Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Resumen Enciclopedia de La Seguridad Informatica
Resumen Enciclopedia de La Seguridad Informatica
1
FIG 2. Seguridad informatica como proceso y no como producto
Fuente: Gómez (2014). Enciclopedia de la seguridad Informática
2
1.5. Principio de “defensa en profundidad”
Aplicando este principio también se reduce de forma notable el número de potenciales
atacantes, ya que los aficionados y "script kiddies'" sólo se atreven con los sistemas
informáticos más vulnerables y, por tanto, más fáciles de atacar.
3
1.7.1 Recursos del sistema
1.7.2 Amenazas
1.7.3 Vulnerabilidades
1.7.4 Incidentes de seguridad n
1.7.5 Impactos
1.7.6 Riesgos
1.7.7 Defensas, salvaguardas o medidas de seguridad
1.7.8 Transferencia de riesgo a terceros
Es fundamental, por lo tanto, contemplar el papel de las personas y su relación con los
sistemas y redes informáticas de la organización. Además, la disponibilidad en Internet
de todo tipo de herramienta y programas, así como la documentación necesaria para su
instalación y configuración ha venido a complicar la situación para los responsables de
informática de las organizaciones, ya que ahora la "tentación" se encuentra a un simple
clic de distancia
4
El propio experto en criptografía y seguridad Bruce Schneier llegaba a afirmar "si
piensas que tecnología puede resolver tus problemas de seguridad, entonces no
entiendes el problema y no entiendes la tecnología". Es por ello, que la implantación de
un Sistema de Gestión de Seguridad Informática debe considerar el factor humano como
uno de sus elementos claves, contemplando aspectos como:
2. Acuerdos de confidencialidad.
5
1 Inclusión de la seguridad dentro de responsabilidades contractuales.
Todos los términos y las condiciones del trabajador tienen que reflejar la política de la
empresa además de aclarar los siguientes términos:
Según establece la norma ISO 27001 se tienen que llevar a cabo listas de verificación
antes de que estén todos los candidatos para el empleo, los contratistas y terceras
personas. Se debe encontrar en concordancia con la legislación vigente y la ética, el
listado de verificación debe tener en cuenta la privacidad, la protección de todos los
datos del personal y el empleo tiene que estar basado en lo siguiente:
Las funciones y obligaciones de cada una de las distintas personas que tienen acceso a
los datos y a los servicios del sistema de información de una organización deberían estar
claramente definidas en todo momento.
6
Ingeniería Social
7
política que incluya los medios empleados en esta actividad. En dicha política se debe
incorporar:
Existen instituciones que se encargan de este tipo de estandarización, por un lado tenemos a la
Comisión Electrotécnica Internacional (IEC), encargado de estandarización de electrotecnia y
electrónica y por otra parte la Organización Internacional de Estandarización (ISO), dirigido a
las otras ramas de la tecnología e informática.
8
• INFORME TÉCNICO (TR): Documento técnico para informar sobre los progresos
técnicos de un tema determinado, brindar recomendaciones, datos e información a los
que se encuentran contenidos en una norma.
Por otro lado, a nivel de Europa las siguientes entidades se encargan de emitir principalmente
Normas Europeas, Especificaciones Técnicas e Informes Técnicos.
9
4.1 ESTÁNDARES ESTADOUNIDENSES
También conocido como “el libro naranja”, fueron desarrollados en 1985 por el Centro de
Seguridad Informática de los EEUU y definen varias clases de sistemas en función de su nivel
de seguridad.
10
4.2 ESTANDARES EUROPEOS
Desarrollados de manera conjunta por Francia, Alemania, Holanda y el Reino Unido en el año
1991, tomando como referencia el estándar TCSEC en EEUU y desarrollando también la
metodología de evaluación.
También conocido como ENISA (European Network and Information Security Agency) creado
por la Comisión Europea en marzo del 2003 con el objetivo de:
4.3.1 ISO/IEC 13335. (Directrices para la Gestión de la Seguridad), marco de referencia para las
técnicas de gestión de riesgos y las técnicas de selección de medidas de seguridad o
salvaguardas, publicado actualmente como la ISO/IEC 27005.
4.3.3 ISO/IEC 17799. Estándar que define un código de las buenas practicas, mediante un
conjunto de controles a ser aplicados para la gestión de información.
4.3.4 ISO/IEC 18045. (Methodology for IT Security Evaluation) Describe las acciones que debe
llevar a cabo el evaluador y establece las pautas para realizar las evaluaciones
correspondientes.
11
4.3.4 ISO/IEC 27000. (Information technology - Security techniques - Information security
management systems - Requirements) Conjunto de normas y estándares internacionales, que
tiene como fin ayudar a organizaciones de todo tipo y tamaño a implantar y operar un Sistema
de Gestión de la Seguridad de la Información (SGSI). Fue preparada por el comité ISO/IEC JTC 1
SC27. Brinda una visión general de normas y una introducción de los sistemas de gestión de
SGSI. Basada en el modelo PDCA (Plan- Do- Check- Act). También define los términos a
utilizarse en la familia de normas de SGSI.
4.3.5 ISO/IEC 27001. Norma principal de requisitos de un SGSI, deberá ser certificado por
auditores externos a las organizaciones, explica a realce lo que consiste el modelo PDCA.
También contempla una lista de los objetivos de control y controles que desarrolla la ISO
27002
4.3.6 ISO/IEC 27002. (anteriormente denominada ISO 17799). Describe una guía de buenas
practicas mediante los objetivos de control y controles recomendados para un SGSI. Contiene
11 dominios, 39 objetivos y 133 controles.
4.3.7 ISO/IEC 27003. Contiene una guía de implementación de SGSI e información acerca del
uso del modelo PDCA y de los requisitos de sus diferentes fases.
4.3.8 ISO/IEC 27004. Especifica las métricas y las técnicas de medida aplicables para
determinar la eficiencia y eficacia de la implantación de un SGSI y de los controles
relacionados.
4.3.9 ISO/IEC 27005. Consiste en una guía para la gestión de riesgo de una SGSI en apoyo a la
ISO 27001.
REFERENCIA GENERAL
12