UNIVERSIDAD TECNOLÓGICA DE PANAMÁ

FACULTAD DE INGENIERÍA DE SISTEMAS COMPUTACIONALES

CENTRO REGIONAL DE COCLÉ
LICENCIATURA EN REDES DE INFORMÁTICA
SEGURIDAD INFORMÁTICA

IINVESTIGACIÓN #3
INVESTIGACIÓN SOBRE ORGANISMOS RELACIONADOS CON LA
SEGURIDAD INFORMÁTICA

Por:
Salinas Cruz, Maria Celeste

Profa. González, Elisleila

ORGANISMOS RELACIONADOS CON LA SEGURIDAD INFORMÁTICA

Norma ISO
Las normas ISO son normas o estándares de seguridad establecidas por la Organización
Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional
(IEC) que se encargan de establecer estándares y guías relacionados con sistemas de
gestión y aplicables a cualquier tipo de organización internacionales y mundiales, con el
propósito de facilitar el comercio, facilitar el intercambio de información y contribuir a la
transferencia de tecnologías.
En concreto la familia de normas ISO/IEC 27000 son un conjunto de estándares de
seguridad (desarrollados o en fase de desarrollo) que proporciona un marco para la gestión
de la seguridad.
Contiene las mejores prácticas recomendadas en Seguridad de la información para
desarrollar, implementar y mantener especificaciones para los Sistemas de Gestión de la
Seguridad de la Información (SGSI) utilizable por cualquier tipo de organización, pública o
privada, grande o pequeña.
La seguridad de la información, según la ISO 27001, se basa en la preservación de su
confidencialidad, integridad y disponibilidad, así como la de los sistemas aplicados para su
tratamiento.
Confidencialidad: la información no se pone a disposición ni se revela a individuos,
entidades o procesos no autorizados.
Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos
de proceso.
Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la
misma por parte de los individuos o procesos autorizados cuando lo requieran.  
Dentro de este conjunto están:

 Norma  Descripción

ISO/IEC Vocabulario estándar para el SGSI para todas las normas de la familia.. Se encuentra en
27000 desarrollo actualmente.

Certificación que deben obtener las organizaciones. Norma que especifica los requisitos
ISO/IEC para la implantación del SGSI. Es la norma más importante de la familia. Adopta un
27001 enfoque de gestión de riesgos y promueve la mejora continua de los procesos. Fue
publicada como estándar internacional en octubre de 2005.

Information technology - Security techniques - Code of practice for information security

management. Previamente BS 7799 Parte 1 y la norma ISO/IEC 17799. Es un código de
ISO/IEC
buenas prácticas para la gestión de seguridad de la información. Fue publicada en julio de
27002
2005 como ISO 17799:2005 y recibió su nombre oficial ISO/IEC 27002:2005 el 1 de
julio de 2007.

ISO/IEC Directrices para la implementación de un SGSI. Es el soporte de la norma ISO/IEC

27003 27001. Publicada el 1 de febrero del 2010, No está certificada actualmente.

Métricas para la gestión de seguridad de la información. Es la que proporciona

ISO/IEC recomendaciones de quién, cuándo y cómo realizar mediciones de seguridad de la
27004 información. Publicada el 7 de diciembre del 2009, no se encuentra traducida al español
actualmente.

Normativa dedicada exclusivamente a la gestión de riesgos en seguridad de la

información. Proporciona recomendaciones y lineamientos de métodos y técnicas de
ISO/IEC
evaluación de riesgos de Seguridad en la Información, en soporte del proceso de gestión
27005
de riesgos de la norma ISO/IEC 27001. Es la más relacionada a la actual British Standar
BS 7799 parte 3. Publicada en junio de 2008.

Requisitos para la acreditación de las organizaciones que proporcionan la certificación de

ISO/IEC los sistemas de gestión de la seguridad de la información. Esta norma especifica
27006 requisitos para la certificación de SGSI y es usada en conjunto con la norma 17021-1, la
norma genérica de acreditación.

ISO/IEC Guía para auditar al SGSI. Se encuentra en preparación.

27007

ISO/IEC
Guía para implementar ISO/IEC 27002 en la industria de la salud.
27799:2008

 
ISO/IEC 27001
Especifica los requisitos a cumplir para implantar un SGSI certificable conforme a las
normas 27000.
Define cómo es el SGSI, cómo se gestiona y cuáles son las responsabilidades de los
participantes.
Sigue un modelo PDCA (Plan-Do-Check-Act)
Los puntos claves son: Gestión de riesgos y la Mejora continua.
 
ISO/IEC 27002
Es un código de buenas prácticas para la gestión de la seguridad.
Consiste en:
Recomendaciones sobre qué medidas tomar para asegurar los sistemas de información de
una organización.
Describe los objetivos de control (aspectos a analizar para garantizar la seguridad de la
información) y especifica los controles recomendados a implantar, es decir, las medidas a
tomar.

Organismo ITU-T
Unión Internacional de Telecomunicaciones (UIT) es el organismo especializado
en telecomunicaciones de la Organización de las Naciones Unidas (ONU), encargado
de regular las telecomunicaciones a nivel internacional entre las distintas administraciones
y empresas operadoras.
La sede de la UIT se encuentra en la ciudad de Ginebra, Suiza.
La UIT es la organización intergubernamental más antigua del mundo, con una historia que
se remonta hasta 1865, fecha de la invención de los primeros sistemas telegráficos. Se creó
para controlar la interconexión internacional de estos sistemas de telecomunicación
pioneros. La UIT ha hecho posible, desde entonces, el desarrollo del teléfono, de las
comunicaciones por radio, de la radiodifusión por satélite y de la televisión y, más
recientemente, la popularidad de las computadoras personales y el nacimiento de la era
electrónica. La organización se convirtió en un organismo especializado de la ONU en
1947. Posteriormente, desde 1998 hasta 2003, absorbió a varias organizaciones
internacionales responsables del desarrollo tecnológico, tales como la “Asociación de la
Tecnología Informática de América” (ITAA) y el “Consejo Internacional para la
Administración Tecnológica” (IBTA).
En general, la normativa generada por la UIT está contenida en un amplio conjunto de
documentos denominados “Recomendaciones”, agrupados por “Series”. Cada serie está
compuesta por las recomendaciones correspondientes a un mismo tema, por ejemplo:
Tarificación, Mantenimiento, etcétera. Aunque en las recomendaciones nunca se “ordena”,
solo se “recomienda”, su contenido es considerado como obligatorio por las
administraciones y empresas operadoras a nivel de relaciones internacionales.
Misiones y funciones
 Desarrolla estándares que facilitan la interconexión eficaz de las infraestructuras de
comunicación nacionales con las redes globales, permitiendo un perfecto
intercambio de información, ya sean datos, faxes o simples llamadas de teléfono,
desde cualquier país;
 Trabaja para integrar nuevas tecnologías en la red de telecomunicaciones global,
para fomentar el desarrollo de nuevas aplicaciones tales como Internet, el correo
electrónico y los servicios multimedia;
 Gestiona el reparto del espectro de frecuencias radioeléctricas y de las órbitas de los
satélites, recursos naturales limitados utilizados por una amplia gama de equipos
incluidos los teléfonos móviles, las radios y televisiones, los sistemas de
comunicación por satélite, los sistemas de seguridad por navegación aérea y
marítima, así como por los sistemas informáticos sin cable;
 Se esfuerza por mejorar la accesibilidad a las telecomunicaciones en el mundo en
desarrollo a través del asesoramiento, la asistencia técnica, la dirección de
proyectos, los programas de formación y recursos para la información, y
fomentando las agrupaciones entre las empresas de telecomunicaciones, los
organismos de financiación y las organizaciones privadas;
 Engloba a 193 Estados Miembros y unas 700 entidades del sector privado, que
trabajan juntos para desarrollar sistemas de telecomunicaciones mejores y más
asequibles, y para ponerlos a disposición del mayor número posible de personas.

EITF
Internet Engineering Task Force (IETF) (en español, Grupo de Trabajo de Ingeniería de
Internet1) es una organización internacional abierta de normalización, que tiene como
objetivos el contribuir a la ingeniería de Internet, actuando en diversas áreas, como
transporte, encaminamiento, seguridad. Se creó en los Estados Unidos, en 1986. Es
mundialmente conocido porque se trata de la entidad que regula las propuestas y los
estándares de Internet, conocidos como RFC.
Es una institución sin fines de lucro y abierta a la participación de cualquier persona, cuyo
objetivo es velar para que la arquitectura de Internet y los protocolos que la conforman
funcionen correctamente. Se la considera como la organización con más autoridad para
establecer modificaciones de los parámetros técnicos bajo los que funciona la red. El IETF
se compone de técnicos y profesionales en el área de redes, tales como investigadores,
integradores, diseñadores de red, administradores, vendedores, entre otros.
Dado que la organización abarca varias áreas, se utiliza una metodología de división en
grupos de trabajo, cada uno de los cuales trabaja sobre un tema concreto con el objetivo de
concentrar los esfuerzos.
Los detalles de las operaciones de la IETF han cambiado considerablemente a medida que
ha crecido, pero los mecanismos básicos siguen siendo la publicación de especificaciones
propuestas, desarrollo de propuestas, pruebas independientes de los participantes, y la
republicación como contenido propuesto, propuesta de borrador, o eventualmente como un
Standard de Internet. Los estándares de la IETF son desarrollados en un entorno abierto en
el que cada individuo interesado puede participar. Todos los documentos de la IETF están
libremente abiertos a través de internet y pueden ser reproducidos a discreción. Solo las
implementaciones interoperables, múltiples, y útiles pueden volverse un estándar. La
mayoría de las especificaciones están enfocadas en protocolos simples y no en sistemas
cerrados. Esto permite que los protocolos sean utilizados en varios sistemas diferentes, y
sus estándares son rutinariamente reutilizados por cuerpos que desean crear arquitecturas
completas.

RFCs

Los rfcs son las normas del TCP/IP. Son los documentos que tenemos que leer si queremos
hacer aplicaciones que funcionen con TCP/IP.
Las normas de TCP/IP se publican en una serie de documentos llamados Request for
Comments (RFCs). Los RFCs describen el funcionamiento interno de Internet. Algunos
RFCs describen servicios de la red, protocolos y sus aplicaciones. Siempre se publican las
normas del TCP/IP como RFCs.
Estas normas no están desarrolladas por un comité, sino por acuerdo general. Cualquiera
puede escribir un documento para que se publique como un RFC. Estos documentos son
revisados por un experto, una vez revisado se le asigna un estado, que especifica si un
documento está considerando como una norma.
Hay cinco asignaciones de estado para que un documento se convierta en norma.

Requerido Imprescindible

Recomendado Normalmente se llevan a cabo.

Opcional La imprementación es optativa.

Uso limitado No pensado para uso general.

No recomendado No se aconseja la implementación

Si un documento es considerando como candidato a norma, pasa por las fases de desarrollo,
comprobación, y aceptación. Estas fases se etiquetan como niveles de desarrollo (Maturity
levels). Existen 3 niveles para llegar a un standard de Internet.

Nivel de desarrollo Descripción

Una propuesta de norma es generalmente estable, todas las

Propuesta de partes del proyecto están bien resueltas, se considera que está
norma bien explicado, ha recibido la revisión de la comunidad, y
parece generar bastante interés entre la comunidad.

Un proyecto de norma debe entenderse bien y debe de ser

Proyecto de norma
bastante estable

El standard se caracteriza por un grado alto de desarrollo

Standard de técnico y por una creencia generalmente sostenida de que el
Internet protocolo especificado, o el servicio, proporcionan un
beneficio significante a la comunidad de Internet.

Cuando un documento se publica, se le asigna un número de RFC. El RFC original nunca

se actualiza, si se requieren cambios, se publica como un nuevo RFC con un número nuevo.
Por consiguiente, es importante verificar que estemos trabajando con el RFC más reciente.

ETSI

European Telecommunications Standards Institute (ETSI) o Instituto Europeo de Normas

de Telecomunicaciones es una organización de estandarización independiente, sin fines de
lucro de la industria de las telecomunicaciones (fabricantes de equipos y operadores de
redes) de Europa, con proyección mundial. El ETSI ha tenido gran éxito al estandarizar el
sistema de telefonía móvil GSM, el sistema de radio móvil profesional TETRA y fijando
requerimientos para Dispositivos de Corto Alcance, incluyendo la radio LPD.
Organismos de estandarización significativos, dependientes del ETSI son 3GPP (para
redes UMTS), TISPAN (para redes fijas y convergencia con Internet) y M2M (para
comunicaciones de máquina a máquina). El ETSI inspiró la creación del
consorcio 3GPP del cual forma parte.
ETSI fue creado por la CEPT en 1988 y es reconocido oficialmente por la Comisión
Europea y la Secretaría de la Asociación Europea de Libre Comercio (AELC). Con sede en
el parque científico de Sophia Antípolis de Francia, ETSI es oficialmente responsable de la
normalización de las Tecnologías de la información y la comunicación (TICs) dentro de
Europa. Estas tecnologías incluyen telecomunicaciones, la radiodifusión y áreas
relacionadas, como transporte inteligente y la electrónica médica. ETSI tiene 755 miembros
procedentes de diversos países y provincias dentro y fuera de Europa, e incluyen
fabricantes, operadores de redes, administraciones, proveedores de servicios, organismos de
investigación y organizaciones de usuarios.
En el año 2010, el presupuesto del ETSI excedió los 22 millones de euros, con aportes
provenientes de los miembros, las actividades comerciales tales como la venta de
documentos, hospedaje de foros y pruebas de conexión, contratos de trabajo y la
financiación de socios. Cerca del 40% se destina a gastos de funcionamiento y el 60%
restante hacia los programas de trabajo que incluyen centros de competencia y proyectos
especiales.
 El ETSI produce diversos documentos con distintos propósitos. Generalmente se les
conoce como estándares, cada uno de los cuales requiere de un diferente proceso de
aprobación.
 Norma Europea, serie de telecomunicaciones (EN): Se utiliza cuando el documento
está destinado a satisfacer las necesidades específicas de Europa y requiere
transposición a normas nacionales o cuando se requiere la elaboración del
documento borrador por mandato de la Comunidad Europea/AELC.
 Estándar ETSI (ES): Documento que contiene los requisitos normativos y es
necesario presentarlo a todos los miembros de ETSI para su aprobación.
 Guía ETSI (EG): Contiene orientaciones sobre el manejo de las actividades de
normalización técnica, el cual se presentará a todos los miembros de ETSI para su
aprobación.
 Informe Especial (SR): Es un documento que se utiliza para diversos fines, entre
ellos, dar acceso público a la información que no se produce dentro de un comité
técnico. Esta sigla también se usa para los documentos "virtuales", por ejemplo,
documentos que se generan de forma dinámica por una consulta a una base de datos
a través de la web. El documento SR es publicado por el comité técnico en el que se
haya producido.
 Especificación Técnica ETSI (TS): Es un documento que contiene los requisitos
normativos y cuando el corto tiempo de lanzamiento al mercado, la validación y el
mantenimiento son esenciales. Es aprobado por el comité técnico que lo redactó.
 Informe técnico del ETSI (TR): Contiene principalmente elementos informativos
que es aprobado por el comité técnico que lo redactó.
 Especificación de Grupo ETSI (GS): Utilizado por los Grupos de Especificación
Industrial de acuerdo a los procedimientos de toma de decisiones definidas por los
Términos de Referencia del grupo. Este tipo de documento es aprobado y adoptado
por el Grupo de Especificación Industrial del ETSI que lo redactó.
 Estándares Armonizados: Son ENs que tienen una condición especial, ya que son
producidos por mandato de la Comunidad Europea y proporcionan detalles técnicos
 para lograr los requerimientos esenciales de una directiva emitida por dicha
Comunidad.
 Especificaciones comunitarias: Son documentos destinados a la aviación civil y se
producen en respuesta a mandatos de la Comunidad Europea en cooperación con
EUROCAE (Siglas de European Organization for Civil Aviation Equipment,
Organización Europea de Equipos de Aviación Civil). Un documento se convierte
en Especificación comunitaria al ser publicado en la publicación oficial de la
Comunidad Europea.