Universidad Nacional Abierta y A Distanc

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
Escuela de Ciencias Básicas Tecnología e Ingeniería ‐ ECBTI
Especialización en Seguridad Informática

Curso: Seguridad de Sistemas Operativos

UNIDAD 1 FUNDAMENTOS DE SEGURIDAD DE SISTEMAS
OPERATIVOS
INTRODUCCIÓN
En la presente unidad se trataran las temáticas relevantes a la fundamentación teórica y
conceptual sobre la seguridad de sistemas operativos, esta unidad se presenta como un
referente teórico, técnico y académico sobre la naturaleza de la seguridad en los (S.O.),
teniendo a su vez como referente la normatividad existente a nivel internacional.
Esta unidad es muy importante para el desarrollo del curso ya que entrega información
muy relevante sobre la seguridad de los sistemas operativos, nos brinda una introducción
precisa sobre los componentes estructurales de la seguridad y referencia en su desarrollo
a fuentes importantes que le permitirán al estudiante, profundizar mucho mas en sus
conocimientos y análisis.
Sea esta la oportunidad de invitarles a leer con atención el presente material, indagar en
fuentes adicionales y en las propuestas para realizar un proceso formativo mucho mas
sustentado y completo. Desde ya esperamos que todo el contenido plasmado en esta
unidad no solamente sea de su agrado; sino que esperamos que este les sirva de verdad
en su formación como especialistas en seguridad informática.



CAPITULO 1: INTRODUCCIÓN A LA SEGURIDAD DE LOS SISTEMAS OPERATIVOS
Lección 1: Nivel De Criticidad y de Confidencialidad de los Datos:

Criticidad
Loshin (2010), define criticidad como el grado en el cual los procesos de negocio son
afectados por la existencia de un problema o situación. El autor plantea que de acuerdo a
su criticidad los datos pueden ser clasificados en diferentes grupos:
• Necesarios para que el negocio funcione efectivamente: Si el grupo de datos es

utilizado para direccionar el negocio.
• De uso generalizado: Si muchos individuos o grupos usan los datos.
• Uso Excesivo: los datos son fuertemente referenciados, aún en una sola
aplicación.
• Alto impacto: si se conoce que los datos defectuosos tienen un efecto significativo
en el negocio.
Factores que influencian la criticidad de los datos
Sebastian-colleman (2013) indican que la mejor manera de identificar cuales datos son
más críticos es preguntar a los consumidores o los usuarios de los datos. Ellos pueden
decir cuales datos usan y cómo los usan. Ellos pueden también probablemente compartir
historias acerca de que ha ocurrido cuando se ha presentado indisponibilidad o baja
calidad de datos críticos. Pero la mayoría de personas se enfrentan con cientos de
elementos de datos y docenas de grupos consumidores de datos. Los datos que son
críticos para un área de la organización pueden ser de menos importancia para otra. Los
números telefónicos de los clientes pueden ser críticos para el equipo de ventas pero no
tanto para analistas que estudian el comportamiento de un grupo de clientes. Si se tiene
una gran y diversa base de datos se requiere entender la importancia relativa de los



diferentes elementos y se debe identificar criterios a través de los cuales pueda definirse
la criticidad. Entre estos criterios se tienen:
• El número de usuarios o equipos que utilizan los datos

• Si los datos son utilizados en informes comerciales
• El tipo de informes que se utiliza
• Si los datos son utilizados como entrada de un sistema de producción o de otros
procesos de negocio
La criticidad de los datos puede ser también entendida desde su uso en un contenedor de
datos. Un simple conteo de ocurrencia del número de ingresos asociados con un campo
es un indicador de que tan importante son los datos en relación con el contenedor.
Loshin (2011) define los elementos de datos críticos como aquellos de los cuales
depende el éxito de los procesos y sus correspondientes aplicaciones de negocio. El
autor reconoce que las diferentes facetas del negocio (analítica, operaciones, etc)
dependerán de diferentes elementos de datos específicos y señala varios criterios
generales que pueden ser aplicados para identificar elementos de datos críticos.
Adicionalmente los elementos críticos pueden ser usados en reportes financieros y de
negocio como:
• Políticas de negocio
• Cumplimiento regulatorio (compliance)
• Aplicaciones de Inteligencia de negocio (Business Intelligence)
• Toma de decisiones operacionales
• Desempeño del cuadro de mando (Scorecard)1

1
Herramienta de gestión empresarial que facilita la toma de decisiones dentro de una organización. Tomado de wikipedia.



Danette MacGilvary (2008)2 describe un proceso para priorizar los elementos de datos
que son candidatos para proyectos de mejoramiento. Las mismas estrategias pueden ser
utilizadas para asignar clasificación de criticidad de los datos. Estas estrategias incluyen:
• Identificar los procesos de negocio que utilizan datos que necesitan ser priorizados
• Comprometer un rango de personas que representan varios intereses en la
organización y asegurar que tienen la información que necesitan para contribuir en
el proceso
• Llegar a un acuerdo sobre los procesos e información que requiere ser clasificada,
así como la escala a ser utilizada en esa clasificación
• Para cada elemento de datos, tener un grupo estándar de preguntas para
identificar el posible impacto de negocio que podría ocasionar tener baja calidad o
pérdida en los datos.
• Permitir a los participantes asignar el nivel de criticidad de los datos basados en su
conocimiento del proceso.
• Asignar una clasificación general, documentar y analizar los resultados.
Confidencialidad
El glosario de ISACA3, define confidencialidad como “mantener las restricciones

autorizadas de acceso y divulgación, incluyendo los medios para proteger la privacidad y
la información de propiedad exclusiva de la empresa”.
Servicios de confidencialidad-privacidad-anonimato
Areitio(2008), plantea que la confidencialidad se encarga de evitar que se revele la

identidad de los extremos de una comunicación, la información secreta contenida en los
mensajes, almacenamiento de datos y procesos en ejecución, así como el volumen de

2
Citado por sebastian‐Colleman l. (2013) pág 140.
3
Glosario ISACA disponible en http://www.isaca.org/Pages/Glossary.aspx?tid=214&char=C



información intercambiada y los hitos temporales del proceso de comunicación,
almacenamiento y procesamiento. Una vez perdida la confidencialidad no se puede
restaurar. Por tanto, La protección de las comunicaciones de posibles revelaciones, el
hacer cumplir los accesos de lectura autorizados y la capacidad de privacidad,
proporcionan confidencialidad, como se muestra en la siguiente figura:
4
Figura 1. Esquema de los servicios de confidencialidad
Clasificación de la información
Otro factor clave para proteger la confidencialidad de los datos, es la adecuada

clasificación de la información, de acuerdo a los niveles de confidencialidad asignados se
establecerán diferentes controles y procedimientos para su tratamiento. La siguiente
figura, resume los tipos y criterios de clasificación y los principales beneficios que esta
buena práctica representan para una organización, sin embargo los criterios y niveles de

4
Tomado de Areitio, J. (2008). Seguridad de la información: redes, informática y sistemas de información. Pág. 14.



clasificación pueden variar dependiendo de las políticas y estándares de seguridad
adoptados en la compañía.
5
Figura 2. Tipos, criterios y beneficios de clasificación de la información
Según Kim (2010), Muchos de los requerimientos de cumplimiento regulatorio en

seguridad de la información, apuntan a la confidencialidad. Los controles de seguridad
más importantes son los que mantienen la confidencialidad de la información. Asegurar la
disponibilidad y la integridad es importante, pero la confidencialidad obtiene más atención.
Esto es porque no se puede deshacer la violación de confidencialidad. Esto quiere decir,
que una vez alguien puede ver datos confidenciales, no hay forma de removerlos de su
memoria.
Mantener la confidencialidad implica establecer muchos controles que involucran otros

aspectos de la seguridad de los datos. La mayoría de estrategias para asegurar datos
incluyen técnicas de autenticación, autorización y registro. Estas tres técnicas ayudan a

5
Tomado de Maya, G. (2008). La importancia de clasificar la información para evitar la pérdida de información confidencial. Pág.24.



asegurar que sólo los usuarios autorizados puedan acceder a recursos y datos; también
aseguran que se capture suficiente información para solucionar conflictos de acceso
después de que el acceso ocurra. Las investigaciones en incidentes de seguridad
dependen de la información de registro para reconstruir eventos pasados. Muchos
controles de autenticación y acceso ayudan a prevenir uso no autorizado de cualquier
recurso. Entre estos controles se tienen:
• Passwords (contraseñas) y PINs (Número de Identificación personal)

• Tarjetas inteligentes and tokens6
• Dispositivos biométricos
• Certificados digitales
• Negociaciones desafío-respuesta (Challenge-response)
• Autenticación Kerberos
• Contraseñas de un solo uso
Lección 2: Sistema Operativo, Como Administrador de los Recursos Del Sistema

Recursos para transferir, almacenar, y procesar datos y para controlar esas funciones y el
sistema operativo es el responsable de administrar los recursos. Sin embargo, el control lo
realiza de una forma muy particular:
• El sistema operativo funciona de la misma forma que el software ordinario del

computador, es decir, se trata de un programa ejecutado por la UCP (Unidad
Central de Proceso).
• El sistema operativo frecuentemente cede el control y depende de la UCP para

recuperarlo por lo tanto, el sistema operativo es un programa más, pero con la
diferencia de su objetivo: dirigir a la UCP en el uso de otros recursos del sistema y
en la temporización de la ejecución de otros programas.

6
Dispositivo usado para autenticación de usuarios, adicional al nombre de usuario y contraseña. Ibíd.



Candela (2007), realiza algunas apreciaciones sobre los sistemas operativos dentro de
las que se destacan las siguientes:
• El sistema operativo es un conjunto de programas que gestionan los recursos del

sistema, optimizan su uso y resuelven conflictos: El sistema operativo va a
coordinar todo el funcionamiento del hardware, iniciando todos los elementos para
que estén preparados para recibir trabajo. Va a ordenar cuándo y cómo debe
trabajar el hardware. Es el sistema operativo el que va a asignar los recursos
hardware a los distintos programas, va a coordinar y llevar el seguimiento de la
ejecución de todos los programas en el sistema, va a tomar las decisiones para
evitar que se produzcan conflictos entre ellos y va a tratar que el sistema sea lo
más eficiente.
• Es un administrador de recursos: Tanto los elementos del sistema hardware como

los programas de servicios que tiene el sistema operativo conforman los recursos
del sistema. Los distintos programas de usuario a lo largo de su ejecución solicitan
estos recursos al sistema operativo para poder realizar su trabajo; por ejemplo, un
programa puede solicitar espacio en disco para guardar unos datos y es el sistema
operativo quien asigna los recursos necesarios al programa para que este pueda
realizar la función solicitada. Es, en definitiva, toda una labor de gestión y
administración, como si fuera un gobierno del hardware.
• Se puede ver al sistema operativo como un programa de control, que lleva un

seguimiento de todos los recursos, decide cuándo se asignan, a quien se le
asignan, durante cuánto tiempo, y decide cuándo se designan estos recursos.
Estas decisiones y acciones precisan del control de todo el sistema. Es quien
administra, controla y establece un ambiente apropiado para que las aplicaciones
puedan realizar su trabajo y den al usuario los resultados requeridos.



• El sistema operativo se sitúa entre el hardware y el usuario, como una interfaz con
el hardware, aporta una serie de servicios y utilidades a los usuarios añadiendo
nuevas características no existentes en el hardware. No sólo gestiona y controla el
hardware, sino que además aporta una serie de programas que dan servicio al
usuario, como el servidor de memoria, servidor de archivos, servidor de red,
transformando el hardware en una máquina extendida con una serie de utilidades
que hacen que los usuarios del sistema informático encuentren este más fácil de
usar y con mejores prestaciones.
• Desde el punto de vista del sistema operativo, se tienen dos participantes en el

sistema: Los procesos y los recursos. Un proceso es un programa en ejecución, un
recurso puede ser real o virtual, físico o lógico. Los procesos compiten por el uso
de recursos escasos, cuando están ejecutándose y demandan todos los recursos
que necesitan para poder realizar el trabajo recomendado, por tanto el sistema
operativo asigna recursos a los procesos de forma justa y eficiente.
Estructura de un sistema operativo
Álvarez et al, (2007) plantean que para cumplir con sus funciones, el sistema operativo
contiene los siguientes módulos:
• Núcleo: Es el módulo de nivel más bajo y descansa directamente sobre el hardware

del computador. Su función es proporcionar una serie de servicios de bajo nivel a las
capas superiores del sistema operativo.
• Gestor de memoria: El sistema operativo debe satisfacer una serie de requisitos, tanto
de usuario como del administrador del mismo. Para ello, el módulo de gestión de
memoria debe cumplir con cuatro responsabilidades:
 Aislamiento de procesos.



 Asignación dinámica de memoria a los procesos, transparente al usuario.
 Soporte para la programación modular.
 Control de acceso y protección. Se debe dar soporte a la compartición de áreas de
memoria, sin que esto interfiera con el primer punto.
• Gestor de Entrada/Salida: Los problemas asociados con la E/S de datos tienen como
origen el que los dispositivos de E/S tiene distintas características y diferentes
velocidades. El módulo de control de E/S trata estos problemas presentando al
programador la E/S como una cuestión independiente del dispositivo. Estas funciones
que proporciona este módulo del sistema operativo se activan mediante lo que se
denominan llamadas al sistema. Normalmente estas llamadas son del tipo: abrir y
cerrar el dispositivo, escribir y leer.
• Gestor de Ficheros: Los dispositivos de almacenamiento masivo de un computador

constituyen el sistema físico, donde se depositan de una forma permanente los datos y
los programas de los usuarios. El módulo encargado de la gestión de estos
dispositivos tiene la misión de mantener la estructura de esta información y asegurar el
uso eficiente de estos medios. Los datos y programas de un dispositivo de
almacenamiento masivo, se mantienen en archivos.
El módulo de gestión supervisa la creación, actualización y eliminación de los

archivos. Lógicamente este módulo debe cooperar con el módulo de gestión de
memoria durante la transferencia de datos desde y hacia la memoria principal.
Algunos archivos contienen información que puede ser compartida, otros son de
carácter privado e incluso secreto. Por tanto, cada archivo está dotado de un conjunto
de privilegios de acceso, que indican la extensión con la que se puede compartir la
información contenida en el archivo.
• Planificador de procesos y asignación de recursos: La mayor parte del tiempo que un

computador está funcionando, existe una demanda mayor de recursos que los que



realmente existen, esta situación implica la necesidad de una política de asignación de
recursos. La solución sería sencilla si fuera posible utilizar una política directa del tipo
“se atenderá primero al que antes lo solicite”, sin embargo esta política puede llevar a
situaciones denominadas de abrazo mortal bajo determinadas condiciones:
 Exclusión mutua.
 Mantener y esperar.
 Planificador no apropiativo.
 Espera circular.
El planificador se ocupa fundamentalmente de asignar tiempo de procesador a los

programas, de acuerdo a una cierta política de planificación, que varía notablemente de
un sistema operativo a otro. Normalmente, se hace uso de una cierta jerarquía de
prioridades, que determina la colocación en la cola de espera de tiempos de UCP, y en
consecuencia, como se asignará el tiempo de UCP a cada programa.
7
Figura 3. Módulos del sistema operativo

7
Tomado de Sistemas operativos, bases de datos y servidores Webpág. 18



La figura 3 ilustra la estructura general de un sistema operativo. Otros elementos
importantes en cualquier sistema operativo son:
• Protección: Cuando en un ordenador existen diferentes programas ejecutándose

simultáneamente resulta imprescindible protegerlos entre sí. Obviamente, el primer
programa a proteger será el propio sistema operativo. La protección tiene lugar
mayoritariamente contra dos procesos:
• Errores
• Abusos deliberados de los recursos del sistema
• Aunque es imposible el sistema operativo pueda prever los errores de los

programas de aplicación, es esencial detectarlos y diagnosticarlos lo antes posible,
para limitar sus efectos. Especial interés tiene la seguridad de la memoria principal
y de los medios de almacenamiento masivo. Algunos sistemas operativos asignan
diversos niveles de privilegio a los programas que se están ejecutando en el
sistema. El núcleo del sistema operativo tiene el grado más alto, mientras que los
programas de aplicación se encuentran en el nivel más bajo.
• Interfaz de usuario: Es necesario facilitar el uso de los ordenadores, e independizar

los recursos del sistema, en cuanto a sus características de funcionamiento físico,
y su utilización. En un sistema multiacceso la comunicación, entre el usuario y el
sistema operativo, es interactiva. El usuario puede ir dando órdenes al sistema
operativo desde un terminal y recibir, en el mismo terminal, los mensajes con los
que responde el sistema. La interfaz entre el sistema y la persona responsable del
sistema está constituida por órdenes y mensajes. El usuario puede dirigir gran
parte de la funciones del sistema operativo. Esto se aplica particularmente a la
planificación y asignación de recursos. En todo momento el usuario tiene el control
global del computador.



• Memoria virtual: Es una técnica de gestión de memoria, que permite la ejecución
de programas que no pueden hallarse en su totalidad en la memoria principal, ya
que ocupan más memoria de la disponible. Se combinan hardware y software,
permitiendo la ejecución de programas cargados parcialmente en memoria
principal. Con lo que se tienen las siguientes ventajas:
• Si los programas se pueden ejecutar por partes, la memoria lógica puede ser
mayor que la real disponible.
• Cuando los programas ocupan menos memoria que la memoria principal

disponible, se puede elevar el índice de multiprogramación, y por tanto, la
eficiencia del sistema.
Lección 3: Directiva DOD 5200.28 (EE. UU.)

El departamento de defensa de Estados Unidos, generó un estándar de “criterios
evaluación de sistemas informáticos de confianza”, (Trusted Computer System Evaluation
Criteria), conocido como el estándar TCSEC, la directiva DOD 5200.28 de este estándar,
también llamada “el libro naranja”, define los requerimientos de seguridad para sistemas
de información automáticos.
Aunque este estándar ha sido ampliamente utilizado durante muchos años y todavía
existen empresas que se rigen bajo estos lineamientos, el ministerio de defensa de los
Estados Unidos ha establecido que este estándar es obsoleto y se sugiere ahora utilizar
los lineamientos del estándar “Common Criteria for Information Technology Security
Evaluation” (criterios comunes para seguridad en tecnología de la información) conocido
como el CC (Common Criteria) junto con la metodología común de evaluación “Common
Methodology for Information Tecnology Security Evaluation” conocido como CEM.



El proyecto Common Criteria (CC)
El CC y el CEM son las bases técnicas para un acuerdo internacional conocido como el
“Common Criteria Recognition Arrangement” CCRA, que asegura:
• Que los productos puedan ser evaluados por laboratorios independientes y

licenciados para determinar el cumplimiento de propiedades particulares de
seguridad.
• Que los documentos soporte que son usados con el procedimiento de certificación
del CC para definir cómo los criterios y métodos de evaluación sean aplicados
cuando se esté certificando una tecnología específica.
• Que la certificación de las propiedades de seguridad de un producto evaluado,

pueda ser expedida con un número de certificación del plan de autorización,
basado en el resultado de su evaluación.
• Que esos certificados sean reconocidos por todas las firmas participantes en el
CCRA.
El CC es la fuerza directriz para el más amplio reconocimiento mutuo de productos

seguros de tecnologías de la Información. Los participantes en el acuerdo de
reconocimiento de criterios comunes, CCRA, comparten los siguientes objetivos:
• Asegurar que las evaluaciones de productos de TI (Tecnologías de la Información)

y perfiles de protección sean desarrolladas con altos estándares y que contribuyan
significativamente a la confianza en la seguridad de esos productos y perfiles.
• Mejorar la disponibilidad de productos de TI y perfiles de protección evaluados y

con seguridad ampliada.



• Eliminar la carga de evaluaciones duplicadas de productos de TI y perfiles de
protección.
• Mejorar continuamente la eficiencia y costo de los procesos de evaluación y

certificación/validación para productos de TI y perfiles de protección8
Perfiles de Protección
Un perfil de protección (Protection Profile) define un conjunto de objetivos y requisitos de

seguridad, independiente de la implantación, para una categoría de productos que cubre
las necesidades de seguridad comunes a varios usuarios. Los perfiles de protección son
reutilizables y normalmente públicos. El concepto de perfil de protección permite la
elaboración de estándares funcionales y constituye una ayuda para la formulación del
pliego de condiciones de un producto9.
Algunos de los perfiles oficiales de protección respecto a sistemas operativos, de acuerdo

a los criterios comunes CC, son los siguientes:
1. Perfil de protección de sistemas operativos
El perfil de protección de sistemas operativos, en adelante OSPP, define las

funcionalidades básicas encontradas en los actuales sistemas operativos de propósito
general.
El requerimiento general de auditoría es agregado al OSPP, ya que funcionalidad es

obligatoria para usuarios del gobierno y requerido para cumplir con requerimientos
básicos de muchos estándares de seguridad de TI.

8
Tomado de http://www.commoncriteriaportal.org/
9
Tomado de http://www.ssi.gouv.fr/archive/es/confianza/pp.html



Las metas de evaluación (Target of Evaluation), en adelante TOE , de un sistema
operativo de propósito general debe tener las siguientes funcionalidades:
• Provee servicios a diferentes usuarios, que pueden ser humanos u otros sistemas
de IT.
• Soporta simultáneamente tareas múltiples, potencialmente ejecutadas por

diferentes usuarios y procesos separados, ejecutados por diferentes usuarios.
• Interviene y ejecuta el acceso a objetos nombrados definidos por el sistema

operativo y permite o deniega tal acceso basado en reglas bien definidas.
• Verifica la identidad de los usuarios externos, lo que permite que las reglas de la
política de control de acceso estén basadas en atributos de seguridad que el
sistema operativo asocia con tales usuarios.
• Registra eventos definidos con datos suficientes que permitan a un revisor

identificar el tipo de evento, la hora de ocurrencia y si es posible la identidad del
usuario que causó el evento.
• Define aspectos de la política de seguridad que pueden ser administrados junto

con las reglas para restringir que los usuarios puedan realizar actividades de
administración.
• Se protege a sí mismo, los datos y objetos que dependen de él, de alteraciones u

omisiones de las políticas de seguridad10.
Para mayor información consultar el documento completo de este perfil de protección en

el siguiente enlace: http://www.commoncriteriaportal.org/files/ppfiles/pp0067b_pdf.pdf

10
Tomado y traducido de Federal Office for Information Security (2010). Operating System Protection Profile.



2. Perfil de protección del gobierno de los Estados Unidos para sistemas operativos de
propósito general en un entorno de red. Este perfil establece los requerimientos
necesarios para alcanzar los objetivos de seguridad de las metas de evaluación o TOE
(Target of Evaluation) y su entorno.
Los productos que cumplan este perfil deben soportar Identificación y autenticación,
control de acceso discrecional (DAC), servicios criptográficos y funcionalidades de
auditoría. Estos sistemas proveen servicios adecuados de seguridad, mecanismos y
aseguramiento para procesos administrativos, privados, e información sensible. Si la
organización va a enviar información sensible o confidencial sobre una red de acceso
público, se debe aplicar protección adicional a los límites de la red.
Los sistemas operativos que cumplan este perfil de protección deben cumplir lo siguiente:
• Identificación y autenticación que obligue a los usuarios autorizados a tener

identificación única y autenticada antes de acceder a la información almacenada en
el sistema.
• Control de acceso discrecional (DAC), que restrinja el acceso a los objetos, basado
en la identidad de los procesos y grupos a los que pertenecen, y permitan a los
usuarios autorizados especificar protección para los objetos que ellos controlan.
• Servicios criptográficos que proveen mecanismos para proteger el código y los

datos de las funciones de las metas de evaluación y también brinde soporte para
permitir a los usuarios y aplicaciones autorizadas, encriptar, desencriptar, y firmar
digitalmente los datos.



• Auditar servicios que permitan a los administradores autorizados detectar y
analizar violaciones potenciales de seguridad11.
Para mayor información consultar el documento completo de este perfil de seguridad en el

siguiente enlace: http://www.commoncriteriaportal.org/files/ppfiles/pp_gpospp_v1.0.pdf
Lección 4: Estándar Internacional ISO/IEC 2702

En el año 2007, la ISO: International Organization for Standardization y la IEC:
International Electrotechnical Commission. Unieron esfuerzos para elaborar un estándar
internacional que sirviera como guía de buenas prácticas para trazar de forma estándar
los objetivos de control y controles recomendables en cuanto a seguridad de la
información. Dicho estándar presenta como novedad que no es certificable, pero en sus
contenidos posee 39 objetivos de control y 133 controles, agrupados en 11 dominios.
Esta norma fue elaborada como un referente internacional para orientado a la seguridad
de la información en las empresas u organizaciones, de modo que las probabilidades de
ser afectados por robo, daño o pérdida de información se minimicen al máximo, este
estándar; posee varias categorías de seguridad principales, entre las cuales se tienen
once cláusulas las cuales se presentan a continuación:
1. Política de seguridad.
2. Aspectos organizativos de la seguridad de la información.
3. Gestión de activos.
4. Seguridad ligada a los recursos humanos.
5. Seguridad física y ambiental.
6. Gestión de comunicaciones y operaciones.
7. Control de acceso.
8. Adquisición, desarrollo y mantenimiento de los sistemas de información.

11
Tomado y traducido de Information Assurance Directorate (2010). US government protection profile for general‐purpose operating systems in a
networked environment.



9. Gestión de incidentes en la seguridad de la información.
10. Gestión de la continuidad del negocio.
11. Cumplimiento.
A continuación se presenta un resumen de la traducción hecha a la norma realizada por la

Enciclopedia Cubana en la Red ECURED en el documento web titulado: 12ISO/IEC 27002;
el cual fue publicado en su portal web en la URL:
http://www.ecured.cu/index.php/ISO/IEC_27002#Surgimiento
Este documento presenta las principales características de la norma elaborada por la ISO
y la IEC. En el año 2007.
“Evaluación de los riesgos de seguridad: La reducción de riesgos no puede ser un

proceso arbitrario y regido por la voluntad de los dueños o administradores de la empresa,
sino que además de seguir medidas adecuadas y eficientes, se deben tener en cuenta los
requerimientos y restricciones de la legislación y las regulaciones nacionales e
internacionales, objetivos organizacionales, bienestar de clientes y trabajadores, costos
de implementación y operación (pues existen medidas de seguridad de gran calidad pero
excesivamente caras, tanto que es más cara la seguridad que la propia ganancia de una
empresa, afectando la rentabilidad). Se debe saber que ningún conjunto de controles
puede lograr la seguridad completa, pero que sí es posible reducir al máximo los riesgos
que amenacen con afectar la seguridad en una organización.
Política de seguridad: Su objetivo es proporcionar a la gerencia la dirección y soporte

para la seguridad de la información, en concordancia con los requerimientos comerciales
y las leyes y regulaciones relevantes. Esto por supuesto debe ser creado de forma
particular por cada organización. Se debe redactar un "Documento de la política de
seguridad de la información".

12
ISO/IEC 27002. Enciclopedia Cubana en la Red ECURED. http://www.ecured.cu/index.php/ISO/IEC_27002#Surgimiento



Este documento debe ser primeramente aprobado por la gerencia y luego publicado y
comunicado a todos los empleados y las partes externas relevantes.Las políticas de
seguridad de la información no pueden quedar estáticas para siempre, sino que por el
contrario, tienen que ser continuamente revisadas y actualizadas para que se mantengan
en condiciones favorables y en concordancia con los cambios tecnológicos o cualquier
tipo de cambio que se dé.
Aspectos organizativos de la seguridad de la información: La organización de la

seguridad de la información se puede dar de dos formas: organización interna y
organización con respecto a terceros.
Organización interna: se tiene como objetivo manejar la seguridad de la información

dentro de la organización.
Organización con respecto a terceros: La organización en materia de seguridad de la

información debe también considerarse respecto a terceros. El objetivo de esto es
mantener la seguridad de la información y los medios de procesamiento de información
de la organización que son ingresados, procesados, comunicados a, o manejados por,
grupos externos. Para ello se debe comenzar por la identificación de los riesgos
relacionados con los grupos externos. Se debe estudiar cómo a raíz de procesos
comerciales que involucran a grupos externos se les puede estar otorgando acceso que
afecte la seguridad. Esto se puede dar tanto con clientes o con proveedores. Se debe
tener especial cuidado respecto a los contratos que se hagan con terceros, para no
afectar la seguridad de la información.
Gestión de activos: Se deben asignar responsabilidades por cada uno de los activos de
la organización, así como poseer un inventario actualizado de todos los activos que se
tienen, a quien/quienes les pertenecen, el uso que se les debe dar, y la clasificación de
todos los activos.
Seguridad ligada a los recursos humanos: El objetivo de esto es asegurar que los
empleados, contratistas y terceros entiendan sus responsabilidades, y sean idóneos para



los roles para los cuales son considerados, reduciendo el riesgo de robo, fraude y mal uso
de los medios. Es necesario definir claramente los roles y responsabilidades de cada
empleado. Todo esto no debe ser simplemente mediante acuerdos verbales, sino que se
debe plasmar en el contrato de trabajo. También deben existir capacitaciones periódicas
para concientizar y proporcionar formación y procesos disciplinarios relacionados a la
seguridad y responsabilidad de los recursos humanos en este ámbito.
Seguridad física y ambiental: La seguridad física y ambiental se divide en áreas seguras

y seguridad de los equipos. Respecto a las áreas seguras, se refiere a un perímetro de
seguridad física que cuente con barreras o límites tales como paredes, rejas de entrada
controladas por tarjetas o recepcionistas, y medidas de esa naturaleza para proteger las
áreas que contienen información y medios de procesamiento de información.
Se debe también contar con controles físicos de entrada, tales como puertas con llave,
etc. Además de eso, es necesario considerar la seguridad física con respecto a amenazas
externas y de origen ambiental, como incendios (para los cuales deben haber extintores
adecuados y en los lugares convenientes), terremotos, huracanes, inundaciones,
atentados terroristas, etc. Deben también haber áreas de acceso público de carga y
descarga, parqueos, áreas de visita, entre otros.
Se debe controlar la temperatura adecuada para los equipos, seguridad del cableado,
mantenimiento de equipos, etc. Para todo esto se requerirá de los servicios de técnicos o
ingenieros especializados en el cuidado y mantenimiento de cada uno de los equipos, así
como en la inmediata reparación de los mismos cuando sea necesario. La ubicación de
los equipos también debe ser adecuada y de tal manera que evite riesgos.
Gestión de comunicaciones y operaciones: El objetivo de esto es asegurar la

operación correcta y segura de los medios de procesamiento de la información.
Se deben tener en cuenta los siguientes aspectos: Los procedimientos de operación

deben estar bien documentados, pues no basta con tener las ideas en la mente de los



administradores, sino que se deben plasmar en documentos que por supuesto estén
autorizados por la gerencia.
Llevar a cabo la gestión de cambios. Un cambio relevante no se debe hacer jamás sin
documentarlo, además de la necesidad de hacerlo bajo la autorización pertinente y luego
de un estudio y análisis de los beneficios que traerá dicho cambio.
Se debe tener cuidado que nadie pueda tener acceso, modificar o utilizar los activos sin
autorización o detección.
Es completamente necesario tener un nivel de separación entre los ambientes de

desarrollo, de prueba y de operación, para evitar problemas operacionales.
Si la organización se dedica a vender servicios, debe implementar y mantener el nivel

apropiado de seguridad de la información y la entrega del servicio en línea con los
acuerdos de entrega de servicios de terceros.
La protección contra el código malicioso y descargable debe servir para proteger la

integridad del software y la integración con los sistemas y tecnologías con que ya se
cuenta. Se deben también tener controles de detección, prevención y recuperación para
proteger contra códigos maliciosos, por ejemplo antivirus actualizados y respaldos de
información. Los respaldos de información son vitales y deben realizarse con una
frecuencia razonable, pues de lo contrario, pueden existir pérdidas de información de gran
impacto negativo.
En cuanto a las redes, es necesario asegurar la protección de la información que se

transmite y la protección de la infraestructura de soporte. Los servicios de red tienen que
ser igualmente seguros, especialmente considerando cómo la tendencia de los últimos
años se encamina cada vez más a basar todas las tecnologías de la información a
ambientes en red para transmitir y compartir la información efectivamente. Los sistemas
tienen que estar muy bien documentados, detalle a detalle, incluyendo por supuesto la
arquitectura de red con la que se cuenta.



Se tienen que establecer políticas, procedimientos y controles de intercambio formales
para proteger el intercambio de información a través del uso de todos los tipos de medios
de comunicación.
Cuando se haga uso del comercio electrónico, debe haber una eficiente protección
cuando se pasa a través de redes públicas, para protegerse de la actividad fraudulenta,
divulgación no autorizada, modificación, entre otros.
Debe haber un continuo monitoreo para detectar actividades de procesamiento de

información no autorizadas. Las auditorías son también necesarias.
Las fallas deben ser inmediatamente corregidas, pero también registradas y analizadas
para que sirvan en la toma de decisiones y para realizar acciones necesarias.
Control de acceso: Se debe contar con una política de control de acceso. Todo acceso
no autorizado debe ser evitado y se deben minimizar al máximo las probabilidades de que
eso suceda. Todo esto se controla mediante registro de usuarios, gestión de privilegios,
autenticación mediante usuarios y contraseñas, etc.
Los usuarios deben asegurar que el equipo desatendido tenga la protección apropiada,
como por ejemplo la activación automática de un protector de pantalla después de cierto
tiempo de inactividad, el cual permanezca impidiendo el acceso hasta que se introduzca
una contraseña conocida por quien estaba autorizado para utilizar la máquina
desatendida.
Son necesarios controles de acceso a la red, al sistema operativo, a las aplicaciones y a

la información. Para todo esto deben existir registros y bitácoras de acceso.
Deben existir políticas que contemplen adecuadamente aspectos de comunicación móvil,

redes inalámbricas, control de acceso a ordenadores portátiles, y teletrabajo, en caso que
los empleados de la empresa ejecuten su trabajo fuera de las instalaciones de la
organización.



Adquisición, desarrollo y mantenimiento de los sistemas de información:
Contemplar aspectos de seguridad es requerido al adquirir equipos y sistemas, o al
desarrollarlos. No solamente se debe considerar la calidad y el precio, sino que la
seguridad que ofrecen. Debe existir una validación adecuada de los datos de entrada y de
salida, controlando el procesamiento interno en las aplicaciones, y la integridad de los
mensajes.
La gestión de claves debe ser tal que ofrezca soporte al uso de técnicas criptográficas en
la organización, utilizando técnicas seguras.
Garantizar la seguridad de los archivos del sistema es fundamental, por lo que se debe
controlar el acceso a los archivos del sistema y el código fuente del programa, y los
proyectos de tecnologías de información y las actividades de soporte se deben realizar de
manera segura.
Deben establecerse procedimientos para el control de la instalación del software en los

sistemas operacionales. Con esto por ejemplo se evita el riesgo de realizar instalaciones
ilegales o sin las respectivas licencias.
Se debe restringir el acceso al código fuente para evitar robos, alteraciones, o la

aplicación de ingeniería inversa por parte de personas no autorizadas, o para evitar en
general cualquier tipo de daño a la propiedad de código fuente con que se cuente.
La seguridad en los procesos de desarrollo y soporte debe considerar procedimientos de

control de cambios, revisiones técnicas de aplicaciones tras efectuar cambios en el
sistema operativo y también restricciones a los cambios en los paquetes de software. No
se tiene que permitir la fuga ni la filtración de información no requerida.
Contar con un control de las vulnerabilidades técnicas ayudará a tratar los riesgos de una
mejor manera.
Gestión de incidentes en la seguridad de la información: Se debe trabajar con

reportes de los eventos y debilidades de la seguridad de la información, asegurando una



comunicación tal que permita que se realice una acción correctiva oportuna, llevando la
información a través de los canales gerenciales apropiados lo más rápidamente posible.
Asegurar que se aplique un enfoque consistente y efectivo a la gestión de los incidentes

en la seguridad de la información es elemental.
Se deben establecer mecanismos para permitir cuantificar y monitorear los tipos,

volúmenes y costos de los incidentes en la seguridad de la información, siempre con la
idea de no volver a cometer los errores que ya se cometieron, y mejor aún, aprender de
los errores que ya otros cometieron.
Gestión de la continuidad del negocio: Las consecuencias de los desastres, fallas en la

seguridad, pérdida del servicio y la disponibilidad del servicio debieran estar sujetas a un
análisis del impacto comercial. Se deben desarrollar e implementar planes para la
continuidad del negocio para asegurar la reanudación oportuna de las operaciones
esenciales. La seguridad de la información debiera ser una parte integral del proceso
general de continuidad del negocio, y otros procesos gerenciales dentro de la
organización.
Se debe contar con planes de continuidad del negocio que incluyan la seguridad de la
información. Estos planes no deben ser estáticos, sino que deben ser actualizados y ser
sometidos a pruebas, mantenimiento y reevaluación.
Junto a la gestión de riesgos, debe aparecer la identificación de eventos que pueden

causar interrupciones a los procesos comerciales, junto con la probabilidad y el impacto
de dichas interrupciones y sus consecuencias para la seguridad de la información. Por
supuesto se requieren planes alternativos y de acción ante tales eventos, asegurando
siempre la protección e integridad de la información y tratando de poner el negocio en su
estado de operación normal a la mayor brevedad posible.



Cumplimiento: Es una prioridad el buen cumplimiento de los requisitos legales para
evitar las violaciones a cualquier ley; regulación estatutaria, reguladora o contractual; y
cualquier requerimiento de seguridad. La identificación de la legislación aplicable debe
estar bien definida.
Se deben definir explícitamente, documentar y actualizar todos los requerimientos legales

para cada sistema de información y para la organización en general.
Es necesario implementar los procedimientos apropiados para asegurar el cumplimiento

de los requerimientos legislativos, reguladores y contractuales sobre el uso del material
con respecto a los cuales puedan existir derechos de propiedad intelectual y sobre el uso
de productos de software patentado.
El cumplimiento de los requisitos legales se aplica también a la protección de los

documentos de la organización, protección de datos y privacidad de la información
personal, prevención del uso indebido de los recursos de tratamiento de la información, y
a regulaciones de los controles criptográficos.
Los sistemas de información deben estar bajo monitoreo y deben chequearse

regularmente para ver y garantizar el cumplimiento de los estándares de implementación
de la seguridad.
En cuanto a las auditorías de los sistemas de información, se tiene que maximizar la

efectividad de y minimizar la interferencia desde/hacia el proceso de auditoría del sistema
de información. Durante las auditorías de los sistemas de información deben existir
controles para salvaguardar los sistemas operacionales y herramientas de auditoría.
También se requiere protección para salvaguardar la integridad y evitar el mal uso de las
herramientas de auditoría.
Las actividades y requerimientos de auditoría que involucran chequeos de los sistemas

operacionales deben ser planeados y acordados cuidadosamente para minimizar el riesgo
de interrupciones en los procesos comerciales. ”



Este estándar es un referente importante para la generación de políticas claras de
seguridad informática al interior de las organizaciones, además nos entregan referentes
importantes para verificar puntos neurálgicos de vulnerabilidad a nivel de los sistemas
operativos, sistemas de información, redes, instalaciones físicas y talento humano en todo
tipo de empresa u organización.
Lección 5: Ley de Intimidad de 1974 (EE. UU.)

La ley de intimidad (Privacy Act) de 1974 del departamento de justicia de Estados Unidos,
establece un código de prácticas de información justas que regulan la recopilación,
mantenimiento, uso y diseminación de la información de individuos, mantenida en
sistemas de registros de agencias federales. Un sistema de registros es un grupo de
registros bajo el control de una agencia de la cual se puede recuperar información ya sea
por el nombre del individuo o por algún identificador asignado al individuo.
La ley de intimidad requiere que las agencias notifiquen públicamente acerca de sus
sistemas de registros a través del registro federal. La ley de intimidad prohíbe la
divulgación de un registro de un sistema de registros, sin el consentimiento del individuo
involucrado, a menos que la divulgación esté de acuerdo con una de las doce
excepciones estatutarias. La ley de intimidad provee a los individuos, un medio de acceso
y modificación a sus registros, y establece un grupo de requerimientos a las agencias que
guardan estos registros.
La ley de intimidad, ha sido aplicada desde Septiembre 27 de 1975, sin embargo, esta ley
tiene un lenguaje impreciso , historia legislativa limitada y lineamientos regulatorios
desactualizados que han hecho que sea difícil para descifrar y aplicar. Además, aun
después de más de 35 años de análisis administrativo y judicial, numerosos aspectos de
la ley de privacidad permanecen sin resolver o sin explorar. Por otro lado, todavía hay
muchos casos previos relacionados con esta ley que no han sido resueltos. En la revisión
se hace un particular esfuerzo para clarificar la ley existente y al mismo tiempo se resaltan

Universidad Nacional Abierta y A Distanc

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Universidad Nacional Abierta y A Distanc

Cargado por

Copyright:

Formatos disponibles

Lección 1: Nivel De Criticidad y de Confidencialidad de los Datos:

• Necesarios para que el negocio funcione efectivamente: Si el grupo de datos es

Factores que influencian la criticidad de los datos

• El número de usuarios o equipos que utilizan los datos

El glosario de ISACA3, define confidencialidad como “mantener las restricciones

Areitio(2008), plantea que la confidencialidad se encarga de evitar que se revele la

Otro factor clave para proteger la confidencialidad de los datos, es la adecuada

Según Kim (2010), Muchos de los requerimientos de cumplimiento regulatorio en

Mantener la confidencialidad implica establecer muchos controles que involucran otros

• Passwords (contraseñas) y PINs (Número de Identificación personal)

Lección 2: Sistema Operativo, Como Administrador de los Recursos Del Sistema

• El sistema operativo funciona de la misma forma que el software ordinario del

• El sistema operativo frecuentemente cede el control y depende de la UCP para

• El sistema operativo es un conjunto de programas que gestionan los recursos del

• Es un administrador de recursos: Tanto los elementos del sistema hardware como

• Se puede ver al sistema operativo como un programa de control, que lleva un

• Desde el punto de vista del sistema operativo, se tienen dos participantes en el

Estructura de un sistema operativo

• Núcleo: Es el módulo de nivel más bajo y descansa directamente sobre el hardware

• Gestor de Ficheros: Los dispositivos de almacenamiento masivo de un computador

El módulo de gestión supervisa la creación, actualización y eliminación de los

• Planificador de procesos y asignación de recursos: La mayor parte del tiempo que un

El planificador se ocupa fundamentalmente de asignar tiempo de procesador a los

• Protección: Cuando en un ordenador existen diferentes programas ejecutándose

• Abusos deliberados de los recursos del sistema

• Aunque es imposible el sistema operativo pueda prever los errores de los

• Interfaz de usuario: Es necesario facilitar el uso de los ordenadores, e independizar

• Cuando los programas ocupan menos memoria que la memoria principal

Lección 3: Directiva DOD 5200.28 (EE. UU.)

• Que los productos puedan ser evaluados por laboratorios independientes y

• Que la certificación de las propiedades de seguridad de un producto evaluado,

El CC es la fuerza directriz para el más amplio reconocimiento mutuo de productos

• Asegurar que las evaluaciones de productos de TI (Tecnologías de la Información)

• Mejorar la disponibilidad de productos de TI y perfiles de protección evaluados y

• Mejorar continuamente la eficiencia y costo de los procesos de evaluación y

Un perfil de protección (Protection Profile) define un conjunto de objetivos y requisitos de

Algunos de los perfiles oficiales de protección respecto a sistemas operativos, de acuerdo

1. Perfil de protección de sistemas operativos

El perfil de protección de sistemas operativos, en adelante OSPP, define las

El requerimiento general de auditoría es agregado al OSPP, ya que funcionalidad es

• Soporta simultáneamente tareas múltiples, potencialmente ejecutadas por

• Interviene y ejecuta el acceso a objetos nombrados definidos por el sistema

• Registra eventos definidos con datos suficientes que permitan a un revisor

• Define aspectos de la política de seguridad que pueden ser administrados junto

• Se protege a sí mismo, los datos y objetos que dependen de él, de alteraciones u

Para mayor información consultar el documento completo de este perfil de protección en

• Identificación y autenticación que obligue a los usuarios autorizados a tener

• Servicios criptográficos que proveen mecanismos para proteger el código y los

Para mayor información consultar el documento completo de este perfil de seguridad en el

Lección 4: Estándar Internacional ISO/IEC 2702

A continuación se presenta un resumen de la traducción hecha a la norma realizada por la

“Evaluación de los riesgos de seguridad: La reducción de riesgos no puede ser un

Política de seguridad: Su objetivo es proporcionar a la gerencia la dirección y soporte

Aspectos organizativos de la seguridad de la información: La organización de la

Organización interna: se tiene como objetivo manejar la seguridad de la información

Organización con respecto a terceros: La organización en materia de seguridad de la

Seguridad física y ambiental: La seguridad física y ambiental se divide en áreas seguras

Gestión de comunicaciones y operaciones: El objetivo de esto es asegurar la

Se deben tener en cuenta los siguientes aspectos: Los procedimientos de operación

Es completamente necesario tener un nivel de separación entre los ambientes de

Si la organización se dedica a vender servicios, debe implementar y mantener el nivel

La protección contra el código malicioso y descargable debe servir para proteger la

En cuanto a las redes, es necesario asegurar la protección de la información que se