Proteccion Tema3 2012

Universidad Nacional del Nordeste
Facultad de Ciencias Exactas y Naturales

y Agrimensura
DEPARTAMENTO DE INFORMATICA
AREA: COMPUTACION
ASIGNATURA: OPTATIVA IV
PROTECCION DE DATOS, SEGURIDAD EN

COMUNICACIONES Y CRIPTOGRAFIA
TEMA 3: Misión de Protección y Seguridad
Prof. Responsable: Lic. Ricardo Monzón

Protección de Datos, Seguridad en Comunicaciones y Criptografía – Tema 3
INDICE
Midión de Protección y Seguridad: Introducción 3
Seguridad de TI/SI 5
Propiedades de la Información que protege la Seguridad Informática 6
Estrategias de seguridad informática 8
Norma ISO 27000 9
ISO 27000 VS ISO 17799 18
Introducción a la compilación de una estrategia de seguridad 19
Ejemplo de Estrategia de Seguridad 20
ANEXO – Norma ISO 27005 36
2
Misión de Protección y Seguridad
INTRODUCCION
La creciente globalización de la economía en el mundo ha incrementado la necesidad en las
organizaciones ha abrir sus puertas a el entorno que las rodea y disponer de información
íntegra y confiable en el momento adecuado. Debido al incremento en la complejidad de las
operaciones de las organizaciones y a la disminución en los tiempos de respuesta requeridos,
la única forma de disponer del recurso de la información es teniendo sistemas de información
confiables que permitan a la Organización estar en la vanguardia tecnológica y responder
oportunamente a las exigencias de un mercado cada vez más competitivo.
La integridad, confidencialidad, confiabilidad y disponibilidad de la información solo puede ser
garantizada adoptando los mecanismos adecuados de seguridad en la organización. El
aumento de la competencia incrementa la necesidad de establecer políticas y procedimientos
de seguridad efectivas que disminuyan los riesgos de que se produzca un escape, alteración o
destrucción de datos que sean de vital importancia para la organización.
Un sistema de información dentro de una organización juega el papel análogo al del sistema
nervioso de un animal. Incluido en el sistema están los componentes que ejecutan funciones
tales como la percepción, clasificación, transmisión, almacenamiento, recuperación,
transformación. Su propósito primordial es proporcionar información (en el momento en que se
le solicite ) para la toma de decisiones y la coordinación. En el sentido más amplio el sistema
de información incluye todos los componentes envueltos en la toma de decisiones,
coordinación y advertencia tanto humanos como automáticos. Es así como dada la importancia
que tiene este hoy en día para la continuidad del negocio de la organización, que se debe
enfrentar el tema de la seguridad de la información como un tema en el que esta en juego
todos los componentes de la organización.
El objetivo principal de la Seguridad Informática es proteger los recursos informáticos del
daño, la alteración, el robo y la pérdida. Incluyendo en esto los equipos, medios de
almacenamiento, software, listados de impresora y los datos. Todo esto enmarcado en un
metaobjetivo que es el de mantener la continuidad de los procesos organizacionales que
soportan los sistemas de información.
La Seguridad es un elemento importante de cualquier Servicio y Sistema Informático, aunque
a menudo esta es postergada, basta tan sólo una brecha en la seguridad para crear graves
daños. Por esto, el papel de la Seguridad Informática es cada vez más importante y no podrá
ser ignorado, especialmente por el aumento de la exposición al riesgo que implica la cada vez
mayor integración y globalización de los Sistemas Informáticos.
Una Primera Aproximación

El tema de seguridad es complejo. Y hay varias razones para ello: la gran cantidad de
información que manejan las empresas, la conectividad entre sistemas y equipos, pero por
sobre todo, la falta de políticas globales al interior de la empresa para enfrentarlo en forma
clara y con las herramientas apropiadas.
A continuación se presenta los resultados de encuestas hechas por la Sentry Market Research
a 945 directivos de empresa con un nivel tecnológico medio-alto, el 80% está planeando
implementar mayores medidas de seguridad en los próximos dos años, y el 29% ya
implementó sistemas y software de seguridad.
Un estudio realizado por Intrusion Detection Inc a 32.250 usuarios de medianas y grandes
empresas, extraía las siguientes conclusiones en cuanto a los principales problemas
relacionados con la seguridad detectados en la empresa:
Los usuarios no cambian los passwords con suficiente frecuencia

El acceso a los archivos es demasiado libre
La aplicación de normas de seguridad para nuevos usuarios es inconsistente
Los passwords son fácilmente identificables
3
Los identificadores de usuarios están inactivados
Una encuesta de Ernst&Young para Information Week, realizada en 1995 y 1996, trasladaba
la siguiente pregunta a 1.320 directivos y profesionales de las telecomunicaciones: ¿Cuánta
importancia concede el máximo responsable de su empresa a la información relacionada con
Seguridad?. Los resultados desprenden un creciente interés por la Seguridad dentro de la
empresa:
Porcentaje
Grado de importancia que su empresa
de
concede a la Seguridad
respuestas
Ninguna importancia 5%
Alguna importancia 32%
Importancia 39%
La máxima importancia 24%
Fuente: Ernst&Young para Information Week
Otras interesantes conclusiones del estudio de Ernst&Young/Information Week son las

siguientes:
Aumenta el número de organizaciones que experimentan problemas de seguridad, pero que no
pueden contratar a más personas y adquirir los equipos y tecnologías necesarios para evitarlos
por problemas de presupuesto. En general, muchas compañías no pueden o no quieren invertir
en una estrategia de seguridad adecuada.
Obstáculos para incorporar estrategia de Seguridad en la empresa.

Falta de herramientas y soluciones de seguridad
Falta de administración
Falta de presupuesto
Falta de recursos humanos
Muchas organizaciones sufren pérdidas financieras apreciables por asuntos relacionados con la
seguridad de la información. Así, el 54 % de los encuestados para la realización de este
estudio afirmó que sus compañías habían sufrido pérdidas durante los dos años anteriores
debido a la seguridad de la información y a la recuperación tras el desastre. Si además se
incluyen las pérdidas causadas por los virus informáticos, este porcentaje aumenta hasta
alcanzar un 78 %.
Problemas de seguridad que han supuesto pérdidas Financieras

Virus
Errores accidentales
Tiempo de inactividad que no ha causado desastres
Daños intencionados llevados a cabo por los empleados
Desastres naturales
Daños provocados desde el exterior
Espionaje industrial
Las pérdidas de capital sufridas por las empresas consultadas fueron substanciales, aunque no
cuantificables en algunos casos: cerca del 70 % de los encuestados no pudo calcular cuánto
4
había perdido su empresa. Entre aquellas que sí conocían el alcance de las pérdidas, más del
25% las situaba hasta 250.000 dólares, y algunas incluso en más de un millón de dólares.
Definir los limites de seguridad en las empresas es casi imposible porque involucra a toda la
organización. No solo se trata de protegerla del ambiente externo, si no que también del mal
manejo que se puede producir en su interior . Y cada día se esta haciendo más común
escuchar de firewalls, autentificación de usuarios, control de acceso, firmas digitales, etc. A
nivel nacional estamos en una primera etapa, donde las grandes empresas han sido muy
sensibles al tema ( firewalls ) lo que se debe en gran medida, a los temores que existen sobre
la inseguridad de la internet tradicional, pero en el resto de las áreas se ha hecho muy poco.
Es así como además el desarrollo de la seguridad de los SI/TI en las empresas esta en directa
relación con la evolución de estas en ellas mismas, las pequeñas y medianas empresas (
Pymes ), en donde los SI/TI tienen poco tiempo de vida, son las que se encuentran más
vulnerables.
SEGURIDAD DE SI/TI
¿ Qué es la seguridad informática ?

En realidad es un concepto cuya definición exacta es difícil de proporcionar, debido a la gran
cantidad de factores que intervienen en ella y su corta vida aun. Sin embargo es posible
enunciar que Seguridad es el conjunto de recursos (metodologías, planes, políticas
documentos, programas y dispositivos físicos) encaminados a lograr que los recursos de
cómputo disponibles en un ambiente dado, sean accedidos única y exclusivamente por quienes
tienen la autorización para hacerlo.
Existe una medida cualitativa para la Seguridad que dice "Un sistema es seguro si se
comporta como los usuarios esperan que lo haga" (Dr. Eugene Spafford).
Objetivos que persigue

Como ya se mencionaba en la introducción los objetivos que persigue la seguridad de los SI/TI
es proteger los recursos informáticos del daño, la alteración, el robo y la pérdida. Incluyendo
en esto los equipos, medios de almacenamiento, software, listados de impresora y los datos.
Todo esto enmarcado en un metaobjetivo que es el de mantener la continuidad de los
procesos organizacionales que soportan los sistemas de información.
Como es sabido en todas las empresas existen procesos críticos que constituyen la medula
espinal para que funcione el negocio y muchos de estos procesos críticos son apoyados por los
sistemas de información, es por esto que la seguridad de estos resulta de vital importancia
para que la empresa pueda mantenerse y continuar en su negocio.
La seguridad como problema cultural

Una de las paradojas es que ha pesar de que cada vez se destinan mayores recursos para el
área informática y que esta se ha vuelto esencial para la gestión de negocios de las empresas,
el presupuesto asignado específicamente al tema de seguridad, no ha crecido en la misma
proporción. Por esto es fundamental crea conciencia al interior de las organizaciones para que
puedan dimensionar en su justa medida la relevancia del problema, porque si se miran los
presupuestos de informática dentro de las empresas, vemos que han crecido notablemente,
pero no ha ocurrido lo mismo con los presupuestos asignados a las áreas de seguridad (
recordar los cuadros de las encuestas al principio ). Mientras más tecnología se incorpora, mas
se agranda la brecha en lo que son debilidades de seguridad. Actualmente hay empresas que
basan sus procesos en de negocios en TI y eso provoca que la empresa este dependiendo
cada vez mas de estas herramientas tecnológicas y paralelamente van creciendo los temas
relacionados con la seguridad. Por esto es fundamental la creación de conciencia en las
empresas.
Una de las razones por las cuales no ha despegado fuertemente el comercio electrónico en el
país es que ante la decisión de las empresas de abrirse a este tema, que va a requerir el
desarrollo de mecanismo de seguridad, prefieren postergarla y si ha este le sumamos la
precaria condición de la legislación con respecto al tema la opción queda desechada. La
tecnología disponible hoy en día hace posible una transferencia electrónica en forma segura, el
5
problema es que la que la gente no sabe como hacerlo y tiene como consecuencia que el país
se esta quedando atrás no por un problema tecnológico, si no por un problema de
mentalidad. Sin duda como vemos la seguridad es fudamental no solo para evitar desastres o
perdidas irrecuperables que afecten el funcionamiento de las organizaciones, sino que también
para potenciar nuevas áreas de negocios que permitan el crecimiento de los diferentes actores
del mercado.
La seguridad como proceso

Uno de los puntos de consenso en el tema es que la seguridad es un proceso y no actividad
particular que desarrolla la empresa, un proceso que barre todas las unidades funcionales de
esta. Al hablar de seguridad hay que involucrar muchos aspectos que no solo están
relacionados con herramientas tecnológicas. Abordar el tema de seguridad no solo implica una
solución de hardware y software, también involucra un conocimiento sobre el riesgo que
significa no dar confiabilidad a la información, lo que en ocasiones tiene que ver con un
desconocimiento de parte de los administradores de sistemas sobre el tema.
El problema hay que enfrentarlo con tecnología, pero también debe involucrar a los tomadores
de decisiones, que son finalmente quienes deciden las inversiones, ellos deben comprender
claramente la problemática para destinar los recursos necesarios para garantizar la
confiabilidad, disponibilidad e integridad de los datos.
Propiedades de la Información que protege la Seguridad Informática
La Seguridad Informática debe vigilar principalmente por las siguientes propiedades:
Confidencialidad : Se define como la "condición que asegura que la información no

pueda estar disponible o ser descubierta por o para personas, entidades o procesos no
autorizados". La información debe ser vista y manipulada únicamente por quienes
tienen el derecho o la autoridad de hacerlo. A menudo se la relaciona con la Intimidad o
Privacidad, cuando esa Información se refiere a personas físicas.
Integridad: Se define como la "condición de seguridad que garantiza que la
información es modificada, incluyendo su creación y borrado, sólo por el personal
autorizado". La integridad está vinculada a la fiabilidad funcional del sistema de
información (o sea su eficacia para cumplir las funciones del sistema de organización
soportado por aquél). La información debe ser consistente, fiable y no propensa a
alteraciones no deseadas. Un ejemplo de ataque a la Integridad es la modificación no
autorizada de saldos en un sistema bancario o de calificaciones en un sistema escolar.
Disponibilidad: Se define como el "grado en el que un dato está en el lugar, momento
y forma en que es requerido por el usuario autorizado. Situación que se produce cuando
se puede acceder a un Sistema de Información en un periodo de tiempo considerado
aceptable". Se asocia a menudo a la fiabilidad técnica (tasa de fallos) de los
componentes del sistema de información. La información debe estar en el momento que
el usuario requiera de ella. Un ataque a la disponibilidad es la negación de servicio (En
Inglés Denial of Service o DoS) o "tirar" el servidor .
Autentificacion o no repudio: Se define como "el mecanismo que permite conocer si
la persona que esta accediendo a un sistema, es realmente quien debe acceder y no un
extraño". El no repudio se refiere a los que se hacen sobre en temas de correo
electrónico para garantizar la autenticidad del remitente ( un mecanismo son las firmas
digitales).
Factores que afectan a los sistemas de Información

Los principales factores que se ciernen sobre los sistemas Informáticos tienen orígenes
diversos. Así, si consideramos las amenazas externas, el hardware puede ser físicamente
dañado por agua, fuego, terremotos, sabotajes,... Las mismas causas pueden dañar los
medios magnéticos de almacenamiento externo. La información contenida en éstos, también
puede verse afectada por campos magnéticos intensos y frecuentemente, por errores de
operación. Las líneas de comunicación pueden ser interferidas, etc.
6
Otros tipos de amenazas provienen de usuarios o empleados infieles. Así, los primeros pueden
usurpar la personalidad de usuarios autorizados y acceder indebidamente a datos para su
consulta o borrado, o aunque algo más complicado, modificar en su provecho programas de
aplicación.
Otras amenazas más sutiles provienen de inadecuados controles de programación. Así, el

problema de residuos, es decir, de la permanencia de información en memoria principal
cuando ésta es liberada por un usuario o, en el caso de dispositivos externos cuando ésta es
incorrectamente borrada.
Una técnica fraudulenta muy usada consiste en transferir información de un programa a otro
mediante canales ilícitos y no convencionales (canales ocultos).
Factores que afecta la integridad de los datos
Desastres naturales: Inundaciones, incendios, tormentas, terremotos etc.

Fallas de Hadware: Discos, controladores, energía, memoria, dispositivos etc.
Fallas Humanas: Accidentes, inexperiencias, estrés, problemas de comunicación,
venganza, interés personal.
Fallas en la red: Controladores, tarjetas, componentes, radiación
Problemas de SW o lógicos: Requerimientos mal definidos, corrupción de archivos,
errores de programas o aplicaciones, problemas de almacenamiento, errores de SO.
Factores que afectan a la seguridad de los datos
Autentificación : La forma en que se hace el proceso de acceso a los sistemas,

passwords, perfiles de usuario.
Basados en cables: Todos los cables son "pinchables" es decir se acceder
fácilmente a los datos que circulan de un nodo a otro en una red , para esto se
utilizan las técnicas de encriptacion.
Físicas: averías en los componentes físicos, robo, espionaje industrial etc.
Programación: Aplicaciones mal construidas, los bugs en el software de la industria
que necesita de partches para reducir el riesgo de perder los datos
Puertas Falsas: En la mayoría de los software existen puertas falsas que permiten
alterar o manipular los datos con los cuales estos trabajan ( ej.: manipulación de
tablas en las base de datos).
En Resumen
La información y los sistemas que la soportan constituyen recursos valiosos e importantes
para la Organización. Su seguridad suele ser imprescindible para mantener valores
esenciales, sean propios del sector público (servicio, seguridad procedimental, imagen),
propios del sector privado (competitividad, rentabilidad) o comunes a ambos (permanencia
del funcionamiento, cumplimiento de la legalidad). Dicha seguridad consiste al final en un
depósito de confianza suficiente en la capacidad de dicha información y sistemas para
sostener el funcionamiento adecuado de las funciones y los valores de la Organización.
Cualquier amenaza que se materialice contra el flujo normal de la información en una
Organización, pone de relieve la dependencia y la vulnerabilidad de toda la Organización (en
un grado que es consecuente con la gravedad de la amenaza, como es lógico).
El crecimiento de las redes y la consecuente conectividad entre sistemas representa nuevas
oportunidades, no sólo positivas, sino también negativas al facilitar por ejemplo los accesos
no autorizados y al reducir las facilidades de control centralizado y especializado de los
sistemas de información.
Los sistemas de información de cualquier Organización están sometidos a amenazas más o
menos destructivas (como ampliamente difunden los medios de comunicación incluso los no
especializados). Amenazas que van desde fallos técnicos y accidentes no intencionados (pero
no menos peligrosos), hasta acciones intencionadas, más o menos lucrativas, de curiosidad,
espionaje, sabotaje, vandalismo, chantaje o fraude. Todas las opiniones aseguran que las
7
amenazas a la seguridad de los sistemas de información y a la información misma serán cada

vez más ambiciosas y sofisticadas.
El objeto o propósito de la seguridad de los sistemas de información consiste sobre todo en
mantener la continuidad de los procesos organizacionales que soportan dichos sistemas.
Asimismo intentar minimizar tanto el costo global de la ejecución de dichos procesos como las
pérdidas de los recursos asignados a su funcionamiento.
El sujeto global de la seguridad se determina como un Dominio del conjunto de la
Organización, que suele considerarse compuesto por Activos (como sujetos elementales de la
seguridad), estructurados metódicamente de forma jerarquizada.
La seguridad siempre es barata a largo plazo (y lo es también cada vez más a corto plazo). El
ahorro y la eficacia que proporciona son relativos, pues dependen de su costo propio y su
implantación inteligente; pero siempre son muy superiores si los requerimientos y
especificaciones de seguridad se incorporan en el propio desarrollo de los sistemas y los
servicios de información. Cuanto más temprano se actúe para dar seguridad a los sistemas de
información, más sencilla y económica resultará ésta a la Organización.
Estrategias de seguridad informática
Cuando se habla de la función informática generalmente se tiende a hablar de nuevas

tecnologías, de nuevas aplicaciones, nuevos dispositivos, etc.
Sin embargo, se suele pasar por alto o se tiene muy implícita la base que hace posible la
existencia de los anteriores elementos. Esta base es la Información.
La información es un bien económico, por lo cual requiere normas de protección.
Los datos de los sistemas informáticos están en constante peligro por varias causas: errores
de los usuarios o ataques intencionados o fortuitos. Pueden producirse accidentes y ciertas
personas con intención de atacar el sistema pueden obtener acceso al mismo e interrumpir los
servicios, inutilizar los sistemas o alterar, suprimir o robar información, lo que constituye un
delito informático.
¿Qué es un delito informático ?
Maniobra dolosa que opera sobre un sistema de información alterando la integridad,

confidencialidad o disponibilidad de la información procesada.
Los sistemas informáticos necesitan mantener seguridad en distintos aspectos de la

información, estos son:
Confidencialidad : El sistema contiene información que requiere protección contra la

divulgación no autorizada. Por ejemplo, datos que se van a difundir en un momento
determinado, información personal e información comercial patentada.
Integridad : El sistema contiene información que debe protegerse de modificaciones no

autorizadas, imprevistas o accidentales.
Disponibilidad : El sistema contiene información o proporciona servicios que deben estar

disponibles puntualmente para satisfacer requisitos o evitar pérdidas importantes.
Los administradores de seguridad deben desarrollar distintas estrategias de seguridad

decidiendo el tiempo, dinero y esfuerzo que hay que invertir para desarrollar las directivas y
controles apropiados.
Aunque una estrategia de seguridad puede ahorrar mucho tiempo a la organización y

proporcionar importantes recomendaciones de lo que se debe hacer, la seguridad no es una
8
actividad puntual. Es una parte integrante del ciclo vital de los sistemas y deben ser
actualizadas permanentemente.
Norma ISO 27000
Se desarrolla aquí un análisis de la situación actual que presenta ISO/IEC para cualquier
empresa que desee planificar e implementar una política de seguridad orientada a una futura
certificación dentro de este estándar.
Se debe dejar claro que el tema de certificación en aspectos de seguridad, tal vez aún no ha
sido considerado con la seriedad que merece en el ámbito empresarial, pero no cabe duda que
lo será en el muy corto plazo. Justamente, la sensación que deja el análisis de esta norma, es
que se está gestando con toda rigurosidad este hecho, y que como cualquier otra certificación
ISO, este estándar internacional ha sido desarrollado (por primera vez con relación a la
seguridad, a juicio de este autor) con toda la fuerza y detalle que hacía falta para empezar a
presionar al ámbito empresarial sobre su aplicación. Es decir, se puede prever, que la
certificación ISO-27001, será casi una obligación de cualquier empresa que desee competir en
el mercado en el corto plazo, lo cual es lógico, pues si se desea interrelacionar sistemas de
clientes, control de stock, facturación, pedidos, productos, etc. entre diferentes organizaciones,
se deben exigir mutuamente niveles concretos y adecuados de seguridad informática, sino se
abren brechas de seguridad entre sí, este estándar apunta a poder exigir dichos niveles; y ya
no puede caber duda que las empresas, para competir con sus productos (sean de la índole
que fueren) en este mercado cibernético actual, tienen cada vez más necesidad de
interrelacionar sus infraestructuras de información ISO-27001 en este sentido es una muy
buena y sólida opción.
ISO (Organización Internacional de Estándares) e IEC (Comisión Internacional de

Electrotécnia) conforman un especializado sistema especializado para los estándares
mundiales. Organismos nacionales que son miembros de ISO o IEC participan en el desarrollo
de Normas Internacionales a través de comités técnicos establecidos por la organización
respectiva para tratar con los campos particulares de actividad técnica. Los comités técnicos de
ISO e IEC colaboran en los campos de interés mutuo. Otras organizaciones internacionales,
gubernamentales y no gubernamentales, en relación con ISO e IEC, también forman parte del
trabajo.
En el campo de tecnología de información, ISO e IEC han establecido unir un comité técnico,
ISO/IEC JTC 1 (Join Technical Committee Nº1). Los borradores de estas Normas
Internacionales adoptadas por la unión de este comité técnico son enviados a los organismos
de las diferentes naciones para su votación. La publicación, ya como una Norma Internacional,
requiere la aprobación de por lo menos el 75% de los organismos nacionales que emiten su
voto.
El Estándar Internacional ISO/IEC 17799 fue preparado inicialmente por el Instituto de Normas
Británico (como BS 7799) y fue adoptado, bajo la supervisión del grupo de trabajo
“Tecnologías de la Información”, del Comité Técnico de esta unión entre ISO/IEC JTC 1, en
paralelo con su aprobación por los organismos nacionales de ISO e IEC.
El estándar ISO/IEC 27001 es el nuevo estándar oficial, su título completo en realidad es: BS
7799- 2:2005 (ISO/IEC 27001:2005). También fue preparado por este JTC 1 y en el subcomité
SC 27, IT “Security Techniques”. La versión que se considerará en este texto es la primera
edición, de fecha 15 de octubre de 2005, si bien en febrero de 2006 acaba de salir la versión
cuatro del mismo.
1870 organizaciones en 57 países han reconocido la importancia y los beneficios de esta nueva
norma. A fines de marzo de 2006, son seis las empresas españolas que poseen esta
certificación declarada.
9
El conjunto de estándares que aportan información de la familia ISO-2700x que se puede tener
en cuenta son:
• ISO/IEC 27000 Fundamentals and vocabulary

• ISO/IEC 27001 ISMS - Requirements (revised BS 7799 Part 2:2005) – Publicado el 15
de octubre del 2005
• ISO/IEC 27002 Code of practice for information security management - Actualmente
ISO/IEC 17799:2005, publicado el 15 de junio del 2005
• ISO/IEC 27003 ISMS implementation guidance (bajo desarrollo)
• ISO/IEC 27004 Information security management measurement (bajo desarrollo)
• ISO/IEC 27005 Information security risk management (basado e incorporado a ISO/IEC
13335 MICTS Part 2) (bajo desarrollo)
Actualmente el ISO-27001:2005 es el único estándar aceptado internacionalmente para la

administración de la seguridad de la información y aplica a todo tipo de organizaciones, tanto
por su tamaño como por su actividad.
A los efectos de la certificación, la transición entre ambas normas queda propuesta (o

establecida) por el TPS-55 de UKAS (United Kingdom Acreditation Service): ”Transition
Statement Regarding Arrangements for the Implementation of ISO 27001:2005”. Establece
que las empresas (en realidad los auditores, lo cual afecta directamente a las empresas)
durante los primeros seis meses (desde que se firmó el acuerdo “MoU: Memorandum of
Understanding” entre UKAS y el Departamento de Comercio e Industria de Reino Unido),
pueden elegir acerca de qué estándar aplicar, a partir del 23 de julio del 2006, la única
certificación que se deberá aplicar será la ISO/IEC 27001:2005. Ante cualquier no conformidad
con la aplicación de la misma motivada claramente por su transición, se establece un plazo de
un año para solucionarla, es decir, hasta el 23 de julio de 2007.
Presentación de este texto
El presente documento es un muy breve resumen de los aspectos más importantes a tener en
cuenta para la aplicación del Estándar Internacional ISO-27001:2005. Se debe dejar claro que
este es la versión actual del ISO-17799:2002, y dentro del primero se detallan claramente
todos los aspectos de compatibilidad entre ellos. El verdadero enfoque que se debe encarar
para tratar de alcanzar la compatibilidad con este estándar es aplicar la Norma ISO-27001 con
todo detalle y a través del seguimiento de todos los aspectos que propone, se estará
cumplimentando también con la anterior (lo cual no elude el hecho que se deba conocer
también esta predecesora).
Consideraciones clave del estándar
La propuesta de esta norma, no está orientada a despliegues tecnológicos o de infraestructura,

sino a aspectos netamente organizativos, es decir, la frase que podría definir su propósito es
“Organizar la seguridad de la información”, por ello propone toda una secuencia de acciones
tendientes al “establecimiento, implemanetación, operación, monitorización, revisión,
mantenimiento y mejora del ISMS (Information Security Management System)” (como podrán
apreciar que se recalcará repetidas veces a lo largo del mismo). El ISMS, es el punto fuerte de
este estándar.
Los detalles que conforman el cuerpo de esta norma, se podrían agrupar en tres grandes
líneas:
• ISMS.
• Valoración de riegos (Risk Assesment)
• Controles
10
El desarrollo de estos puntos y la documentación que generan, es lo que se tratará en este

texto.
Los párrafos siguientes son una breve descripción de los puntos que se considerarán en este
texto para poder llegar finalmente y avalando la importancia de la documentación que es
necesaria preparar y mantener.
Se consideró importante el mantener la misma puntuación que emplea el Estándar

Internacional, para que, si fuera necesario, se pueda acceder directamente al mismo, para
ampliar cualquier aspecto, por lo tanto, la numeración que sigue a continuación, no respeta la
de este texto, pero sí la de la norma.
Introducción General
Este estándar fue confeccionado para proveer un modelo para el establecimiento,

implementación, operación, monitorización, revisión, mantenimiento y mejora del ISMS, la
adopción del ISMS debe ser una decisión estratégica de la organización, pues el mismo está
influenciado por las necesidades y objetivos de la misma, los requerimientos de seguridad, los
procesos, el tamaño y la estructura de la empresa, la dinámica que implica su aplicación,
ocasionará en muchos casos la escalada del mismo, necesitando la misma dinámica para las
soluciones.
Aproximación (o aprovechamiento) del modelo
Este estándar internacional adopta un proceso para establecer, implementar, operar,

monitorizar, revisar, mantener y mejorar el ISMS en una organización.
Una organización necesita identificar y administrar cualquier tipo de actividad para funcionar
eficientemente. Cualquier actividad que emplea recursos y es administrada para transformar
entradas en salidas, puede ser considerada como un “proceso”. A menudo, estas salidas son
aprovechadas nuevamente como entradas, generando una realimentación de los mismos.
Este estándar internacional adopta también el modelo “Plan-Do-Check-Act” (PDCA), el cual es

aplicado a toda la estructura de procesos de ISMS, y significa lo siguiente:
• Plan (Establecer el ISMS): Implica, establecer a política ISMS, sus objetivos, procesos,
procedimientos relevantes para la administración de riesgos y mejoras para la
seguridad de la información, entregando resultados acordes a las políticas y objetivos
de toda la organización.
• Do (Implementar y operar el ISMS): Representa la forma en que se debe operar e
implementar la política, controles, procesos y procedimientos.
• Check (Monitorizar y revisar el ISMS): Analizar y medir donde sea aplicable, los
procesos ejecutados con relación a la política del ISMS, evaluar objetivos, experiencias
e informar los resultados a la administración para su revisión.
• Act (Mantener y mejorar el ISMS): Realizar las acciones preventivas y correctivas,
basados en las auditorías internas y revisiones del ISMS o cualquier otra información
relevante para permitir la continua mejora del ISMS.
Aplicación
Los requerimientos de este estándar internacional, son genéricos y aplicables a la totalidad de

las organizaciones. La exclusión de los requerimientos especificados en las cláusulas 4, 5, 6, 7
y 8, no son aceptables cuando una organización solicite su conformidad con esta norma.
Estas cláusulas son:
11
1. ISMS.
2. Responsabilidades de la Administración
3. Auditoría Interna del ISMS
4. Administración de las revisiones del ISMS
5. Mejoras del ISMS.
(Estas cláusulas realmente conforman el cuerpo principal de esta norma)
Cualquier exclusión a los controles detallados por la norma y denominados como “necesarios”
para satisfacer los criterios de aceptación de riegos, debe ser justificado y se debe poner de
manifiesto, o evidenciar claramente los criterios por los cuales este riesgo es asumido y
aceptado. En cualquier caso en el que un control sea excluido, la conformidad con este
estándar internacional, no será aceptable, a menos que dicha exclusión no afecte a la
capacidad y/o responsabilidad de proveer seguridad a los requerimientos de información que
se hayan determinado a través de la evaluación de riesgos, y sea a su vez aplicable a las
regulaciones y legislación vigente.
Normativas de referencia
Para la aplicación de este documento, es indispensable tener en cuenta la última versión de:
“ISO/IEC 17799:2005, Information technology — Security techniques — Code of practice for
information security management”
La siguiente terminología aplica a esta norma:
Recurso (Asset): Cualquier cosa que tenga valor para la organización.
Disponibilidad (availability): Propiedad de ser accesible y usable bajo demanda por una
entidad autorizada.
Confidencialidad (confidentiality): Propiedad que la información no esté disponible o pueda

ser descubierta por usuarios no autorizados, entidades o procesos.
Seguridad de la información: Preservación de la confidencialidad, integridad y disponibilidad

de la información, en adición también de otras propiedades como autenticación, autorización,
registro de actividad, no repudio y confiabilidad pueden ser también consideradas.
Eventos de seguridad de la información: Ocurrencia de un evento identificado sobre un

sistema, servicio o red, cuyo estado indica una posible brecha en la política de seguridad de la
información o fallo en el almacenamiento de la misma, también cualquier situación previa
desconocida que pueda ser relevante desde el punto de vista de la seguridad.
Incidente de seguridad: uno o varios eventos de seguridad de la información, no deseados o

inesperados que tienen una cierta probabilidad de comprometer las operaciones de la empresa
y amenazan a la seguridad de la información.
Sistema de administración de la seguridad de la información (ISMS: Information

Security Management System): Parte de los sistemas de la empresa, basado en el análisis
de riesgo de negocio, cuya finalidad es establecer, implementar, operar, monitorizar, revisar,
mantener y mejorar la seguridad de la información.
Nota: el ISMS incluye las políticas, planes, actividades, responsabilidades, prácticas,

procedimientos, procesos y recursos.
Integridad: Propiedad de salvaguardar la precisión y completitud de los recursos.
12
Riesgo residual: El riesgo remanente luego de una amenaza a la seguridad.
Aceptación de riesgo: Decisión de aceptar un riesgo.
Análisis de riego: Uso sistemático de la información para identificar fuentes y estimar

riesgos.
Valoración de riesgo: Totalidad de los procesos de análisis y evaluación de riesgo.
Evaluación de riesgo: Proceso de comparar los riesgos estimados contra los criterios de
riesgo establecidos o dados, para determinar el grado de significativo del riesgo.
ACLARACIÓN AJENA A LA NORMA: En definitiva la “Evaluación del riesgo”, es el resultado final

de esta actividad, pero no debe ser pensada únicamente con relación a “Análisis y Valoración”,
sino también a los criterios de riesgo que la organización haya definido a lo largo de toda su
política empresarial.
Administración del riesgo: Actividades coordinadas para dirigir y controlar las medidas
necesarias para la observación del riesgo dentro de la organización.
Tratamiento del riesgo: Proceso de selección e implementación de mediciones para

modificar el riesgo.
Nota: el término “control” en esta norma es empleado como sinónimo de “Medida o

medición”.
Declaración de aplicabilidad: Documento que describe los objetivos del control, y los
controles que son relevantes y aplicables a la organización del ISMS.
Nota: Estos controles están basados en los resultados y conclusiones de la

valoración y los procesos de tratamiento de riesgo, los requerimientos y regulaciones
legales, las obligaciones contractuales y los requerimientos de negocio para la
seguridad de la información que defina la organización.
ISMS (Information Security Managemet System). Requerimientos generales
La organización, establecerá, implementará, operará, monitorizará, revisará, mantendrá y

mejorará un documentado ISMS en el contexto de su propia organización para las actividades
globales de su negocio y de cara a los riesgos. Para este propósito esta norma el proceso está
basado en el modelo PDCA comentado en el punto 0.2.
Control de documentos: Todos los documentos requeridos por el ISMS serán protegidos y
controlados. Un procedimiento documentado deberá establecer las acciones de administración
necesarias para:
• Aprobar documentos y prioridades o clasificación de empleo.

• Revisiones, actualizaciones y reaprobaciones de documentos.
• Asegurar que los cambios y las revisiones de documentos sean identificados.
• Asegurar que las últimas versiones de los documentos aplicables estén disponibles y
listas para ser usadas.
• Asegurar que los documentos permanezcan legibles y fácilmente identificables.
• Asegurar que los documentos estén disponibles para quien los necesite y sean
transferidos, guardados y finalmente dispuestos acorde a los procedimientos aplicables
a su clasificación.
• Asegurar que los documentos de origen externo sean identificados.
13
• Asegurar el control de la distribución de documentos.

• Prevenir el empleo no deseado de documentos obsoletos y aplicar una clara
identificación para poder acceder a ellos y que queden almacenados para cualquier
propósito
Responsabilidades de administración
La administración proveerá evidencias de sus compromisos para el establecimiento,

implementación, operación, monitorización, mantenimiento y mejora del ISMS a través de:
• Establecimiento de la política del ISMS

• Asegurar el establecimiento de los objetivos y planes del ISMS.
• Establecer roles y responsabilidades para la seguridad de la información.
• Comunicar y concienciar a la organización sobre la importancia y apoyo necesario a los
objetivos propuestos por la política de seguridad, sus responsabilidades legales y la
necesidad de una continua mejora en este aspecto.
• Proveer suficientes recursos para establecer, operar, implementar, monitorizar, revisar,
mantener y mejorar el ISMS (5.2.1).
• Decidir los criterios de aceptación de riesgos y los niveles del mismo.
• Asegurar que las auditorías internas del ISMS, sean conducidas y a su vez conduzcan a
la administración para la revisión del ISMS (ver 7.)
Formación, preparación y competencia
La organización asegurará que todo el personal a quien sean asignadas responsabilidades

definidas en el ISMS sea competente y esté en capacidad de ejecutar las tareas requeridas,
para ello deberá proveer las herramientas y capacitación necesaria (Documento: Planificación,
guías y programas de formación y preparación).
Auditoría interna del ISMS
La organización realizará auditorías internas al ISMS a intervalos planeados para determinar si

los controles, sus objetivos, los procesos y procedimientos continúan de conformidad a esta
norma y para analizar y planificar acciones de mejora. Ninguna persona podrá auditar su
propio trabajo, ni cualquier otro que guarde relación con él.
La responsabilidad y requerimientos para el planeamiento y la conducción de las actividades de

auditoría, los informes resultantes y el mantenimiento de los registros será definido en un
procedimiento (Ver: Procedimiento de Revisión del ISMS - Periódicas y aperiódicas)
Administración de las revisiones del ISMS
Las revisiones mencionadas en el punto anterior deberán llevarse a cabo al menos una vez al
año para asegurar su vigencia, adecuación y efectividad. Estas revisiones incluirán valoración
de oportunidades para mejorar o cambiar el ISMS incluyendo la política de seguridad de la
información y sus objetivos. Los resultados de estas revisiones, como se mencionó en el punto
anterior serán claramente documentados y los mismos darán origen a esta actividad. Esta
actividad está constituida por la revisión de entradas (7.2.) y la de salidas (7.3.) y dará como
resultado el documento correspondiente (Ver: Documento de administración de las revisiones
del ISMS). 8. Mejoras al ISMS Análisis de ISO-27001:205 Alejandro Corletti Estrada Página 9
de 12 La organización deberá mejorar continuamente la eficiencia del ISMS a través del
empleo de la política de seguridad de la información, sus objetivos, el resultado de las
auditorías, el análisis y monitorización de eventos, las acciones preventivas y correctivas y las
revisiones de administración.
Acciones correctivas
14
La organización llevará a cabo acciones para eliminar las causas que no estén en conformidad
con los requerimientos del ISMS con el objetivo de evitar la recurrencia de los mismos. Cada
una de estas acciones correctivas deberá ser documentada (Ver: Documento de acciones
correctivas)
El anexo A de esta norma propone una detallada tabla de los controles, los cuales quedan
agrupados y numerados de la siguiente forma:
A.5 Política de seguridad

A.6 Organización de la información de seguridad
A.7 Administración de recursos
A.8 Seguridad de los recursos humanos
A.9 Seguridad física y del entorno
A.10 Administración de las comunicaciones y operaciones
A.11 Control de accesos
A.12 Adquisición de sistemas de información, desarrollo y mantenimiento
A.13 Administración de los incidentes de seguridad
A.14 Administración de la continuidad de negocio
A.15 Cumplimiento (legales, de estándares, técnicas y auditorías)
El anexo B, que es informativo, a su vez proporciona una breve guía de los principios de OECD
(guía de administración de riesgos de sistemas de información y redes - París, Julio del 2002,
“www.oecd.org”) y su correspondencia con el modelo PDCA. Por último el Anexo C, también
informativo, resume la correspondencia entre esta norma y los estándares ISO 9001:2000 y el
ISO 14001:2004
DOCUMENTACIÓN A CONSIDERAR
A continuación se presenta un listado de los documentos que se deben considerar como

mínimo y sobre los cuales el estándar hacer referencia. Dentro de cada uno de ellos, se
especifica brevemente algunas consideraciones y los puntos desde donde son referenciados en
la norma. Estos documentos son:
• Declaración de Aplicabilidad (3.16)

• Documento ISMS (4.1.)
Debe incluir:
• Ámbito y límites del ISMS en términos de características del negocio, la organización,

ubicaciones, recursos y tecnologías empleadas y también detalles y justificaciones para
cualquier exclusión fuera del mismo, como se especifica en 1.2.
• Definición de la política de este ISMS, en los mismos términos anteriores y teniendo en

cuenta:
• Establecimiento del marco y objetivos de la dirección y principales líneas de acción en

temas de seguridad de la información.
• Considerar requerimientos legales y de empresa y también obligaciones contractuales
en aspectos relacionados a la seguridad.
• Establecer la alineación con el contexto de la estrategia de administración de riesgo de
la empresa dentro del cual se establecerá y mantendrá el ISMS.
• Establecer los criterios contra los cuales se evaluarán loa riesgos y han sido evaluados
por la dirección.
15
Para los criterios de este estándar internacional, la política del ISMS puede ser considerada
como una parte del documento de “Política de seguridad” general de la empresa.
• Definición de la Valoración de riesgo de la organización:
Identificar la metodología de valoración de riesgo, la información de seguridad identificada de

la empresa y los requerimientos y regulaciones legales.
Desarrollar un criterio para la aceptación de riesgo y los diferentes niveles de aceptación del
mismo.
• Descripción de la metodología que se aplica para la valoración de riesgos
• Identificación de riesgos
Identificar los recursos que se encuentran dentro del ámbito del ISMS y los propietarios de los
mismos.
Identificar las amenazas hacia los mismos.
Identificar las vulnerabilidades que pueden ser explotados por esas amenazas.
Identificar los impactos que la pérdida de confidencialidad, integridad y disponibilidad, pueden
ocasionar sobre esos recursos.
• Análisis y evaluación de riesgos:
Valorar el impacto de negocio hacia la organización que puede resultar desde cualquier fallo de
seguridad, teniendo en cuenta la pérdida de confidencialidad, integridad y/o disponibilidad de
los recursos.
Probabilidad real de la ocurrencia de fallos de seguridad a la luz de las amenazas,

vulnerabilidades e impacto asociado a esos recursos y los controles actualmente
implementados.
Estimación del nivel de riesgo.
Determinación si un riesgo es aceptable o requiere el uso de algún tipo de tratamiento de los

criterios de riesgo establecidos.
Identificación y evaluación de las opciones de tratamiento de riesgo. Las posibles acciones

incluyen:
Aplicación de los controles apropiados.
Conocimiento y objetividad para la aceptación de riesgos, proveyendo una clara satisfacción de

ellos con la política y criterios de aceptación.
Evitar riesgos y transferencia de los riesgos asociados a otras partes, por ejemplo,
proveedores, socios, etc.
• Selección de controles objetivos para el tratamiento del riesgo. Estos controles serán
seleccionados e implementados de acuerdo a los requerimientos identificados por la valoración
del riesgo y los procesos de tratamiento del riesgo.
El anexo A de esta norma proporciona una buena base de referencia, no siendo exhaustivos,
por lo tanto se pueden seleccionar más aún.
• Obtención de aprobación de la dirección para los riesgos residuales propuestos.
16
• Obtener autorización de la dirección para implementar y operar el ISMS.
• Preparar una declaración de aplicación, la cual debería incluir:
Los objetivos de control, los controles seleccionados y las razones para su selección.
Los controles actualmente implementados y la exclusión y justificación de los que figuran en el
Anexo A
- Planificación, guías y programas de formación y preparación (5.2.2)

- Documento de administración de las revisiones del ISMS (7.)
Deberá incluir:
• Resultados de la revisión. Realimentación hacia las partes interesadas.

• Técnicas, productos o procedimientos que pueden ser empleados en la organización
para mejorar su eficiencia.
• Estado de acciones preventivas y correctivas.
• Vulnerabilidades o amenazas que no se adecuan a la valoración de riesgo previa.
• Resultado de la eficiencia en las mediciones (o controles).
• Acciones seguidas desde la última revisión.
• Cualquier cambio que pudiera afectar al ISMS y las recomendaciones de mejora.
• Actualización de la valoración de riesgos y plan de tratamiento de riesgo.
• Modificación de procedimientos y/o controles que afecten a la seguridad de la
información.
• Necesidad de recursos.
• Mejoras en cuanto a la efectividad con que están siendo medidos los controles.
- Documento de acciones correctivas (8.)
Deberá incluir:
• Identificación de no conformidades.
• Determinación de las causas de las mismas.
• Evaluación de necesidades para acciones que aseguren la no recurrencia de las mismas.
• Determinación e implementación de las acciones correctivas necesarias.
• Registro de resultados y acciones llevadas a cabo.
• Revisión de la actividad correctiva llevada a cabo.
• Procedimientos de:
• Control de documentos (Ver los detalles del mismo en el punto 4.3.2 de este
documento).
• De registro: Debería existir un procedimiento general, y dentro del mismo, algunos
específicos como son:
o De actividad (reportes, autorizaciones de acceso, auditorías, cambios, permisos

temporales, bajas, etc.) (4.3.3.)
o de mejoras y decisiones que afectan al ISMS
• Respuesta a incidentes de seguridad.

• Detección de eventos de seguridad.
• Recolección y centralización de eventos de seguridad.
• Revisión del ISMS (Periódica y aperiódica)(punto 6.).
• Revisión y medición de la efectividad de los controles.
17
Todos estos documentos y registros pueden realizarse en cualquier formato, tipo o medio.
Como se mencionó en esta norma se especifican (en el Anexo A), una serie de controles (o
mediciones) a considerar y documentar, que se pueden considerar uno de los aspectos
fundamentales del ISMS (junto con la Valoración de riesgo). Cada uno de ellos se encuentra en
estrecha relación a todo lo que especifica la norma ISO/IEC 17799:2005 en los puntos 5 al 15,
y tal vez estos sean el máximo detalle de afinidad entre ambos estándares. Se reitera una vez
más que la evaluación de cada uno de ellos debe quedar claramente establecida en los
documentos que se presentaron en este texto, y muy especialmente la de los controles que se
consideren excluidos de la documentación.
Norma ISO 17799 Vs. ISO 27001

En el mes de Noviembre se ha publicado la norma ISO 27001:2005 denominada "Requisitos
para la especificación de sistemas de gestión de la seguridad de la información (SGSI)".
Tiene como base la norma BS 7799-2 que a principios del 2005 también sufrió ajustes. En
cuanto a ISO, la ISO 17799-1 no se podía certificar y las compañías debían hacerlo sobre la
British Standard.
La serie ISO 27000 comprende un conjunto de normas relacionadas con la seguridad de la
información y permite a las compañías certificar ISO y no la BS.
El resumen de normas es:
- ISO 27000, vocabulario y definiciones (terminología para el resto de estándares de la serie).
- ISO 27001, especificación del sistema de gestión de la seguridad de la información (SGSI).
Esta norma será certificable bajo los esquemas nacionales de cada país.
- ISO 27002, actualmente la ISO 17799, que describe el Código de buenas prácticas para la
gestión de la seguridad de la información.
- ISO 27003, que contendrá una guía de implementación.
- ISO 27004, estándar relacionado con las métricas y medidas en materia de seguridad para
evaluar la efectividad del sistema de gestión de la seguridad de la información.
- ISO 27005, que proporcionará el estándar base para la gestión del riesgo de la seguridad en
sistemas de información.
18
Introducción a la compilación de una estrategia de seguridad
El establecimiento de un conjunto eficaz de directivas y controles de seguridad requiere el uso

de un método para determinar los puntos vulnerables que existen en nuestros sistemas y en
las directivas y controles de seguridad que los protegen. El estado actual de las directivas de
seguridad informática se puede determinar mediante la revisión de la siguiente lista de
documentación. La revisión debe tomar nota de las áreas en las que las directivas son
deficitarias y examinar los documentos que haya:
• Directiva de seguridad informática física, como los controles de acceso físico.

• Directivas de seguridad de la red (por ejemplo, las referentes al correo electrónico y a
Internet).
• Directivas de seguridad de los datos (control de acceso y controles de integridad).
• Planes y pruebas de contingencias y de recuperación de desastres.
• Conocimiento y formación en seguridad informática..
• Directivas de administración y coordinación de la seguridad informática.
Otros documentos que contienen información importante como:
¾ Contraseñas del BIOS de los equipos.

¾ Contraseñas para la configuración de enrutadores.
¾ Documentos de control de acceso.
¾ Otras contraseñas de administración de dispositivos.
Desarrollar un sistema de seguridad significa : “planificar, organizar, coordinar, dirigir y

controlar las actividades relacionadas a mantener y garantizar la integridad física de los
recursos implicados en la función informática, así como el resguardo de los activos de la
empresa”
La seguridad informática abarca varios aspectos, a saber :
• Seguridad informática física, como los controles de acceso físico.

• Seguridad de la red (por ejemplo, las referentes al correo electrónico y a Internet,
accesos remotos, estc.).
• Seguridad de los datos (control de acceso y controles de integridad).
En nuestro caso nos dedicaremos en particular a la seguridad de datos
Para ello se deben determinar los siguientes puntos :
• Sistema de acceso :
• Nivel de seguridad de acceso
• Empleo de las claves de acceso
• Evaluar la seguridad contemplando la relación costo, ya que a mayor tecnología
de acceso mayor costo
• Controles de integridad y procedimientos de copias de seguridad
• Directivas de privacidad y procedimientos que deban cumplir los usuarios
• Determinar controles de acceso a los datos (autorización, autenticación e
implementación)
• Determinar la responsabilidad que tienen los usuarios en la administración de los datos
y las aplicaciones
• Determinar, en caso de existir, técnicas de administración de los dispositivos de
almacenamiento con acceso directo ¿Cuál es su efecto en la integridad de los archivos
de los usuarios?
• Determinar los procedimientos para controlar los datos importantes
19
Ejemplo de Estrategia de Seguridad
Estrategias de seguridad de red de Windows 2000
En la actualidad, la mayor parte de las organizaciones desean que su infraestructura

informática esté conectada a Internet ya que proporciona servicios valiosos a su personal y a
sus clientes. Sin embargo, no siempre el uso de los servicios disponibles a través de una
conexión a Internet es bienintencionado, lo que hace necesario el empleo de estrategias de
seguridad de red. Microsoft® Windows® 2000 incluye una serie de tecnologías que puede
utilizar al planear la estrategia de seguridad de una red. Estas tecnologías también pueden ser
de utilidad si los problemas de seguridad de la red son internos a la organización o si las
conexiones de red externas se establecen con redes distintas de Internet.
Aquí se trata del uso estratégico de tecnologías de seguridad para proteger las conexiones de
red de una organización con Internet o con otras redes públicas. No proporciona detalles
acerca de cómo instalar y utilizar tecnologías de seguridad de red. Este capítulo está destinado
a los arquitectos de redes implicados en el diseño de la seguridad de red y los administradores
del sistema encargados de su administración. Como requisito para llevar a cabo las tareas
señaladas en este capítulo, tendrá que familiarizarse con las tecnologías de redes y de
Internet, como el enrutamiento, los protocolos de red y los servidores Web.
Contenido
1. Diseñar la seguridad de red

2. Desarrollar estrategias para proteger las conexiones de red
3. Distribuir tecnologías de seguridad de red
4. Elaborar una lista de tareas para determinar estrategias de seguridad de red
Objetivos
Desarrollar los siguientes documentos de diseño:
• Plan de la seguridad de red
• Plan de distribución de tecnologías de seguridad de red
1. Diseñar la seguridad de la red
Una conexión a Internet permite al personal de una organización utilizar el correo electrónico
para comunicarse con gente de todo el mundo y obtener información y archivos de un extenso
número de orígenes. También posibilita que los clientes obtengan información y servicios de la
organización en todo momento. Además, el personal puede utilizar recursos de la organización
desde su domicilio, hoteles o desde cualquier lugar donde se encuentren, y los socios pueden
usar herramientas especiales que les permiten trabajar de forma más efectiva con la
organización.
Al diseñar una red, puede ser aconsejable implementar las tecnologías de seguridad adecuadas
para la organización. Solucionar en un primer momento estos asuntos en el diseño de la
distribución de Windows 2000 garantiza que no se pueda infringir la seguridad y que se está
preparado para proporcionar herramientas de red seguras siempre que sea necesario. Incluso
aunque ya cuente, probablemente, con un entorno de red seguro en la empresa, es importante
que revise las estrategias de seguridad teniendo en mente las posibilidades que le ofrece
Windows 2000. La consideración de las implicaciones de las nuevas tecnologías de seguridad
de red en Windows 2000 podría llevarle a reconsiderar su plan de seguridad. Para empezar, se
recomienda completar las siguientes tareas a medida que desarrolla su plan de seguridad de
red:
20
• Evaluar los riesgos de la seguridad de red.

• Determinar los requisitos de tamaño y emplazamiento de los servidores.
• Formar al personal.
• Crear y publicar políticas y procedimientos de seguridad.
• Utilizar una metodología formal para crear un plan de distribución de las tecnologías de
seguridad.
• Identificar los grupos de usuarios y sus necesidades específicas así como los riesgos de la
seguridad.
1.1. Evaluar los riesgos de la seguridad de red
Por desgracia, la posibilidad de compartir y obtener información conlleva algunos riesgos

significativos. Los competidores podrían intentar hacerse con la información del producto antes
de que salga al mercado o alguien podría modificar las páginas Web con malas intenciones o
sobrecargar los equipos y dejarlos inservibles. También existe la posibilidad de que los
empleados pudieran obtener acceso a información que no les concierne. Su deseo es evitar
éstos y otros tipos de riesgos de seguridad para garantizar que el trabajo en la empresa se
desarrolla como se pretende. Para asegurarse de que sólo las personas adecuadas tienen
acceso a recursos y datos, es una buena idea estudiar cuidadosamente las tecnologías de
seguridad de red y planear las estrategias correctamente. Esto también permite conocer la
responsabilidad de acciones al realizar un seguimiento de la forma en que se utilizan los
recursos.
Nota Algunas organizaciones no permiten la conexión a Internet o a cualquier otra red pública
para reducir los riesgos de la seguridad en la red. Obviamente, esto limita el número de
personas que puede hacer un mal uso de las herramientas de red. Sin embargo, los riesgos de
la seguridad en la red pueden seguir existiendo dentro de la organización e, incluso, la
limitación de las conexiones de la red puede suponer algunos peligros. Por lo tanto, las
estrategias y tecnologías de seguridad de red siguen siendo necesarias en estas situaciones.
La fig. 3.1 da los pasos fundamentales para determinar las estrategias de seguridad en la red.
Figura 3.1 Procedimiento para determinar estrategias de seguridad de red
21
1.2. Determinar el tamaño y emplazamiento de los servidores
A la hora de establecer una conexión entre una red interna e Internet u otra red pública,
considere cuidadosamente el lugar donde establecerá la conexión. Por lo general, se suele
realizar en la parte central de la red de la organización, de modo que haya una distancia
efectiva mínima entre los servidores e Internet. Habitualmente se hará también en una
ubicación donde los especialistas en redes puedan tener acceso fácilmente para su
mantenimiento.
Idealmente, se desea tener una sola conexión a Internet para toda la empresa. De esta forma
se simplifica la administración de las conexiones y se reduce la vulnerabilidad potencial de la
seguridad debido la aplicación anómala de políticas y procedimientos.
Una vez que haya decidido dónde colocar la conexión a Internet, deberá determinar qué
hardware de servidor necesita para respaldar las tecnologías de seguridad de red. Las
características de estos servidores dependerán de las tecnologías que piense implementar y de
la carga de trabajo prevista pero, como mínimo, necesitarán poder ejecutar Windows 2000
Server. Aunque es posible ejecutar otro software para aplicaciones distintas de las de
seguridad de red en los mismos servidores que las aplicaciones de seguridad de red, no es
recomendable. Si se hace, la capacidad de los servidores para responder a las necesidades de
la seguridad de red quedará mermada y los servidores podrían fallar. Asimismo, si la seguridad
de las aplicaciones es débil, la seguridad en la red podría verse comprometida.
1.3. Formar al personal
Es necesario que las tecnologías de seguridad sean distribuidas y administradas por personas
muy capaces y de confianza. Ellas deben integrar la red y la infraestructura de seguridad de
red de modo que puedan eliminar o reducir al mínimo sus debilidades. Como a menudo el
entorno y los requisitos están sujetos a cambios, deben mantener continuamente la integridad
de la infraestructura de seguridad de red.
Un factor decisivo a la hora de garantizar el éxito del personal de seguridad de red es
asegurarse de que ha recibido una buena formación y de que están al día en lo que se refiere a
cambios tecnológicos. El personal necesita tiempo para aprender Windows 2000 y, en
particular, sus tecnologías de seguridad de red. También deben tener la oportunidad de
reforzar sus conocimientos con trabajo experimental y su aplicación práctica.
Además, el personal de seguridad de red debe familiarizarse con los asuntos de seguridad de
red en general. Hay muchos libros acerca de este tema e Internet tiene numerosos sitios que
tratan de la seguridad de red.
1.4. Desarrollar políticas y procedimientos de seguridad
Las políticas y procedimientos son siempre importantes pero además, en el caso de la

seguridad, resultan decisivos. Será necesario crear y publicar las políticas para conseguir
consenso acerca de cómo tratar los problemas de seguridad específicos y asegurarse de que
todo el mundo las comprenda claramente. Los procedimientos formalizados aseguran que el
mantenimiento del sistema y los cambios se realicen siempre de forma bien planeada.
Un factor que se debe considerar es cómo controlar las infracciones o intentos de quebrar la
seguridad. Es posible reducir el efecto de estas acciones si el personal adecuado tiene
conocimiento de ellas lo más pronto posible. Esto sólo puede hacerse si hay procedimientos de
control implantados en la organización. La definición de políticas adecuadas le ayudará a
establecer procedimientos que le permitan enfrentarse a estos problemas de seguridad.
La confiabilidad es otro factor de seguridad importante que es necesario considerar. Disponga
de planes para cuando falle un componente de la infraestructura de seguridad. Decida de
antemano la acción apropiada para cualquier posible infracción de la seguridad y tenga
recursos disponibles para reparar el problema tan pronto como sea posible.
22
1.5. Crear un plan para distribuir las tecnologías de seguridad
Cree un plan detallado para distribuir las tecnologías de seguridad de red como parte del plan
de distribución general de Windows 2000 mediante el uso de una metodología formal de
proyecto. Esto asegurará que las tecnologías se distribuyan de forma sistemática, minuciosa,
con una mínima oportunidad de que se produzcan errores. Entre los pasos más importantes
del proyecto se incluye comunicar las políticas de seguridad de red a todas las partes
interesadas y las políticas y procedimientos a los usuarios de la red.
El aspecto más importante del proyecto de distribución es la realización de una prueba piloto.
Las tecnologías de seguridad de red propuestas deben ser sometidas a pruebas realistas y
significativas en un entorno seguro. Esto ayudará a asegurar que la arquitectura funciona
como se pretendía, que los objetivos de seguridad se han conseguido y que el personal está
preparado para distribuir y mantener las tecnologías.
1.6. Identificar las categorías de usuario y sus necesidades y riesgos de seguridad
La infraestructura de red ya está implantada para servir a las personas en beneficio de la

organización. Para discutir las estrategias de seguridad de red en este capítulo, estas personas
se han dividido en cuatro categorías de usuarios de red:
• Todos Esta categoría incluye todas las personas que tienen acceso a la red desde
cualquier organización o lugar. Aquí podrían incluirse el personal, los usuarios y los
socios. Por lo general, estas personas no se pueden identificar de forma confiable y se
deben considerar, por lo tanto, anónimamente.
• Personal Esta categoría incluye todas las personas que trabajan para la organización.
Se pueden identificar fácilmente por medio de procedimientos internos normalizados.
Normalmente, utilizan el correo electrónico y la red interna de la organización.
• Usuarios Aquí se incluye el personal que utiliza aplicaciones para efectuar funciones
comerciales.
• Socios Esta categoría incluye personas de cualquier organización o lugar que tienen
una relación especial con la organización. Están preparados para seguir procedimientos
normalizados, por lo que es posible identificarlos. Podrían hacer uso de utilidades de
forma similar al personal y los usuarios. Con frecuencia, se consideran como parte de
una extranet.
Las estrategias de seguridad de red presentadas solucionan las necesidades y riesgos de cada
categoría de usuario de red y detallan los enfoques que puede utilizar para satisfacer sus
necesidades al tiempo que se reducen los riesgos. Además, encontrará una estrategia general
para la infraestructura de seguridad de red global.
2. Desarrollar estrategias para proteger las conexiones de red
La seguridad de red se vuelve más importante cuando los equipos se conectan a una red en la
que no se confía enteramente. Los problemas de seguridad de red son comunes dentro de una
organización, excepto en aquellos casos en que tenga mucho campo de acción para investigar
la responsabilidad y aplicar una disciplina, y cuente con una gama de tecnologías de seguridad
de red básicas y distribuidas para solucionarlos. Más allá de su organización, las opciones para
la investigación de responsabilidades y la aplicación de disciplina con frecuencia quedan en un
segundo plano y, por lo tanto, es necesario confiar más en las estrategias de seguridad
propiamente dichas.
2.1. Crear fronteras seguras
La seguridad de red entre una organización y el mundo exterior depende de uno o varios
servidores en los que se implementan tecnologías de seguridad de red. Estos servidores se
sitúan lógicamente en la frontera entre la organización y el mundo exterior. Con frecuencia, los
23
servidores de aplicaciones que proporcionan servicios al mundo exterior se encuentran en la

misma ubicación física.
Una forma de aumentar al máximo la seguridad de estos servidores es colocarlos lógicamente

en una sola ubicación en la infraestructura de red. El área donde se colocan es conocida
normalmente como zona desmilitarizada. El servidor de seguridad, que se trata en la sección
siguiente, tiene un adaptador de red adicional que dirige el tráfico a esta zona en función de un
grupo de direcciones asignadas a esa área. La figura 3.2 muestra esta relación.
Dentro de la zona desmilitarizada, puede asegurar que los servidores no tienen acceso a
recursos de la empresa. De esta forma, si se infringe la seguridad en estos servidores, los
infractores no pueden pasar a otros equipos dentro de la intranet.
Figura 3.2 Una zona desmilitarizada
La zona desmilitarizada, igual que ocurre con los componentes de red internos, tiene que estar
protegida físicamente contra el acceso del público. De este modo se asegura que nadie, ni
siquiera alguno de los empleados, pueda reorganizar el cableado o utilizar inicios de sesión en
las cuentas para debilitar la seguridad.
No es necesario que independice físicamente la zona desmilitarizada de otros equipos y

equipamiento de red. Sin embargo, resulta conveniente aplicarle políticas y procedimientos
especiales, ya que su función es decisiva en la seguridad de red. Los más pequeños cambios
efectuados de forma inadecuada pueden ser suficientes para crear una brecha en la seguridad
de la que pueden beneficiarse los intrusos. Por lo tanto, es necesario que sea imposible para el
personal no cualificado cambiar la zona desmilitarizada. La aplicación de seguridad física
adicional a la zona garantiza que esto se cumpla.
Precaución Proteja cuidadosamente las cuentas y los equipos cliente para asegurar que sólo
los usuarios autorizados pueden utilizarlos para obtener acceso a la red. Si no puede proteger
físicamente un equipo cliente, asegúrese entonces de que las cuentas utilizadas en él tengan
pocos privilegios y de que usa cifrado de archivos, protectores de pantalla seguros y otras
estrategias de seguridad local.
2.2. Proteger contra el grupo Todos

Para proteger la red de la organización del acceso a y desde Internet, es necesario colocar un
servidor entre las dos. El servidor proporciona al personal de la empresa conectividad a
Internet al tiempo que reduce el riesgo que ésta supone. Al mismo tiempo, impide el acceso a
los equipos de la red desde Internet, a excepción de aquellos equipos autorizados a obtener tal
acceso.
Este servidor ejecuta software de servidor de seguridad o de servidor proxy. También dispone
de dos interfaces de red: una para la red corporativa y otra para Internet. El software del
servidor de seguridad o del servidor proxy examina todos los paquetes de red de cada interfaz
para determinar su dirección de destino. Cuando es conveniente, los paquetes se pasan a la
otra interfaz para ser distribuidos al resto de la red respectiva si cumplen los criterios del
software.
En algunos casos, el contenido de los paquetes se pasa como si proviniera del servidor proxy y
los resultados se entregan al equipo solicitante cuando se devuelven al servidor proxy. Esto
24
asegura que las personas conectadas a Internet no puedan obtener las direcciones de equipos
dentro de la empresa distintos del servidor proxy.
2.3. Usar Microsoft Proxy Server

Microsoft® Proxy Server 2.0 ofrece tanto funciones de servidor proxy como de servidor de
seguridad. Proxy Server 2.0 se ejecuta en Windows 2000 y será necesario configurar ambos
adecuadamente para que la seguridad en la red sea completa. Si tiene una versión de Proxy
Server anterior a 2.0 con Service Pack 1, necesitará actualizarla para que sea compatible con
Windows 2000 al mismo tiempo que actualiza el servidor a Windows 2000.
En muchos casos, el volumen de tráfico entre una red de la organización e Internet es superior
al que puede tratar un servidor proxy. En estas situaciones, puede utilizar múltiples servidores
proxy: el tráfico se coordina entre ellos automáticamente. Para los usuarios tanto de Internet
como de la intranet, sólo parece que hay un servidor proxy.
Para utilizar las características avanzadas de Microsoft Proxy Server, es necesario que los
equipos tengan el cliente de Microsoft Proxy Server instalado y configurado para usar el
servidor proxy. Los equipos sin el cliente (como los de Internet) reciben servicio básico del
servidor proxy como usuarios anónimos.
Es importante probar el servidor proxy antes de conectarlo a Internet. Cree una simulación a
pequeña escala de Internet y de la intranet, y haga que los equipos cliente intenten tener
acceso a varios servicios en ambas direcciones. Asimismo, intente establecer conexiones no
autorizadas para comprobar que la red las rechaza. Asegúrese de probar una amplia variedad
de métodos de acceso a la red para comprobar que todos los tipos de accesos son seguros.
Pruebe técnicas diferentes que se pueden utilizar para sacar provecho de las brechas en la
seguridad y asegurar que tales brechas no están presentes en el entorno. Los libros acerca de
la seguridad de red incluyen sugerencias para problemas específicos que puede probar. Los
productos de terceros también pueden ayudar a la hora de realizar tales pruebas, así como los
consultores con experiencia en esta área.
2.4. Supervisar la seguridad de la red
Las tecnologías de seguridad de red que implemente pueden alcanzar sus objetivos sólo si las
planea y configura cuidadosamente. Con una concienzuda preparación, este trabajo se puede
efectuar con gran éxito. Sin embargo, puede resultar muy difícil anticipar todos los riesgos
posibles: nuevos riesgos que surgen, sistemas que se averían y el entorno cambiante en el que
se colocan los sistemas. Las revisiones continuas de las estrategias de seguridad de red
pueden reducir estos riesgos. Sin embargo, también es necesario observar la actividad real de
la seguridad en la red, para descubrir los puntos débiles antes de que sea tarde y para detener
los intentos de quebrantar la seguridad antes de que se hagan efectivos.
Para supervisar la actividad de seguridad de red, necesita herramientas para capturar los
detalles de las actividades y para analizar los datos. Microsoft Proxy Server incluye un registro
en dos niveles: normal y ampliado. Windows 2000 tiene también un registro de sucesos, que
se puede mejorar si se habilita la auditoría de seguridad. El servidor de autenticación de
Internet, que se tratará más adelante en este capítulo, tiene opciones completas para la
elaboración de informes de actividad.
También hay productos de terceros que pueden ayudar a supervisar servidores y aplicaciones,
incluidos servidores y aplicaciones de seguridad. Asegúrese de revisar la documentación
cualquiera que sea el sistema que utilice y seleccione las opciones de registro que mejor se
ajusten a sus necesidades.
25
2.5. Conectar con redes externas
Si tiene un servidor proxy instalado, además de utilidades de supervisión y un personal

preparado adecuadamente, puede conectar la red a una red externa. Lleve a cabo una serie de
pruebas finales para asegurarse de que la implementación se ajusta perfectamente a sus
planes. Necesita estar seguro de que sólo estén disponibles los servicios autorizados y que el
riesgo un mal uso sea casi inexistente. Este entorno requiere un control y mantenimiento
esmerados, pero también debe estar preparado para considerar el suministro de otros
servicios de red seguros.
3. Distribuir tecnologías de seguridad de red

Una vez que tenga preparada la estrategia de seguridad de red global, puede decidir cómo
desea utilizar las tecnologías de seguridad de red mejoradas con cada grupo de usuarios
definido en este capítulo: todos, personal, usuarios y socios. Entonces puede distribuir
estrategias de seguridad de red para cada uno de sus grupos de usuarios de red. Puede ser
aconsejable considerar primero las necesidades de la categoría Todos, como un grupo, y luego
tener en cuenta las necesidades de las categorías Personal de la organización, Usuarios de las
aplicaciones y Socios como dictan las prioridades empresariales.
Antes de identificar políticas de seguridad específicas para la organización, es necesario que
considere las posibilidades de Windows 2000 para mejorar la seguridad de la red.
3.1. Preparar las tecnologías de seguridad de red de Windows 2000
En ciertos casos, las tecnologías de seguridad de red de Windows 2000 dependen de otras
tecnologías de seguridad de Windows 2000. Por ejemplo, el Protocolo de túnel de nivel 2
(L2TP) de red privada virtual (VPN) utiliza IPSec para proporcionar seguridad desde el cliente
remoto al servidor de red privada virtual. La negociación de seguridad IPSec requiere
certificados que autoricen la conexión. Por consiguiente, se requiere un servidor de certificados
con la configuración adecuada. Normalmente, un servidor de certificados de Windows 2000
está unido a un dominio. El dominio especifica la Política de grupo con la configuración de la
infraestructura de claves públicas (PKI) para que los equipos se inscriban automáticamente en
esta entidad emisora de certificados y así obtener un certificado del equipo para IPSec. L2TP
crea la política IPSec necesaria para garantizar que el tráfico de L2TP sea seguro. No obstante,
puede que los administradores deseen proteger también otro tráfico entre todos los servidores
y clientes. Esto requiere configurar IPSec en cada cliente y servidor. Debido a que IPSec se
configura mediante una política, una vez creada ésta en Active Directory™, puede aplicarla a
todos los equipos de un grupo o dominio. Puede distribuir certificados y políticas IPSec a todos
los equipos del dominio mediante la administración centralizada utilizando Política de grupo en
Active Directory.
3.2. Distribuir estrategias para la categoría Todos
Cuando la conexión a Internet está implementada, cualquiera que pueda encontrarla

representa un riesgo potencial para la seguridad de red. Por lo tanto, el primer grupo de
usuarios que deberá tener en cuenta a la hora de distribuir una estrategia de seguridad de red
global es el que entra en la categoría definida anteriormente como Todos. En parte, esto ya se
ha hecho al implantar un servidor proxy así como políticas, procedimientos y tecnologías de
control de la seguridad.
Puede que también desee considerar las aplicaciones de red de las que la categoría Todos
puede beneficiarse y los requisitos de seguridad que tienen estas aplicaciones. Por ejemplo,
quizás desee instalar Servicios de Internet Information Server (ISS) de Microsoft con un sitio
Web interno. IIS dispone de muchas opciones de seguridad que es necesario considerar
cuidadosamente y configurar según corresponda. (IIS incluye una extensa documentación
acerca de este tema.) Considere también el uso de servidores de Protocolo de transferencia de
archivos (FTP) y de otros servicios de los que Todos puede beneficiarse.
26
3.3. Distribuir estrategias para la categoría Personal
Las personas que entran dentro de la categoría Personal podrían desear tener acceso a la red
corporativa desde cualquier lugar y de este modo consultar sitios Web internos, copiar
archivos, imprimir documentos y efectuar otras funciones sencillas. El objetivo de seguridad
principal en estos casos es comprobar que el usuario es un empleado autorizado antes de que
obtenga libre acceso a la red. Por consiguiente, la conexión inicial en la red debe ser segura,
pero no se requiere ninguna otra validación. Otra cuestión adicional es que es necesario
impedir que las personas sin autorización intercepten y lean el tráfico de la red.
Los empleados pueden utilizar proveedores de servicios Internet (ISP) para obtener acceso a
la red de la organización; sin embargo, no todo el personal disfrutará de dicho acceso. Puede
que desee que todos los servicios de la intranet estén disponibles a través de Internet o podría
requerir que se garantizara la capacidad de la red de un vínculo de red dedicado. Con el
servicio Enrutamiento y acceso remoto de Windows 2000, puede definir que las políticas de
acceso remoto sean muy específicas, por ejemplo, en el modo en que los usuarios pueden
tener acceso a la red interna cuando se conectan a través de Internet.
3.4. Enrutamiento y acceso remoto
Generalmente, las organizaciones ofrecen al personal opciones de conexión remota en sus

propios sitios. El personal de informática (IT) instala con este propósito líneas de teléfono
dedicadas y conecta módems (o hardware similar) a un servidor que se conecta directamente
a la intranet. El servidor ejecuta software especializado para tratar los detalles de la conexión
y además autentica al usuario de acceso telefónico como miembro del personal autorizado.
Windows 2000 incluye Enrutamiento y acceso remoto, que permite suministrar utilidades de
acceso telefónico a los usuarios. Si desea centralizar los servicios de autenticación de usuarios,
autorización y cuentas en Windows 2000, puede instalar un servidor de Servicio de
autenticación de Internet (IAS) para usar Acceso remoto o VPN. La figura 3.3 ilustra una de las
posibles configuraciones de estos servidores.
Figura 3.3 Ejemplo de configuración de Enrutamiento y acceso remoto
En la Ayuda de Windows 2000 Server se describe el modo de instalar y utilizar Enrutamiento y

acceso remoto.
Si está planeando la distribución de Enrutamiento y acceso remoto, tenga en cuenta las
siguientes cuestiones de seguridad:
• ¿A quién se va a dar los números de teléfono?
• ¿A quién se le concederá permiso para utilizar Enrutamiento y acceso remoto?
• ¿Qué clase de métodos de autenticación se utilizará?
• ¿Cómo se utilizará el cifrado de datos (desde el cliente de Enrutamiento y acceso
remoto al servidor de Enrutamiento y acceso remoto)?
27
Si necesita un cifrado completo (desde el cliente de acceso remoto al servidor de

aplicaciones de la red interna), utilice la Seguridad del Protocolo Internet (IPSec), que
se trata más adelante en este capítulo.
• ¿Qué políticas de acceso remoto se utilizarán para controlar el acceso de los usuarios?
3.5. Seguridad en Enrutamiento y acceso remoto
El hecho de restringir la distribución de números de teléfono de Enrutamiento y acceso remoto

ayuda a reducir el número de personas que podrían intentar tener acceso telefónico en una
red. Sin embargo, cualquier solución de conexión de acceso telefónico sigue planteando un
riesgo ya que cualquiera puede obtener el número de teléfono. Es posible configurar un
proceso automático que marque los números de teléfono en secuencia hasta que se encuentre
un módem que responda. Por lo tanto, Enrutamiento y acceso remoto debe estar protegido
para asegurar sólo el acceso autorizado. Como mínimo, requiere que el usuario proporcione
una cuenta y una contraseña de equipo válidas. Sin embargo, este nivel de seguridad está
abierto a todos los ataques habituales de inicio de sesión, como la adivinación de contraseñas.
Se recomienda el uso de opciones de seguridad de Enrutamiento y acceso remoto adicionales.
Puede restringir la utilización de Enrutamiento y acceso remoto sólo a aquellas personas que
requieran acceso telefónico y cuando este requisito haya sido confirmado por la empresa.
También puede requerir que Enrutamiento y acceso remoto interrumpa la conexión la primera
vez que se establece y luego vuelva a conectar al usuario. De esta forma, el usuario sólo
puede tener acceso a esta utilidad desde un número de teléfono predeterminado o bien se
puede grabar el número de teléfono. Cuando las utilidades lo permitan, puede utilizar el
identificador de la persona que llama para registrar el número de teléfono que ha originado la
conexión.
Suponga que alguien puede interceptar un nombre de usuario y una contraseña mientras un
usuario intenta iniciar la sesión en el servidor de Enrutamiento y acceso remoto utilizando
técnicas similares a las escuchas telefónicas. Para impedirlo, Enrutamiento y acceso remoto
puede utilizar un método seguro de autenticación de usuarios, como el Protocolo de
autenticación extensible (EAP), el Protocolo de autenticación por desafío mutuo de Microsoft
(MS-CHAP), versiones 1 o 2, el Protocolo de autenticación por desafío mutuo (CHAP) o el
Protocolo de autenticación por desafío mutuo de Shiva (SPAP).
Un riesgo relacionado se produce cuando un usuario cree que está marcando a la red de la
empresa, pero realmente está marcando a otra ubicación que ahora está obteniendo la
información de su identificación. Para evitarlo, puede utilizar la autenticación mutua para
asegurarse de que el servidor de Enrutamiento y acceso remoto está autorizado de forma muy
similar a como lo está el usuario. Esto es posible con los protocolos de autenticación EAP-
Seguridad de nivel de transporte (EAP-TLS) o la versión 2 de MS-CHAP.
Existen problemas similares con los datos que se transfieren a través de la conexión de
Enrutamiento y acceso remoto. Los protocolos de autenticación EAP-TLS o la versión 2 de MS-
CHAP permiten cifrar los datos al mismo tiempo que se están transmitiendo, utilizando el
Cifrado punto a punto de Microsoft (MPPE).
Las políticas de acceso remoto, si se implementan como políticas locales o como parte de la
Política de grupo, pueden imponer el uso de las técnicas de autenticación y cifrado que elija
usar.
Para obtener más información acerca de interconexión de redes, técnicas de autenticación de
Enrutamiento y acceso remoto, y métodos de cifrado de datos, consulte la Ayuda de Windows
2000 Server.
3.6. Redes privadas virtuales
Las redes privadas virtuales (VPN) ofrecen servicios de red seguros a través de una red
pública, igual que lo hace una red privada, pero con un costo reducido. Las redes de este tipo
permiten que el personal de la organización y otros usuarios autorizados se conecten a la red
corporativa desde cualquier ubicación remota con la misma seguridad que si lo hicieran desde
28
un sitio de la organización. Por lo tanto, todos los servicios de redes corporativas se pueden
ofrecer de forma segura a través de redes privadas virtuales. Las redes VPN son más difíciles
de entender, instalar y mantener que las conexiones públicas no protegidas, pero proporcionan
conexiones completamente seguras utilizando conexiones de Internet de bajo costo o
similares.
Se pueden utilizar en combinación con Enrutamiento y acceso remoto, si bien no es
obligatorio. Puede instalar redes de este tipo entre sitios utilizando cualquier tipo de vínculo y
además puede usarlas dentro de un sitio para mejorar la seguridad.
Por lo general, las redes privadas virtuales funcionan del modo siguiente:
• El usuario marca a cualquier proveedor de servicios Internet (ISP).
• El software de cliente de VPN se pone en contacto con un servidor VPN designado
propiedad de la organización a través de Internet e inicia el proceso de autenticación.
• El usuario es autenticado y se proporcionan los datos de seguridad.
• El servidor VPN proporciona una nueva dirección de Protocolo de control de
transmisión/Protocolo Internet (TCP/IP) al equipo cliente, al que se ordena enviar todo
el tráfico de red adicional con esa dirección a través del servidor VPN.
• Todos los paquetes de red se cifran entonces completamente mientras se intercambian,
de forma que sólo el cliente y el servidor VPN puedan descifrar.
La figura 3.4 ilustra la relación entre estos equipos.
Figura 3.4 Ejemplo de configuración de red privada virtual
También es posible utilizar redes privadas virtuales para conectar múltiples equipos de un sitio
a la red corporativa o para restringir la comunicación con una subred sólo al personal
autorizado.
Windows 2000 Server incluye el software de VPN de Windows 2000 como parte de
Enrutamiento y acceso remoto, que es un componente opcional de Windows 2000. El manual
de interconexión de redes contiene información extensa acerca de cómo funcionan las redes
privadas virtuales de Windows 2000 y las funciones que proporcionan. En la Ayuda de
Windows 2000 Server se describe la forma de instalarlas.
3.7. Distribuir redes privadas virtuales
Si tiene pensado distribuir redes privadas virtuales, hay varias cuestiones que es necesario
considerar, como:
• Qué protocolo de seguridad utilizar, el Protocolo de túnel punto a punto (PPTP) o el
Protocolo de túnel de nivel 2 (L2TP).
• Si se va a utilizar IPSec (si se selecciona L2TP).
• Qué certificados utilizar al conectar con L2TP/IPSec.
• Dónde ubicar el servidor VPN: delante, detrás o al lado del servidor de seguridad.
• Cómo usar Connection Manager para ofrecer opciones predefinidas a los usuarios.
• Cómo utilizar redes privadas virtuales como parte de la política de acceso remoto.
29
3.7.1. PPTP frente a L2TP
El Protocolo de túnel punto a punto (PPTP) es un protocolo de red TCP/IP que encapsula
protocolos IP, IPX o protocolos de Interfaz de usuario mejorada de NetBIOS (NetBEUI). PPTP
permite actividad de red que no es TCP/IP o de múltiples protocolos a través de Internet (o
redes similares). Las redes privadas virtuales basadas en PPTP también proporcionan
autenticación de usuario, control de acceso y la oportunidad de aplicar perfiles de acceso
telefónico para restringir cuidadosamente el uso de ciertos tipos de acceso remoto por parte de
usuarios específicos. PPTP proporciona al cliente remoto una configuración de dirección interna,
de modo que pueden participar en la red interna como si estuvieran conectados directamente.
PPTP ofrece compresión y opciones de cifrado RC4 estándar y seguro (una clave de secuencia
simétrica) para el tráfico que es llevado al interior del túnel.
L2TP es muy parecido a PPTP pero emplea UDP y, por lo tanto, se puede utilizar sobre las
redes de modo de transferencia asincrónico (ATM), Frame Relay y las redes X.25. Cuando se
utiliza L2TP sobre redes IP, utiliza un formato de paquete 1701 de puerto UDP tanto para el
canal de control como para el canal de datos. L2TP también se puede usar con IPSec para
proporcionar un vínculo de red completamente seguro. IPSec realiza primero una negociación
de la seguridad, utilizando certificados para la autenticación, entre el cliente y el servidor de
red privada virtual para el tráfico de L2TP. L2TP proporciona entonces la autenticación
utilizando una cuenta y contraseña de usuario o por medio de un certificado de usuario.
3.7.2. Seguridad del Protocolo Internet
Seguridad del Protocolo Internet (IPSec) es un protocolo para proteger el tráfico en la red de
Protocolo Internet (IP). IPSec ofrece una seguridad completa entre dos equipos, de modo que
ninguna sesión de la conexión es insegura. La configuración de IPSec se realiza mediante
políticas IPSec. Estas políticas pueden contener una serie de normas de seguridad asociadas
con una acción de filtro y un método de autenticación, y cada una ellas especifica un tipo de
tráfico determinado con filtros. Las políticas IPSec se pueden crear y asignar localmente en un
equipo o en Active Directory dentro de Política de grupo.
Nota IPSec proporciona seguridad IP de un extremo a otro, pero no cifra todos los protocolos
que se ejecutan sobre IP. IPSec tiene exenciones integradas para determinado tráfico, como la
negociación de Intercambio de claves de Internet, la autenticación Kerberos, la difusión IP y el
tráfico de multidifusión IP. Si es necesario, es posible crear normas de IPSec con un filtro para
especificar el tipo de tráfico y una acción del filtro permitida, con el fin de excluir protocolos
adicionales.
3.7.3. Ubicación del servidor de red privada virtual
Las redes privadas virtuales se pueden utilizar en combinación con servidores de seguridad.
Aunque este tipo de redes pueden actuar de forma similar a los servidores de seguridad, cada
uno ofrece ventajas adicionales de las que el otro carece y, por lo tanto, ambos podrían ser
necesarios. En una situación como ésta, considere la ubicación del servidor VPN en relación al
servidor de seguridad.
Físicamente, es posible instalar los dos en el mismo servidor. De esta forma se crea un solo
punto de error si el servidor deja de estar disponible o si la seguridad del servidor se ve
comprometida. Sin embargo, el hecho de tener pocos servidores reduce la probabilidad de que
alguno de ellos deje de estar disponible, al mismo tiempo que se reducen los costos de su
mantenimiento. También pueden haber implicaciones en la capacidad. Considere el modo en
que cada uno de estos factores afecta a su situación y determine el diseño específico que
necesita.
30
Un cuestión más significativa es la relación lógica del servidor de red privada virtual con el
servidor de seguridad. Las opciones, como se muestra en la figura 17.5, son colocar el servidor
VPN lógicamente delante del servidor de seguridad, detrás suya o al lado. Windows 2000
puede proporcionar servicios de servidor de seguridad, bien con Proxy Server o con el
enrutamiento de los filtros de paquetes. Para obtener más información acerca de estas
soluciones, consulte "Enrutamiento y acceso remoto" en la Guía de recursos de Internet.
Si el servidor VPN se coloca delante del servidor de seguridad, éste sólo proporciona sus
servicios externos a usuarios autorizados de redes privadas virtuales. Por lo tanto, no se
proporciona acceso general a Internet o similares. Una excepción a esto se produce si el
acceso a Internet se proporciona en el otro extremo de las conexiones VPN.
Figura 17.5 Ejemplo de colocación lógica del servidor VPN en relación a un servidor de seguridad
Si el servidor VPN está detrás del servidor de seguridad, éste proporciona todos sus servicios
tradicionales, pero es necesario configurarlo para que abra los puertos que el servidor VPN
necesita. Aquí se incluyen los puertos necesarios para IPSec si está utilizando una red privada
virtual L2TP con IPSec.
Si el servidor VPN se sitúa al lado del servidor de seguridad, cada uno proporciona sus
servicios independientemente del otro. Sin embargo, esta configuración ofrece dos rutas de
acceso a la red corporativa, lo que aumenta el peligro de que se produzca una infracción en la
seguridad. Normalmente, tampoco proporciona una ruta alrededor de la otra, pero con dos
rutas, el riesgo se duplica.
La elección de la mejor relación para su situación depende de los aspectos de seguridad que le
resulten más adecuados. Con los servidores uno al lado del otro, dispone de dos rutas en la
Intranet y por lo tanto de dos grupos de riesgo en la seguridad. Con el servidor VPN detrás del
servidor de seguridad, tiene que abrir más puertos en el servidor de seguridad. Con el servidor
VPN delante del servidor de seguridad, el servidor VPN no se beneficia de la seguridad que
proporciona el servidor de seguridad, pero sí lo hace todo el tráfico que éste procesa.
3.7.4. Connection Manager
31
Proporcionar utilidades de VPN a los usuarios requiere cierta configuración en cada equipo
cliente. La configuración no es del todo fácil de establecer, sin embargo, Windows 2000 incluye
una utilidad que facilita al usuario el proceso de configuración, Connection Manager.
Connection Manager funciona en equipos que ejecutan Microsoft® Windows® 95, Microsoft®
Windows® 98, Microsoft® Windows NT® o Windows 2000. Los servidores de Windows 2000
también disponen de un kit administrativo llamado Kit de administración de Connection
Manager, que permite crear un administrador de conexiones personalizado para los usuarios.
3.7.5. Políticas de acceso remoto
Las políticas de acceso remoto permiten especificar las personas que pueden utilizar
Enrutamiento y acceso remoto, y las diversas condiciones que se aplicarán cuando se
conecten. Puede especificar políticas en función del grupo de Windows 2000 en el que se halla
el usuario, el número de teléfono que utilizan, la hora del día y otra información relevante. Las
políticas pueden especificar que la conexión se acepte o se rechace, y que se aplique un perfil
a la conexión. El perfil puede determinar la duración de la sesión, el tiempo que puede estar
inactiva, qué clases de medios de acceso telefónico y qué direcciones se permiten, qué
métodos de autenticación son necesarios y si se requiere cifrado o una red privada virtual.
Puede establecer políticas de acceso remoto para Enrutamiento y acceso remoto, o para
Servicio de autenticación de Internet (IAS), que se trata más adelante en esta sección. Para
obtener más información acerca de las políticas de acceso remoto, incluida la forma de
configurarlas y las opciones que proporcionan, consulte la Ayuda de Windows 2000 Server.
Considere cuidadosamente la posibilidad de aplicar políticas distintas a diferentes grupos o
condiciones. Es posible que las políticas se superpongan y, por lo tanto, que rechacen a las
personas que deseaba permitir que se conectaran o que surja otro tipo de problema. Una
combinación compleja de políticas puede crear tales problemas con mayor probabilidad. Por lo
tanto, lo mejor es reducir el número de políticas siempre que sea posible. La Ayuda de
Windows 2000 Server incluye un procedimiento recomendado para solucionar los problemas de
las políticas de acceso remoto en caso de que éstos se produzcan.
3.8. Capacidad del servidor de red privada virtual
Igual que ocurre con todos los servidores, los servidores VPN pueden estar sobrecargados de
trabajo si la carga que se les envía es excesiva. Se necesitan muchos vínculos de redes
privadas virtuales para que esto ocurra pero para una gran organización puede ser un
problema. En la prueba piloto, puede probar la cantidad de carga que es probable que
coloquen los usuarios en los servidores VPN disponibles. También se puede probar la capacidad
que los servidores VPN pueden tratar mediante la estimación del número de usuarios
simultáneos que es probable que tenga y la cantidad de datos que es probable que envíen.
Puede enviar una cantidad de datos comparable a través del servidor VPN utilizando un
pequeño número de equipos cliente pero a través de la red de área local (LAN) y con
actividades de gran volumen, como la copia de un gran número de archivos. Mediante la
supervisión del servidor VPN y su capacidad de respuesta, puede determinar si los servidores
VPN cumplen bien su función. Si lo considera necesario, puede aumentar el tamaño de los
servidores o agregar más servidores VPN y utilizar el servicio de Equilibrio de la carga en la red
o DNS con operación por rondas para equilibrar la carga.
3.9. Servicio de autenticación de Internet
Windows 2000 Server incluye el Servicio de autenticación de Internet (IAS) como un

componente opcional. Este servicio implementa un protocolo de seguridad de autenticación de
red estándar del sector, el Servicio de usuario de acceso telefónico de autenticación remota
(RADIUS), que permite la centralización de la autorización de cuentas. RADIUS también
permite especificar el tiempo que la sesión puede durar y la dirección IP que se puede utilizar.
Asimismo, el servicio IAS puede registrar detalles de la sesión y proporcionar opciones de
responsabilidad y generación de informes.
32
También puede utilizar IAS si desea sacar fuera sus utilidades de acceso remoto y seguir
controlando la autenticación de las personas que intenten utilizarlas. En este caso, el
proveedor externo puede dirigir las solicitudes de autorización desde sus servidores de
Enrutamiento y acceso remoto a sus servidores IAS. IAS autentica las cuentas con los
dominios nativos de Windows 2000 y los dominios de Windows NT 4.0.
Tendrá que colocar el servidor IAS detrás del servidor de seguridad con puertos abiertos en el
servidor para la autenticación RADIUS y los paquetes adecuados del Protocolo de datagramas
de usuario (UDP).
3.10. Distribuir estrategias para la categoría Usuarios
Algunos usuarios podrían desear tener acceso a las aplicaciones de la empresa protegidas
cuando se encuentran fuera de sus oficinas. Algunas de estas aplicaciones son relativamente
sencillas, como programas de administración del tiempo, de registro de los beneficios de la
empresa o similares. Otros son complejos, como los sistemas de contabilidad y las aplicaciones
empresariales. Asegúrese de proteger estas aplicaciones para que sólo los usuarios autorizados
puedan tener acceso a los datos y que los cambios que realicen sean sólo los permitidos. Esto
también permite conocer la responsabilidad, porque se puede hacer un seguimiento del uso de
las aplicaciones por parte de usuarios específicos.
Windows 2000 incorpora una gran variedad de tecnologías de seguridad que proporcionan a
los programadores de aplicaciones opciones para incluir seguridad de red. La elección de las
tecnologías depende de:
• Los requisitos de seguridad de las aplicaciones
• Los problemas de integración
• El grado de conocimiento de la tecnología que tiene el programador
• El efecto en el rendimiento de la aplicación y de la red
• La complejidad de la administración
Entre las tecnologías de seguridad de red orientadas a aplicaciones se incluyen:

• Interfaz del proveedor de asistencia de seguridad (SSPI, Security Support Provider
Interface), una API de seguridad de propósito general que proporciona acceso a
multitud de servicios de seguridad desde una interfaz de programación normalizada.
• La seguridad NTML de Windows, también conocida como seguridad de nivel de dominio
de Windows NT.
• Protocolo de autenticación Kerberos v5.
• Nivel de sockets seguros (SSL). SSL ha sido mejorado y normalizado por el Grupo de
Ingeniería de Internet (IETF, Internet Engineering Task Force) como Seguridad de nivel
de transporte (TLS).
• Los certificados, como se ha tratado anteriormente en este capítulo.
Estas tecnologías de seguridad de red y las tecnologías de red que tienen acceso a ellas se
relacionan entre sí como se indica en la figura 3.6. Observe que SSP en la figura significa
Proveedor de seguridad SSPI, que representa la interfaz entre la utilidad de seguridad y SSPI.
Llamada a procedimiento remoto (RPC), Modelo distribuido de objetos componentes (DCOM)
de Microsoft® y Windows Sockets (Winsock) son métodos de comunicación entre procesos.
WinInet (API de Internet para Windows) es una interfaz de programación utilizada para iniciar
y administrar interfaces Web.
Las tecnologías de seguridad de red se encuentran en la mitad inferior del diagrama,

empezando por el SSPI. Las tecnologías de red están en la mitad superior y se encuentran
debajo del cuadro de aplicaciones que las utiliza.
33
Figura 3.6 Ejemplo de relaciones de las tecnologías de seguridad de aplicaciones de red
Trabaje con los programadores y proveedores de aplicaciones corporativos para determinar las
tecnologías de seguridad de red orientadas a la aplicación que necesita distribuir. Estas
tecnologías no requieren ningún diseño de infraestructura adicional; sin embargo, tendrá que
determinar cómo pueden beneficiarse los programadores de la seguridad de red más eficaz
que ofrece Windows 2000. Por ejemplo, podría ser aconsejable considerar el uso de tarjetas
inteligentes para garantizar la seguridad de la autenticación del usuario cuando se han
instalado los vínculos de Enrutamiento y acceso remoto o VPN.
3.11. Distribuir estrategias para la categoría Socios
La mayor parte de las organizaciones se mueven en un mundo complejo de relaciones entre

clientes, proveedores, empresas aliadas, suministradores, consultores, reguladores y otras
personas que trabajan con la organización. Muchos de estos socios, como a menudo se les
llama, se benefician en gran medida del acceso directo a datos y aplicaciones de la
organización. Sin embargo, la provisión de tal acceso puede suponer un riesgo considerable al
exponer información ventajosa o delicada a las personas equivocadas, o puede crear el peligro
de que ciertas personas controlen con malas intenciones la infraestructura informática
corporativa. Por lo tanto, las estrategias de seguridad de red se deben emplear de forma
efectiva para dar a los socios sólo el acceso más adecuado en cada caso.
El conjunto de tecnologías de red y seguridad que permite a los socios tener acceso a la red
corporativa se denomina con frecuencia extranet. Las extranets habitualmente emplean las
mismas tecnologías mencionadas anteriormente para proporcionar acceso al personal y los
usuarios, como las redes privadas virtuales y Enrutamiento y acceso remoto. Una característica
distintiva de los socios, sin embargo, es que siempre deberían poder comunicarse con la
organización desde cualquier lugar y a través de un vínculo predefinido. Por consiguiente,
puede configurar el servidor proxy para permitir el vínculo a la extranet sólo desde esa
dirección de red.
A la hora de considerar qué asociados utilizarán la extranet, asegúrese de determinar las
unidades de la empresa con las que se van a comunicar. Por lo general, los socios caen dentro
de categorías distintivas que se comunican principalmente con partes diferentes de la
empresa. Algunos podrían trabajar en tareas de envío y recepción, otros en ingeniería y otros
exclusivamente en ventas.
La distribución de estrategias de seguridad para los socios varía de la distribución para los
usuarios o el personal, principalmente porque las extranets se pueden llegar a convertir con
rapidez en un elemento muy importante para ellos. Habitualmente, los empleados corporativos
tienen la opción de llegar a la oficina para tener acceso a los recursos corporativos. Los socios
sólo pueden utilizar la extranet (o volver a los medios tradicionales). También es probable que
los empleados trabajen con cantidades de datos relativamente pequeñas en un momento
dado, mientras que los socios generan con frecuencia una cantidad de datos considerable que
tiene que ser procesada por los equipos y transmitida a través de la red.
Los socios y las unidades empresariales son también muy sensibles a la oportunidad del
servicio de la extranet. Las funciones comerciales dependen con frecuencia de los datos que se
intercambian y los retrasos pueden resultar muy costosos. Es necesario que la extranet sea
34
confiable y, cuando surge algún contratiempo, los socios y las unidades empresariales
necesitan poder ponerse en contacto con alguien que pueda resolver el problema rápidamente.
Las unidades empresariales que suministran servicios a través de la extranet tienen en mente
problemas y limitaciones laborales particulares. También disponen de sistemas y personal con
un historial exclusivo en comparación con otras partes de la empresa. Por lo tanto, no es
inusual que algunas unidades empresariales tengan requisitos de extranet diferentes a otras.
Por estos motivos, una estrategia para la distribución de seguridad de red a los socios debe
hacer hincapié en la confiabilidad, escalabilidad, flexibilidad y capacidad de asistencia. El
personal es particularmente esencial, pero además son también importantes las pruebas piloto
minuciosas, el desarrollo de políticas y procedimientos, y la comunicación. Las tecnologías de
seguridad de red que se incluyen en Windows 2000 proporcionan la base para una extranet
segura, pero las diferencias principales entre la estrategia de seguridad de extranet y las
estrategias de seguridad de redes internas se encontrarán en las políticas y los
procedimientos.
4. Elaborar una lista de tareas para determinar estrategias de seguridad de red
La tabla 3.1 resume las tareas que es necesario realizar al planear la seguridad de red.
Tarea Se encuentra en el capítulo

Plan de distribución. Diseñar la seguridad de red
Crear fronteras seguras. Crear fronteras seguras
Preparar las tecnologías de seguridad de
Distribuir tecnologías de seguridad de red
red de Windows 2000.
Preparar las tecnologías de seguridad de red
Distribuir estrategias para todos.
de Windows 2000
Distribuir estrategias para el personal de Preparar las tecnologías de seguridad de red
la organización. de Windows 2000
Distribuir estrategias para los usuarios Distribuir estrategias para la categoría
de la organización. Usuarios
Distribuir estrategias para la categoría
Distribuir estrategias para los socios.
Socios
Tabla 3.1 Diseño de una lista de tareas para determinar estrategias de seguridad de
red
35
ANEXO – ISO 27005
ISO 27005
0 Introducción
0.1 ¿Qué es seguridad de la información?
0.2 ¿Por qué se necesita seguridad de la información?
0.3 ¿Cómo establecer los requerimientos de seguridad?
0.4 Evaluando los riesgos de la Seguridad
0.5 Selección de controles
0.6 Punto de inicio de la seguridad de la información
0.7 Factores de éxito críticos
0.8 Desarrollo de sus propios lineamientos
1 Alcance
2 Términos y definiciones
3 Estructura de este estándar
3.1 Cláusulas
3.2 Categorías de seguridad principales
4 Evaluación y tratamiento del riesgo
4.1 Evaluación de los riesgos de Seguridad
4.2 Tratamiento de los riesgos de seguridad
5 Política de Seguridad
5.1 Política de seguridad de la información
5.1.1 Documento de la política de seguridad de la información
5.1.2 Revisión de la política de seguridad de la información
6 Organización de la seguridad de la información
6.1 Organización interna
6.1.1 Compromiso de la gerencia con la seguridad de la información
6.1.2 Coordinación de la seguridad de la información
6.1.3 Asignación de las responsabilidades de la seguridad de la información
6.1.4 Autorización de proceso para facilidades procesadoras de información
6.1.6 Contacto con las autoridades
6.1.7 Contacto con grupos de interés especial
6.1.8 Revisión independiente de la seguridad de la información
6.2 Grupos o personas externas
6.2.1 Identificación de los riesgos relacionados con los grupos externos
6.2.2 Tratamiento de la seguridad cuando se lidia con clientes
6.2.3 Tratamiento de la seguridad en acuerdos con terceros
7 Gestión de activos
7.1 Responsabilidad por los activos
7.1.1 Inventario de los activos
7.1.2 Propiedad de los activos
7.1.3 Uso aceptable de los activos
7.2 Clasificación de la información
7.2.1 Lineamientos de clasificación
7.2.2 Etiquetado y manejo de la información
8 Seguridad de recursos humanos
8.1 Antes del empleo
8.1.1 Roles y responsabilidades
8.1.2 Investigación de antecedentes
8.1.3 Términos y condiciones del empleo
8.2 Durante el empleo
8.2.1 Responsabilidades de la gerencia
36
8.2.2 Conocimiento, educación y capacitación en seguridad de la información

8.2.3 Proceso disciplinario
8.3 Terminación o cambio de empleo
8.3.1 Responsabilidades de terminación
8.3.2 Devolución de los activos
8.3.3 Retiro de los derechos de acceso
9 Seguridad física y ambiental
9.1 Áreas seguras
9.1.1 Perímetro de seguridad física
9.1.2 Controles de ingreso físico
9.1.3 Asegurar las oficinas, habitaciones y medios
9.1.4 Protección contra amenazas externas e internas
9.1.5 Trabajo en áreas aseguradas
9.1.6 Áreas de acceso público, entrega y carga
9.2 Equipo de Seguridad
9.2.1 Ubicación y protección del equipo
9.2.2 Servicios públicos de soporte
9.2.3 Seguridad del cableado
9.2.4 Mantenimiento de equipo
9.2.5 Seguridad del equipo fuera del local
9.2.6 Seguridad de la eliminación o re-uso del equipo
9.2.7 Retiro de propiedad
10 Gestión de las comunicaciones y operaciones
10.1 Procedimientos y responsabilidades operacionales
10.1.1 Procedimientos de operación documentados
10.1.2 Gestión del cambio
10.1.3 Segregación de los deberes
10.1.4 Separación de los medios de desarrollo, prueba y operación
10.2 Gestión de la entrega del servicio de terceros
10.2.1 Entrega del servicio
10.2.2 Monitoreo y revisión de los servicios de terceros
10.2.3 Manejo de cambios en los servicios de terceros
10.3 Planeación y aceptación del sistema
10.3.1 Gestión de la capacidad
10.3.2 Aceptación del sistema
10.4 Protección contra el código malicioso y móvil
10.4.1 Controles contra códigos maliciosos
10.4.2 Controles contra códigos móviles
10.5 Respaldo o Back-Up
10.6 Gestión de seguridad de la red
10.6.1 Controles de redes
10.6.2 Seguridad de los servicios de la red
10.7 Gestión de medios
10.7.1 Gestión de medios removibles
10.7.3 Procedimientos para el manejo de información
10.7.4 Seguridad de la documentación del sistema
10.8 Intercambio de información
10.8.1 Políticas y procedimientos de intercambio de información
10.8.2 Acuerdos de intercambio
10.8.3 Medios físicos en tránsito
10.8.4 Mensajes electrónicos
10.8.5 Sistemas de información commercial
37
10. 9 Servicios de comercio electrónico

10.9.1 Comercio electrónico
10.9.2 Transacciones en-línea
10.9.3 Información públicamente disponible
10.10 Monitoreo
10.10.1 Registro de auditoria
10.10.2 Uso del sistema de monitoreo
10.10.3 Protección del registro de información
10.10 4 Registros del administrador y operador
10.10.5 Registro de fallas
10.10.6 Sincronización de relojes
11 Control del acceso
11.1 Requerimiento del negocio para el control del acceso
11.1.1 Política de control del acceso
11.2 Gestión de acceso del usuario
11.2.1 Registro del usuario
11.2.2 Gestión de privilegios
11.2.3 Gestión de las claves secretas de los usuarios
11.2.4 Revisión de los derechos de acceso del usuario
11.3 Responsabilidades del usuario
11.3.1 Uso de claves secretas
11.3.2 Equipo del usuario desatendido
11.3.3 Política de escritorio y pantalla limpios
11.4 Control de acceso a la red
11.4.1 Política sobre el uso de los servicios de la red
11.4.2 Autenticación del usuario para las conexiones externas
11.4.3 Identificación del equipo en las redes
11.4. Protección del puerto de diagnóstico y configuración remoto
11.4.5 Segregación en redes
11.4.6 Control de conexión a la red
11.4.7 Control de routing de la red
11.5 Control del acceso al sistema operativo
11.5.1 Procedimientos para un registro seguro
11.5.2 Identificación y autenticación del usuario
11.5.3 Sistema de gestión de claves secretas
11.5.4 Uso de las utilidades del sistema
11.5.5 Cierre de una sesión por inactividad
11.5.6 Limitación del tiempo de conexión
11.6 Control de acceso a la aplicación y la información
11.6.1 Restricción del acceso a la información
11.6.2 Aislar el sistema confidencial
11.7 Computación y tele-trabajo móvil
11.7.1 Computación y comunicaciones móviles
11.7.2 Tele-trabajo
12 Adquisición, desarrollo y mantenimiento de los sistemas de información
12.1 Requerimientos de seguridad de los sistemas de información
12.1.1 Análisis y especificación de los requerimientos de Seguridad
12.2 Procesamiento correcto en las aplicaciones
12.2.1 Validación de la input data
12.2.2 Control del procesamiento interno
12.2.3 Integridad del mensaje
12.2.4 Validación de la output data
38
12.3 Controles criptográficos

12.3.1 Política sobre el uso de controles criptográficos
12.3.2 Gestión de claves
12.4 Seguridad de los archivos del sistema
12.4.1 Control del software operacional
12.4.2 Protección de la data del sistema
12.4 3 Control de acceso al código fuente del programa
12.5 Seguridad en los procesos de desarrollo y soporte
12.5.1 Procedimientos del control del cambio
12.5.2 Revisión técnica de la aplicación después de cambios en el sistema
12.5.3 Restricciones sobre los cambios en los paquetes de software
12.5.4 Filtración de información
12.5.5 Desarrollo de software abastecido externamente
12.6 Gestión de la Vulnerabilidad Técnica
12.6.1 Control de las vulnerabilidades técnicas
13 Gestión de un incidente en la seguridad de la información
13.1 Reporte de los eventos y debilidades de la seguridad de la información
13.1.1 Reporte de eventos en la seguridad de la información
13.1.2 Reporte de las debilidades en la Seguridad
13.2 Gestión de los incidentes y mejoras en la seguridad de la información
13.2.1 Responsabilidades y procedimientos
13.2.2 Aprender de los incidentes en la seguridad de la información
13.2.3 Recolección de evidencia
14 Gestión de la continuidad del negocio
14.1 Aspectos de la seguridad de la información de la gestión de la continuidad del negocio
14.1.1 Incluir la seguridad de la información en el proceso de gestión de continuidad del negocio
14.1.2 Continuidad del negocio y evaluación del riesgo
14.1.3 Desarrollar e implementar los planes de continuidad incluyendo la seguridad de
lainformación
14.1.4 Marco Referencial de la planeación de la continuidad del negocio
14.1.5 Prueba, mantenimiento y re-evaluación de los planes de continuidad del negocio
15 Cumplimiento
15.1 Cumplimiento de los requerimientos legales
15.1.1 Identificación de la legislación applicable
15.1.2 Derechos de propiedad intellectual
15.1.3 Protección de registros organizacionales
15.1.4 Protección de la data y privacidad de la información personal
15.1.5 Prevención del mal uso de los medios de procesamiento de la información
15.1.6 Regulación de controles criptográficos
15.2 Cumplimiento de las políticas y estándares de seguridad, y cumplimiento técnico
15.2.1 Cumplimiento con las políticas y estándares de Seguridad
15.2.2 Chequeo del cumplimiento técnico
15.3 Consideraciones de auditoria de los sistemas de información
15.3.1 Controles de auditoría de los sistemas de información
15.3.2 Protección de las herramientas de auditoría de los sistemas de información
Bibliografía
39

Proteccion Tema3 2012

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Proteccion Tema3 2012

Cargado por

Copyright:

Formatos disponibles

Universidad Nacional del Nordeste

Facultad de Ciencias Exactas y Naturales

PROTECCION DE DATOS, SEGURIDAD EN

TEMA 3: Misión de Protección y Seguridad

Prof. Responsable: Lic. Ricardo Monzón

Midión de Protección y Seguridad: Introducción 3

Propiedades de la Información que protege la Seguridad Informática 6

Estrategias de seguridad informática 8

Norma ISO 27000 9

ISO 27000 VS ISO 17799 18

Introducción a la compilación de una estrategia de seguridad 19

Ejemplo de Estrategia de Seguridad 20

ANEXO – Norma ISO 27005 36

Misión de Protección y Seguridad

Una Primera Aproximación

 Los usuarios no cambian los passwords con suficiente frecuencia

 Los identificadores de usuarios están inactivados

Alguna importancia 32%

La máxima importancia 24%

Fuente: Ernst&Young para Information Week

Otras interesantes conclusiones del estudio de Ernst&Young/Information Week son las

Obstáculos para incorporar estrategia de Seguridad en la empresa.

Problemas de seguridad que han supuesto pérdidas Financieras

¿ Qué es la seguridad informática ?

Objetivos que persigue

La seguridad como problema cultural

La seguridad como proceso

Propiedades de la Información que protege la Seguridad Informática

La Seguridad Informática debe vigilar principalmente por las siguientes propiedades:

 Confidencialidad : Se define como la "condición que asegura que la información no

Factores que afectan a los sistemas de Información

Otras amenazas más sutiles provienen de inadecuados controles de programación. Así, el

Factores que afecta la integridad de los datos

 Desastres naturales: Inundaciones, incendios, tormentas, terremotos etc.

Factores que afectan a la seguridad de los datos

 Autentificación : La forma en que se hace el proceso de acceso a los sistemas,

amenazas a la seguridad de los sistemas de información y a la información misma serán cada

Estrategias de seguridad informática

Cuando se habla de la función informática generalmente se tiende a hablar de nuevas

La información es un bien económico, por lo cual requiere normas de protección.

¿Qué es un delito informático ?

Maniobra dolosa que opera sobre un sistema de información alterando la integridad,

Los sistemas informáticos necesitan mantener seguridad en distintos aspectos de la

Confidencialidad : El sistema contiene información que requiere protección contra la

Integridad : El sistema contiene información que debe protegerse de modificaciones no

Disponibilidad : El sistema contiene información o proporciona servicios que deben estar

Los administradores de seguridad deben desarrollar distintas estrategias de seguridad

Aunque una estrategia de seguridad puede ahorrar mucho tiempo a la organización y

Norma ISO 27000

ISO (Organización Internacional de Estándares) e IEC (Comisión Internacional de

• ISO/IEC 27000 Fundamentals and vocabulary

Actualmente el ISO-27001:2005 es el único estándar aceptado internacionalmente para la

A los efectos de la certificación, la transición entre ambas normas queda propuesta (o

Presentación de este texto

Consideraciones clave del estándar

La propuesta de esta norma, no está orientada a despliegues tecnológicos o de infraestructura,

El desarrollo de estos puntos y la documentación que generan, es lo que se tratará en este

Se consideró importante el mantener la misma puntuación que emplea el Estándar

Este estándar fue confeccionado para proveer un modelo para el establecimiento,

Aproximación (o aprovechamiento) del modelo

Este estándar internacional adopta un proceso para establecer, implementar, operar,

Este estándar internacional adopta también el modelo “Plan-Do-Check-Act” (PDCA), el cual es

Los requerimientos de este estándar internacional, son genéricos y aplicables a la totalidad de

Los usuarios no cambian los passwords con suficiente frecuencia

Los identificadores de usuarios están inactivados

Confidencialidad : Se define como la "condición que asegura que la información no

Desastres naturales: Inundaciones, incendios, tormentas, terremotos etc.

Autentificación : La forma en que se hace el proceso de acceso a los sistemas,