Documente Academic
Documente Profesional
Documente Cultură
El Estndar RFC2196 es un estndar usado en la prctica de la seguridad de la informacin. Entre las caractersticas de la seguridad de la informacin, segn el RFC2196, se tienen las siguientes: Se debe poder poner en prctica mediante procedimientos descritos de administracin de sistemas, publicacin de guas sobre el uso aceptable de los recursos informticos o por medio de otros mtodos prcticos apropiados Debe poder implantarse Debe obligar al cumplimiento de las acciones relacionadas mediante herramientas de seguridad Tiene que detectar fugas o errores; debe definir claramente las reas de responsabilidad de los usuarios, administradores y direccin, y tener un uso responsable para toda situacin posible.
El RFC 2196, llamado Site Security Handbook es un manual de seguridad que puede ser utilizado como estndar para establecer Polticas de Seguridad. Este manual fue escrito por varios autores y fue publicado en Septiembre de 1997, y a pesar de tener varios aos, por sus contenidos y la temtica que trata es un documento vigente y valido en el rea de la Seguridad Informtica.
Este documento trata entre otros, los siguientes temas: Polticas de Seguridad Que es una Poltica de Seguridad y porque es necesaria. Que es lo que hace que una Poltica de Seguridad sea buena. Manteniendo la Poltica Flexible. Arquitectura de Red y de Servicios Configuracin de Red y de Servicios. Firewalls. Servicios y Procedimientos de Seguridad Autentificacin Confidencialidad. Integridad. Autorizacin. Acceso Auditoria Gestin de Incidentes de Seguridad
Notificacin y puntos de contacto Identificando un Incidente Gestin de un Incidente Consecuencias de un Incidente Responsabilidades.
Este estndar plantea en forma detallada aspectos de seguridad en mbitos relacionados con aspectos generales (organizacionales, gestin humana, criptografa, manejo de virus, entre otros); infraestructura, (edificaciones, redes wifi); sistemas (Windows, novell, unix); redes (cortafuegos, mdems), y aplicaciones (correo electrnico, manejo de la web, bases de datos, aplicativos)
facto genera la posibilidad de tener un estndar mejorado y ms robusto en el trayecto de la historia; los entes que aplican estos procedimientos para garantizar la seguridad e integridad de la informacin mejorarn considerablemente el estndar, luego de haber hecho las pruebas y haber tenido la experiencia. Los dems estndares establecidos, como el alemn, basado en el IT Baseline Protection Manual, y las recomendaciones de la IEFT con su RFC2196, constituyen orientaciones y guas para usuarios que deseen implementar gestin en la seguridad de la informacin; sin embargo, queda demostrado que el estndar de ISO es el ms adoptado por las empresas porque es ms flexible y se acopla mejor a los procesos que normalmente se llevan a cabo en las organizaciones; ISO es el estndar de facto en la gerencia de la integridad de la informacin.
Gestin de las Comunicaciones y Operaciones. Control de Accesos. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin. Gestin de Incidentes en la Seguridad de la Informacin. Cumplimiento Gestin de Continuidad del Negocio.
La Seguridad de la Informacin, como muchos otros temas tcnicos, est desarrollando una compleja red de terminologa. Relativamente pocos autores se toman el trabajo de definir con precisin lo que ellos quieren decir, un enfoque que es inaceptable en el campo de los estndares, porque puede potencialmente llevar a la confusin y a la devaluacin de la evaluacin formal y la certificacin. El alcance de ISO/IEC 27000 es especificar los principios fundamentales, conceptos y vocabulario para la serie de documentos ISO/IEC 27000 ISO/IEC 27000 contiene, en otras palabras: Una vista general de los estndares ISO/IEC 27000, mostrando cmo son usados colectivamente para planear, implementar, certificar, y operar un Sistema de Administracin de Seguridad de la informacin, con una introduccin bsica a la Seguridad de la Informacin, administracin de riesgos, y sistemas de gestin Definiciones cuidadosamente redactadas para temas relacionados con seguridad de la informacin.
ISO/IEC 27000 es similar a otros vocabularios y definiciones y con suerte se convertir en una referencia generalmente aceptada para trminos relacionados con seguridad de la informacin entre sta profesin.
COMMON CRITERIA El Criterio Comn para la Evaluacin de la Seguridad en Tecnologas de la Informacin (abreviado como Criterio Comn o CC), es un estndar internacional (ISO/IEC 15408), para la certificacin de la seguridad en computadores. Est actualmente en la versin 3.1.
El Criterio Comn es un marco de trabajo en el cual los usuarios de sistemas computacionales pueden especificar sus requerimientos funcionales de seguridad y de garanta, para que los vendedores puedan implementar y/o hacer reclamaciones acerca de los atributos de seguridad de sus productos, y los laboratorios de prueba pueden evaluar los productos para determinar si en realidad satisfacen las reclamaciones.
En otras palabras, el Criterio Comn provee garanta de que los procesos de especificacin, implementacin y evaluacin de la seguridad de un producto de cmputo hayan sido conducidos en una forma rigurosa y estandarizada. Consta de tres partes:
- Artculo 269C: INTERCEPTACIN DE DATOS INFORMTICOS. El que, sin orden judicial previa intercepte datos informticos en su origen, destino o en el interior de un sistema informtico.
- Artculo 269D: DAO INFORMTICO. El que, sin estar facultado para ello, destruya, dae, borre, deteriore, altere o suprima datos informticos.
- Artculo 269E: USO DE SOFTWARE MALICIOSO. El que, sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, enve, introduzca o extraiga del territorio nacional software malicioso u otros programas de computacin de efectos dainos.
- Artculo 269F: VIOLACIN DE DATOS PERSONALES. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile,
sustraiga, ofrezca, venda, intercambie, enve, compre, intercepte, divulgue, modifique o emplee cdigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes
- Artculo 269G: SUPLANTACIN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES. El que con objeto ilcito y sin estar facultado para ello, disee, desarrolle, trafique, venda, ejecute, programe o enve pginas electrnicas, enlaces o ventanas emergentes. Un punto importante a considerar es que el artculo 269H agrega como circunstancias de agravacin punitiva de los tipos penales descritos anteriormente el aumento de la pena de la mitad a las tres cuartas partes si la conducta se cometiere: Sobre redes o sistemas informticos o de comunicaciones estatales u oficiales o del sector financiero, nacionales o extranjeros. Por servidor pblico en ejercicio de sus funciones Aprovechando la confianza depositada por el poseedor de la informacin o por quien tuviere un vnculo contractual con este. Revelando o dando a conocer el contenido de la informacin en perjuicio de otro. Obteniendo provecho para s o para un tercero. Con fines terroristas o generando riesgo para la seguridad o defensa nacional. Utilizando como instrumento a un tercero de buena fe. Si quien incurre en estas conductas es el responsable de la administracin, manejo o control de dicha informacin, adems se le impondr hasta por tres aos, la pena de inhabilitacin para el ejercicio de profesin relacionada con sistemas de informacin procesada con equipos computacionales. CAPITULO II: De los atentados informticos y otras infracciones - Artculo 269I: HURTO POR MEDIOS INFORMTICOS Y SEMEJANTES. El que, superando medidas de seguridad informticas, realice la conducta sealada en el artculo 239 manipulando un sistema informtico, una red de sistema electrnico, telemtico u otro medio semejante. - Artculo 269J: TRANSFERENCIA NO CONSENTIDA DE ACTIVOS. El que, con nimo de lucro y valindose de alguna manipulacin informtica o artificio semejante, consiga la transferencia no consentida de cualquier activo en perjuicio de un tercero. Normatividad sobre Seguridad de la Informacin
En Colombia, las normas internacionales en seguridad de la informacin, han sido adoptadas por el Instituto Colombiano de Normas Tcnicas y Certificacin, ICONTEC y el Gobierno Colombiano ha generado normativas de control interno como el MECI1000 y de calidad como la NTCGP1000 apoyado por estndares internacionales (COSO, ISO9001 respectivamente). La norma NTC ISO/IEC 27001 fue liberada por el Instituto Colombiano de Normas Tcnicas y Certificacin, ICONTEC en el ao 2006 y es una copia idntica por traduccin de la norma ISO/IEC 27001. Esta norma permite disear una herramienta para la implementacin del sistema de gestin de seguridad de la informacin teniendo en cuenta la poltica, la estructura organizativa, los procedimientos y los recursos. La norma adopta el modelo de procesos PlanificarHacer-Verificar-Actuar (PHVA) para estructurar los procesos del Sistema de Gestin de Seguridad de la Informacin, SGSI.
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de TI. Vinculando tecnologa informtica y prcticas de control, COBIT consolida y armoniza estndares de fuentes globales prominentes en un recurso crtico para la gerencia, los profesionales de control y los auditores. COBIT se aplica a los sistemas de informacin de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos. Esta basado en la filosofa de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la informacin pertinente y confiable que requiere una organizacin para lograr sus objetivos. Misin: Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnologa de informacin que sea de uso cotidiano para gerentes y auditores
Usuarios:
La Gerencia: para apoyar sus decisiones de inversin en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control. Los Usuarios Finales: quienes obtienen una garanta sobre la seguridad y el control de los productos que adquieren interna y externamente. Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organizacin y determinar el control mnimo requerido. Los Responsables de TI: para identificar los controles que requieren en sus reas. Tambin puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su responsabilidad de controlar los aspectos de informacin del proceso, y por todos aquellos con responsabilidades en el campo de la TI en las empresas. Caractersticas:
Orientado al negocio Alineado con estndares y regulaciones "de facto" Basado en una revisin crtica y analtica de las tareas y actividades en TI Alineado con estndares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)
Principios:
El enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a
los procesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI.
Requerimientos de la informacin del negocio Para alcanzar los requerimientos de negocio, la informacin necesita satisfacer ciertos criterios: Requerimientos de Calidad: Calidad, Costo y Entrega. Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones. Efectividad: La informacin debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable. Eficiencia: Se debe proveer informacin mediante el empleo ptimo de los recursos (la forma ms productiva y econmica). Confiabilidad: proveer la informacin apropiada para que la administracin tome las decisiones adecuadas para manejar la empresa y cumplir con sus responsabilidades. Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales est comprometida la empresa.
Confidencialidad: Proteccin de la informacin sensible contra divulgacin no autorizada Integridad: Refiere a lo exacto y completo de la informacin as como a su validez de acuerdo con las expectativas de la empresa. Disponibilidad: accesibilidad a la informacin cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a la misma. Recursos de TI
En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio:
Datos: Todos los objetos de informacin. Considera informacin interna y externa, estructurada o no, grficas, sonidos, etc. Aplicaciones: entendido como los sistemas de informacin, que integran procedimientos manuales y sistematizados. Tecnologa: incluye hardware y software bsico, sistemas operativos, sistemas de administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin. Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Informacin.
Procesos de TI La estructura de COBIT se define a partir de una premisa simple y pragmtica: "Los recursos de las Tecnologas de la Informacin (TI) se han de gestionar mediante un conjunto de procesos agrupados de forma natural para que proporcionen la informacin que la empresa necesita para alcanzar sus objetivos". COBIT se divide en tres niveles: Dominios Procesos
Actividades
Dominios: Agrupacin natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional. Procesos: Conjuntos o series de actividades unidas con delimitacin o cortes de control. Actividades: Acciones requeridas para lograr un resultado medible. Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI. Estos procesos estn agrupados en cuatro grandes dominios que se detallan a continuacin junto con sus procesos y una descripcin general de las actividades de cada uno.