NORMATIVIDAD INTERNACIONAL Estndar RFC2196

El Estndar RFC2196 es un estndar usado en la prctica de la seguridad de la informacin. Entre las caractersticas de la seguridad de la informacin, segn el RFC2196, se tienen las siguientes: Se debe poder poner en prctica mediante procedimientos descritos de administracin de sistemas, publicacin de guas sobre el uso aceptable de los recursos informticos o por medio de otros mtodos prcticos apropiados Debe poder implantarse Debe obligar al cumplimiento de las acciones relacionadas mediante herramientas de seguridad Tiene que detectar fugas o errores; debe definir claramente las reas de responsabilidad de los usuarios, administradores y direccin, y tener un uso responsable para toda situacin posible.

El RFC 2196, llamado Site Security Handbook es un manual de seguridad que puede ser utilizado como estndar para establecer Polticas de Seguridad. Este manual fue escrito por varios autores y fue publicado en Septiembre de 1997, y a pesar de tener varios aos, por sus contenidos y la temtica que trata es un documento vigente y valido en el rea de la Seguridad Informtica.

Este documento trata entre otros, los siguientes temas: Polticas de Seguridad Que es una Poltica de Seguridad y porque es necesaria. Que es lo que hace que una Poltica de Seguridad sea buena. Manteniendo la Poltica Flexible. Arquitectura de Red y de Servicios Configuracin de Red y de Servicios. Firewalls. Servicios y Procedimientos de Seguridad Autentificacin Confidencialidad. Integridad. Autorizacin. Acceso Auditoria Gestin de Incidentes de Seguridad

Notificacin y puntos de contacto Identificando un Incidente Gestin de un Incidente Consecuencias de un Incidente Responsabilidades.

Estndar IT Baseline Protection Manual

El IT Baseline Protection Manual presenta un conjunto de recomendaciones de seguridad, establecidas por la Agencia Federal Alemana para la Seguridad en Tecnologa de la Informacin.

Este estndar plantea en forma detallada aspectos de seguridad en mbitos relacionados con aspectos generales (organizacionales, gestin humana, criptografa, manejo de virus, entre otros); infraestructura, (edificaciones, redes wifi); sistemas (Windows, novell, unix); redes (cortafuegos, mdems), y aplicaciones (correo electrnico, manejo de la web, bases de datos, aplicativos)

Estndar ISO 27001

Su ttulo completo es BS 7799-2:2005 (ISO/IEC 27001:2005). Fue preparado por el JTC 1 y en el subcomit SC 27, IT Security Techniques. La versin que se considerar es la primera edicin, de fecha 15 de octubre de 2005. El conjunto de estndares que aportan informacin de la familia ISO-2700x que se puede tener en cuenta son: ISO/IEC 27000 Fundamentals and vocabulary. ISO/IEC 27001 ISMS - Requirements (revised BS 7799 Part 2:2005). Publicado el 15 de octubre del 2005. ISO/IEC 27002 Code of practice for information security management. Actualmente ISO/IEC 17799:2005, publicado el 15 de junio del 2005. ISO/IEC 27003 ISMS implementation guidance (en desarrollo). ISO/IEC 27004 Information security management measurement (en desarrollo). ISO/IEC 27005 Information security risk management (basado en ISO/IEC 13335 MICTS Part 2 e incorporado a ste; en desarrollo). El ISO-27001:2005 es aceptado internacionalmente para la administracin de la seguridad de la informacin y aplica a todo tipo de organizaciones, tanto por su tamao como por su actividad. Presentar al ISO-27001:2005 como estndar de

facto genera la posibilidad de tener un estndar mejorado y ms robusto en el trayecto de la historia; los entes que aplican estos procedimientos para garantizar la seguridad e integridad de la informacin mejorarn considerablemente el estndar, luego de haber hecho las pruebas y haber tenido la experiencia. Los dems estndares establecidos, como el alemn, basado en el IT Baseline Protection Manual, y las recomendaciones de la IEFT con su RFC2196, constituyen orientaciones y guas para usuarios que deseen implementar gestin en la seguridad de la informacin; sin embargo, queda demostrado que el estndar de ISO es el ms adoptado por las empresas porque es ms flexible y se acopla mejor a los procesos que normalmente se llevan a cabo en las organizaciones; ISO es el estndar de facto en la gerencia de la integridad de la informacin.

Estndar ISO/IEC 17799 (denominado tambien como ISO 27002)

Proporciona recomendaciones de las mejores prcticas en la gestin de la seguridad de la informacin a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestin de la seguridad de la informacin. La seguridad de la informacin se define en el estndar como "la preservacin de la confidencialidad (asegurando que slo quienes estn autorizados pueden acceder a la informacin), integridad (asegurando que la informacin y sus mtodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la informacin y a sus activos asociados cuando lo requieran)". La versin de 2005 del estndar incluye las siguientes once secciones principales: Poltica de Seguridad de la Informacin. Organizacin de la Seguridad de la Informacin. Gestin de Activos de Informacin. Seguridad de los Recursos Humanos. Seguridad Fsica y Ambiental.

Gestin de las Comunicaciones y Operaciones. Control de Accesos. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin. Gestin de Incidentes en la Seguridad de la Informacin. Cumplimiento Gestin de Continuidad del Negocio.

Estndar ISO/IEC 27000:2009

Es parte de una familia en crecimiento de Estndares para Sistemas de Administracin de Seguridad de la informacin (ISMS), las series ISO/IEC 27000 ISO/IEC 27000 es un estndar internacional titulado Tecnologa de la Informacin Tcnicas de Seguridad Sistemas de Administracion de la Seguridad de la Informacin Visin general y Vocabulario El estndar fue desarrollado por el sub-comit 27 (SC27) del primer Comit Tcnico Conunto (JTC1), de la ISO (International Organization for Standardization) y el IEC (International Electrotechnical Commission) ISO/IEC 27000 provee: Una vista general a la introduccin de los estndares de la familia ISO/IEC 27000 Un glosario o vocabulario de trminos fundamentales usados a lo largo de toda la familia ISO/IEC 27000

La Seguridad de la Informacin, como muchos otros temas tcnicos, est desarrollando una compleja red de terminologa. Relativamente pocos autores se toman el trabajo de definir con precisin lo que ellos quieren decir, un enfoque que es inaceptable en el campo de los estndares, porque puede potencialmente llevar a la confusin y a la devaluacin de la evaluacin formal y la certificacin. El alcance de ISO/IEC 27000 es especificar los principios fundamentales, conceptos y vocabulario para la serie de documentos ISO/IEC 27000 ISO/IEC 27000 contiene, en otras palabras: Una vista general de los estndares ISO/IEC 27000, mostrando cmo son usados colectivamente para planear, implementar, certificar, y operar un Sistema de Administracin de Seguridad de la informacin, con una introduccin bsica a la Seguridad de la Informacin, administracin de riesgos, y sistemas de gestin Definiciones cuidadosamente redactadas para temas relacionados con seguridad de la informacin.

ISO/IEC 27000 es similar a otros vocabularios y definiciones y con suerte se convertir en una referencia generalmente aceptada para trminos relacionados con seguridad de la informacin entre sta profesin.

Estndar ISO/IEC 18028-2:2006

ISO/IEC 18028-2:2006 define una arquitectura de seguridad para red, ofreciendo seguridad a redes de extremo a extremo. La arquitectura puede ser aplicada a varias clases de redes donde la seguridad extremo a extremo es una preocupacin independiente de la tecnologa subyacente de la red El objetivo de ISO/IEC 18028-2:2006 es servir como base para el desarrollo de recomendaciones detalladas para la seguridad en redes extremo a extremo.

COMMON CRITERIA El Criterio Comn para la Evaluacin de la Seguridad en Tecnologas de la Informacin (abreviado como Criterio Comn o CC), es un estndar internacional (ISO/IEC 15408), para la certificacin de la seguridad en computadores. Est actualmente en la versin 3.1.

El Criterio Comn es un marco de trabajo en el cual los usuarios de sistemas computacionales pueden especificar sus requerimientos funcionales de seguridad y de garanta, para que los vendedores puedan implementar y/o hacer reclamaciones acerca de los atributos de seguridad de sus productos, y los laboratorios de prueba pueden evaluar los productos para determinar si en realidad satisfacen las reclamaciones.

En otras palabras, el Criterio Comn provee garanta de que los procesos de especificacin, implementacin y evaluacin de la seguridad de un producto de cmputo hayan sido conducidos en una forma rigurosa y estandarizada. Consta de tres partes:

Introduccin y modelo general

Componentes funcionales de la Seguridad

Componentes para la garanta de la Seguridad

NORMATIVIDAD DE MBITO NACIONAL Ley 1273 el 2009

El 5 de enero de 2009, el Congreso de la Repblica de Colombia promulg la Ley 1273 Por medio del cual se modifica el Cdigo Penal, se crea un nuevo bien jurdico tutelado denominado De la Proteccin de la informacin y de los datosy se preservan integralmente los sistemas que utilicen las tecnologas de la informacin y las comunicaciones, entre otras disposiciones. Dicha ley decreta: CAPITULO I: De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informticos - Artculo 269A: ACCESO ABUSIVO A UN SISTEMA INFORMTICO. El que, sin autorizacin o por fuera de lo acordado, acceda en todo o en parte a un sistema informtico - Artculo 269B: OBSTACULIZACIN ILEGTIMA DE SISTEMA INFORMTICO O RED DE TELECOMUNICACIN. El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informtico.

- Artculo 269C: INTERCEPTACIN DE DATOS INFORMTICOS. El que, sin orden judicial previa intercepte datos informticos en su origen, destino o en el interior de un sistema informtico.

- Artculo 269D: DAO INFORMTICO. El que, sin estar facultado para ello, destruya, dae, borre, deteriore, altere o suprima datos informticos.

- Artculo 269E: USO DE SOFTWARE MALICIOSO. El que, sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, enve, introduzca o extraiga del territorio nacional software malicioso u otros programas de computacin de efectos dainos.

- Artculo 269F: VIOLACIN DE DATOS PERSONALES. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile,

sustraiga, ofrezca, venda, intercambie, enve, compre, intercepte, divulgue, modifique o emplee cdigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes

- Artculo 269G: SUPLANTACIN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES. El que con objeto ilcito y sin estar facultado para ello, disee, desarrolle, trafique, venda, ejecute, programe o enve pginas electrnicas, enlaces o ventanas emergentes. Un punto importante a considerar es que el artculo 269H agrega como circunstancias de agravacin punitiva de los tipos penales descritos anteriormente el aumento de la pena de la mitad a las tres cuartas partes si la conducta se cometiere: Sobre redes o sistemas informticos o de comunicaciones estatales u oficiales o del sector financiero, nacionales o extranjeros. Por servidor pblico en ejercicio de sus funciones Aprovechando la confianza depositada por el poseedor de la informacin o por quien tuviere un vnculo contractual con este. Revelando o dando a conocer el contenido de la informacin en perjuicio de otro. Obteniendo provecho para s o para un tercero. Con fines terroristas o generando riesgo para la seguridad o defensa nacional. Utilizando como instrumento a un tercero de buena fe. Si quien incurre en estas conductas es el responsable de la administracin, manejo o control de dicha informacin, adems se le impondr hasta por tres aos, la pena de inhabilitacin para el ejercicio de profesin relacionada con sistemas de informacin procesada con equipos computacionales. CAPITULO II: De los atentados informticos y otras infracciones - Artculo 269I: HURTO POR MEDIOS INFORMTICOS Y SEMEJANTES. El que, superando medidas de seguridad informticas, realice la conducta sealada en el artculo 239 manipulando un sistema informtico, una red de sistema electrnico, telemtico u otro medio semejante. - Artculo 269J: TRANSFERENCIA NO CONSENTIDA DE ACTIVOS. El que, con nimo de lucro y valindose de alguna manipulacin informtica o artificio semejante, consiga la transferencia no consentida de cualquier activo en perjuicio de un tercero. Normatividad sobre Seguridad de la Informacin

En Colombia, las normas internacionales en seguridad de la informacin, han sido adoptadas por el Instituto Colombiano de Normas Tcnicas y Certificacin, ICONTEC y el Gobierno Colombiano ha generado normativas de control interno como el MECI1000 y de calidad como la NTCGP1000 apoyado por estndares internacionales (COSO, ISO9001 respectivamente). La norma NTC ISO/IEC 27001 fue liberada por el Instituto Colombiano de Normas Tcnicas y Certificacin, ICONTEC en el ao 2006 y es una copia idntica por traduccin de la norma ISO/IEC 27001. Esta norma permite disear una herramienta para la implementacin del sistema de gestin de seguridad de la informacin teniendo en cuenta la poltica, la estructura organizativa, los procedimientos y los recursos. La norma adopta el modelo de procesos PlanificarHacer-Verificar-Actuar (PHVA) para estructurar los procesos del Sistema de Gestin de Seguridad de la Informacin, SGSI.
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de TI. Vinculando tecnologa informtica y prcticas de control, COBIT consolida y armoniza estndares de fuentes globales prominentes en un recurso crtico para la gerencia, los profesionales de control y los auditores. COBIT se aplica a los sistemas de informacin de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos. Esta basado en la filosofa de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la informacin pertinente y confiable que requiere una organizacin para lograr sus objetivos. Misin: Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnologa de informacin que sea de uso cotidiano para gerentes y auditores

Usuarios:
La Gerencia: para apoyar sus decisiones de inversin en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control. Los Usuarios Finales: quienes obtienen una garanta sobre la seguridad y el control de los productos que adquieren interna y externamente. Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organizacin y determinar el control mnimo requerido. Los Responsables de TI: para identificar los controles que requieren en sus reas. Tambin puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su responsabilidad de controlar los aspectos de informacin del proceso, y por todos aquellos con responsabilidades en el campo de la TI en las empresas. Caractersticas:

Orientado al negocio Alineado con estndares y regulaciones "de facto" Basado en una revisin crtica y analtica de las tareas y actividades en TI Alineado con estndares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)

Principios:
El enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a

los procesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI.

Requerimientos de la informacin del negocio Para alcanzar los requerimientos de negocio, la informacin necesita satisfacer ciertos criterios: Requerimientos de Calidad: Calidad, Costo y Entrega. Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones. Efectividad: La informacin debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable. Eficiencia: Se debe proveer informacin mediante el empleo ptimo de los recursos (la forma ms productiva y econmica). Confiabilidad: proveer la informacin apropiada para que la administracin tome las decisiones adecuadas para manejar la empresa y cumplir con sus responsabilidades. Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales est comprometida la empresa.

Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad

Confidencialidad: Proteccin de la informacin sensible contra divulgacin no autorizada Integridad: Refiere a lo exacto y completo de la informacin as como a su validez de acuerdo con las expectativas de la empresa. Disponibilidad: accesibilidad a la informacin cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a la misma. Recursos de TI

En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio:

Datos: Todos los objetos de informacin. Considera informacin interna y externa, estructurada o no, grficas, sonidos, etc. Aplicaciones: entendido como los sistemas de informacin, que integran procedimientos manuales y sistematizados. Tecnologa: incluye hardware y software bsico, sistemas operativos, sistemas de administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin. Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Informacin.

Procesos de TI La estructura de COBIT se define a partir de una premisa simple y pragmtica: "Los recursos de las Tecnologas de la Informacin (TI) se han de gestionar mediante un conjunto de procesos agrupados de forma natural para que proporcionen la informacin que la empresa necesita para alcanzar sus objetivos". COBIT se divide en tres niveles: Dominios Procesos

Actividades

Dominios: Agrupacin natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional. Procesos: Conjuntos o series de actividades unidas con delimitacin o cortes de control. Actividades: Acciones requeridas para lograr un resultado medible. Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI. Estos procesos estn agrupados en cuatro grandes dominios que se detallan a continuacin junto con sus procesos y una descripcin general de las actividades de cada uno.