware de administracin de
memoria de estos sistemas est preparado para restringir el acceso a los objetos de
diferentes Dominios de Seguridad, gracias a la aplicacin de tcnicas de aislamiento
y separacin a nivel lgico.
 Clase A (Proteccin Verificada): se reserva para aquellos casos en los que se han
utilizado mtodos formales (tcnicas matemticas de verificacin formal) en el
proceso de diseo, control y verificacin del sistema, para garantizar la seguridad de
todas las tareas que realiza el usuario sobre los distintos recursos. El hardware y el
software son protegidos para evitar infiltraciones ante traslados de los equipos
informticos.

FISCAM: Federal Information Systems Controls Audit Manual

Estndar de auditora y control de la seguridad de los Sistemas de Informacin Federales
desarrollado de la Oficina de Contabilidad General (General Accounting Office) de Estados
Unidos.

NIST SP 800
Estndar para la certificacin de sistemas basados en las Tecnologas de la Informacin,
que ha sido desarrollado por el NIST (National Institute for Standards and Technology,
Instituto Nacional de Estndares y Tecnologa), un organismo que depende del
Departamento de Comercio de Estados Unidos.

Estndares Europeos
A nivel europeo podemos destacar los siguientes estndares y actuaciones destacadas en
materia de Gestin de la Seguridad de la Informacin (propuesto en algunos casos como
una evolucin y adaptacin de los estndares de Estados Unidos).

ITSEC: Information Technology Security Evaluation Criteria

Los Criterios de Evaluacin de la Seguridad de las Tecnologas de la Informacin fueron
desarrolladas conjuntamente por Francia, Alemania, Holanda y el Reino Unido en el ao
1991, tomando como referencia el trabajo llevado a cabo previamente por el estndar
TCSEC en Estados Unidos.

Agencia Europea de Seguridad de la Informacin y las Redes

En marzo de 2003 la Comisin Europea decidi crear la Agencia Europea de Seguridad de
la Informacin y las Redes Informticas (ENISA European Network and Information
Security Agency), con los siguientes objetivos:
 Obtener un consenso en materia de seguridad informtica en Europa que permita
mantener la disponibilidad y seguridad necesarias en las redes y sistemas de
informacin de las distintas organizaciones.
Proveer asistencia para la aplicacin de nuevas normativas en este campo.
Dirigir el desarrollo en estas materias.
Avisar y coordinar acerca de la informacin recopilada y analizada,
Dar soporte a la certificacin y estandarizacin del mercado.
Facilitar el contacto con terceros pases.

Finalmente, mediante el Reglamento numero 460/2004 del Parlamento Europeo y del

Consejo, de 10 de marzo de 2004, se cre la Agencia Europea de Seguridad de las Redes y
de la Informacin (DOCE de 13 de marzo de 2004).

Esta nueva agencia esta llamada a desempear un importante papel en la aprobacin de

nuevos estndares relacionados con la seguridad informtica en Europa.

Estndares Internacionales
Los principales estndares relacionados con la seguridad de la informacin y la
certificacin de los productos tecnolgicos han sido desarrollados por la ISO y el IEC.
Seguidamente se presenta una relacin de los estndares ms conocidos a nivel internacin,
algunos de los cuales sern analizados posteriormente con un mayor detalle debido a su
especial trascendencia:

ISO/EIC 13335: Guidelines for Management of Information Technologies Security

(Directrices para la Gestin de la Seguridad), es un estndar que define un marco de
referencia para la tcnicas de gestin de riesgos y los criterios de seleccin de
medidas de seguridad o salvaguardas en los sistemas y redes informticos. En la
actualidad ha sido publicada como la nueva norma ISO/EIC 27005.
ISO/EIC 15408: Common Criteria, Criterios Comunes para la evaluacin de
determinados productos de seguridad, facilitando de este modo el proceso de
certificacin de los niveles y servicios de seguridad que pueden proporcionar estos
productos.
 ISO/EIC 17799 (BS-7799): Information Security Management (Gestin de la
Seguridad de la Informacin), estndar que define un cdigo de Buenas Prcticas
mediante un conjunto de controles que se pueden aplicar para mejorar la Gestin de
la Seguridad de la informacin en una organizacin
ISO/EIC 18045: Methodology for IT security evaluation, describe las acciones que
debe llevar a cabo el evaluador y establecer las pautas para realizar las evaluaciones
correspondientes.
ISO/EIC 21827: System Security Engineering (Ingeniera de la Seguridad de los
Sistemas), se ha propuesto para facilitar la evaluacin del niel de madurez de los
procesos relacionados con la Gestin de la Seguridad de la Informacin.
ISO/EIC 27001: Information Security Management Systems Requirements
(Requisitos para los Sistemas de Gestin de Seguridad de la Informacin), norma
que permite certificar la implantacin de un Sistema de Gestin de Seguridad de la
Informacin en una organizacin.
ISM3: Information Security Management Maturity Model (Modelo de Madurez de
la Gestin de la Seguridad de la Informacin), nuevo estndar que se estructura en
distintos niveles de madurez para facilitar su implantacin progresiva en las
organizaciones, partiendo de cules son los requerimientos bsico de seguridad del
negocio o de la actividad que desarrollan.
COBIT: requerimientos de seguridad establecidos por la ISACA (Information
Systems Audit and Control Association Asociacin para el control y la Auditoria
de los Sistemas de Informacin).
RFC 2196, documento del IETF (Internet Engineering Task Force Grupo de
trabajo de Ingeniera de Internet) que constituye un Manual de Seguridad con una
serie de directrices aplicables al desarrollo y exploracin de un Website en internet.
OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation
Evaluacin de Vulnerabilidades, Activos y Amenazas Criticas), del Software
Engineering Institute (SEI) de la Universidad Carnegie Mellon. Se trata de una
metodologa propuesta para facilitar la evaluacin y la gestin de los riesgos en una
evaluacin.
ISO/EIC 17799
Este estndar define un conjunto de guas de seguridad de la informacin reconocidas y
aceptadas internacionalmente, es decir, se trata de un cdigo de Buenas Prcticas para la
Seguridad de la Informacin. En concreto, en su versin inicial se especifican un conjunto
de 127 controles donde se identifican las mejores prcticas para la Gestin de la Seguridad
de la Informacin en una organizacin.

Por Control de Seguridad nos referimos a una prctica, procedimiento o mecanismo que
permite reducir el nivel de riesgo. Los controles se agrupan en 10 Dominios o temticas, de
los que se derivan 36 Objetivos de Control (resultados que se esperan alcanzar).

De este modo, el estndar ISO/EIC 17799 proporciona una base comn para desarrollar
normas y procedimientos de seguridad dentro de las organizaciones, aplicables a cualquier
tipo organizacin independiente de su tamao o sector de actividad.

Se trata de una norma No Certificable, basada en el estndar BS 7799-1, publicada en 1995

por el British Standard Institute (BSI, Instituto de Estndares Britnicos).

En la ISO/EIC 17799 se define la informacin como un activo que posee valor para la
organizacin y, en consecuencia requiere de una proteccin adecuada. Asimismo, la
Seguridad de la Informacin se define como la preservacin de su confidencialidad, su
integridad y su disponibilidad. El objetivo de la Seguridad de la Informacin es proteger
de forma adecuada este activo para asegurar la continuidad del negocio, minimizar los
daos a la organizacin y maximizar el retorno de las inversiones y las oportunidades de
negocio.

ISO/EIC 27001
Esta norma establecida en octubre de 2005 establece los requisitos para los Sistemas de
Gestin de Seguridad de la Informacin.

Se trata de una norma principal de esta serie, que permite certificar la implantacin de un
Sistema de Gestin de Seguridad de la Informacin en una organizacin.
De acuerdo con la definicin propuesta en esta norma, un SGSI es parte del sistema global
de gestin, que sobre la base de un enfoque basado en los riesgos, se ocupa de establecer,
implantar, operar, seguir, revisar, mantener y mejorar la seguridad de la informacin.

El SGSI es la herramienta de que dispone la Direccin de una organizacin para llevar a

cabo las polticas y lo objetivos de seguridad, protegiendo de este modo los recursos
tecnolgicos, los activos de informacin y los procesos de negocio.

Define los requisitos de los controles de seguridad de acuerdo con las necesidades de las
organizaciones, independientemente de su tipo, tamao o rea de actividades. Los controles
de seguridad se tendrn que seleccionar teniendo en cuenta tres fuentes principales:

Anlisis de riesgos en la organizacin.

Requisitos del negocio: cumplimiento de las polticas y normas de seguridad de la
empresa y de los estndares del sector.
Obligaciones legales, reglamentarias y contractuales.

De acuerdo con esta norma, podemos establecer las siguientes etapas en el diseo de un
SGSI:

1. Definicin del Alcance del SGSI: los procesos de negocio, los recursos de
informacin afectados, los recursos tecnolgicos y organizativos, as como la
localizacin de estos.
2. Establecimiento de las Polticas de Seguridad: la Direccin General, junto con
los empleados de los departamentos afectados en la implantacin, debe definir y
desarrollar unas Polticas de Seguridad de la Informacin dentro de la organizacin.
3. Preparacin de un Documento de Seguridad en el que se refleje:
o El compromiso de la Direccin.
o Definicin de la Seguridad de la Informacin dentro de su organizacin.
o Descripcin de los principios del Sistema de Gestin de Seguridad de la
Informacin.
o Definicin de responsabilidades de los usuarios y empleados.
o Referencias al soporte documental del SGSI.
o Cumplimiento con los requisitos legales.
 4. Anlisis y Gestin de Riesgos de forma sistemtica, de acuerdo con las siguientes
actividades:
o Registro de los activos de la organizacin: informacin, hardware, software,
equipos de redes y comunicaciones, personas, imgenes y reputacin de la
empresa
o Anlisis de las posibles amenazas.
o Identificacin de vulnerabilidades y estimacin de su impacto en la
organizacin.
o Evaluacin del nivel de riesgo, teniendo en cuenta para ello las
probabilidades de ocurrencia de una amenaza y de su impacto en la
organizacin.
o Definicin del nivel de riesgo aceptable o residual.
5. Seleccin de Controles y Definicin de Objetivos de Seguridad. Sera necesario
llevar a cabo una revisin de la aplicabilidad de los controles seleccionados,
partiendo del anlisis de la disponibilidad tecnolgica, del coste econmico y del
esfuerzo requerido para su implantacin.

El Documento de Seleccin de Controles (DSC) es el documento que describe los

controles relevantes aplicables en la organizacin, como consecuencia de los resultados del
proceso de anlisis y valoracin de riesgos.

En dicho documento, para cada uno de los controles seleccionados se debe especificar
cules son los objetivos de seguridad perseguidos, incluyendo una descripcin detallada de
cada uno de los controles y cul es la razn que ha aconsejado su seleccin. Asimismo, para
los controles no seleccionados se debe especificar la razn para su exclusin.

Por otra parte, el modelo propuesto para un SGSI es un modelo de mejora continua
PDCA, alinendose de este modo con lo establecido en la norma ISO/EIC 9001:

Plan (Planificar): definicin y establecimiento del SGSI.

Do (Ejecutar): implantacin y operacin del SGSI.
Check (Verificar): comprobacin y revisin del SGSI (medir la efectividad de las
medidas de seguridad).
 Act (Actuar): mantenimiento y mejora del SGSI.

El ciclo de vida del SGSI se articula segn las cuatro etapas ya tradicionales en los sistemas
de gestin en general, como los de gestin de calidad ISO 9001 o los de gestin
medioambiental ISO 14001:

1. Implantacin del SGSI: contempla actividades tales como la definicin de la

poltica de seguridad que incluye la definicin del alcance y limites de riesgos
proporcionado a la naturaleza y valoracin de los activos y de los riesgos a los que
estn expuestos; la evaluacin de alternativas y la seleccin de los controles
adecuados para el tratamiento de los riesgos, extrados de forma justificada de la
norma ISO/EIC 27002 y, en su caso, de controles adicionales; la aprobacin por la
direccin de la implantacin y explotacin del sistema de gestin, as como la
elaboracin de la declaracin de aplicabilidad, documento que incluye los controles
relevantes y aplicables al sistema de gestin.
2. Explotacin del SGSI: incluye actividades tales como la formulacin y ejecucin
del plan de gestin de riesgos, la implantacin de los controles seleccionados, la
definicin de cmo medir la efectividad de los controles y la gestin de las
operaciones y de los recursos necesarios del sistema de gestin.
3. Revisin del SGSI: Incluye actividades tales como la revisin de los
procedimientos y de los controles implantados para la deteccin temprana de
errores, de brechas e incidentes de seguridad, para determinar si las actividades de
seguridad de la informacin se comportan de conformidad con lo esperado y para
ayudar a detectar eventos de seguridad, prevenir incidentes y determinar si las
acciones emprendidas para resolver una brecha de seguridad fueron efectivas; La
realizacin de auditoras peridicas del SGSI para determinar la conformidad con la
norma que especifica los requisitos del sistema de gestin, con los requisitos
identificados en materia de seguridad de la informacin, la adecuada implantacin y
gestin de los controles y el funcionamiento conforme a lo esperado; la revisin de
la valoracin de los riesgos; la revisin del SGSI desde el punto de vista de la
direccin para asegurar que el alcance permanece vlido y para identificar posibles
mejoras.
 4. Mejora del SGSI: Atendiendo a los resultados de las auditoras, a las aportaciones
de los actores implicados, a los resultados de la medida de la efectividad, a la
deteccin de amenazas y vulnerabilidades no tratadas adecuadamente y a los
cambios que hayan podido producirse, debe mantenerse un proceso de mejora
continua que incluya acciones tanto preventivas como correctivas.

En lo que se refiere a la elaboracin de la documentacin del SGSI, ser necesario

contemplar toda una serie de documentos:

Planificacin y Diseo del SGSI (incluyendo la definicin del alcance).

Polticas de Seguridad de la Informacin.
Registro de Activos de Informacin y Valoracin de Riesgos.
Documento de Seleccin de Controles (DSC).
Procedimientos para la Implantacin de los Controles (acciones previstas y
responsabilidades).
Procedimientos para la Gestin y Operacin del SGSI (acciones previstas y
responsabilidades).

La norma seala que la organizacin deber establecer y mantener los procedimientos para
controlar la documentacin del SGSI, cumpliendo con los siguientes objetivos:

1. Disponibilidad para su lectura.

2. Revisin peridica segn las pautas de las Polticas de Seguridad.
3. Control de versiones.
4. Eliminacin de los documentos obsoletos.

Por otra parte, la organizacin tambin debe establecer y mantener los procedimientos que
permitan identificar, mantener, conservar y destruir los registros que evidencien el
cumplimiento del SGSI implantado. stos registros tienen que ser lebles, identificables y
trazables, debiendo ser almacenados de forma adecuada y segura para facilitar su posterior
recuperacin y evitar daos, perdidas o posibles manipulaciones de su contenido. (Gmez
Vieites, 2007)
Bibliografa
Garcia-Cervigon Hurtado, A., & Alegre Ramos, M. d. (2011). Seguridad Informatica. Madrid:
Ediciones Paraninfo.

Gmez Vieites, . (2007). Encicloperdia de la Seguridad Informatica 2 Edicion Actualizada.

Mexico: Alfaomega.

Stalling, W. (2006). Cryptography and Network Security: Principles and Practice. Pearson.