1.1. Definición y niveles de seguridad


En la actualidad, la seguridad informática ha adquirido gran auge, dadas las cambiantes condiciones y las nuevas plataformas de computación disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes que permiten explorar más allá de las fronteras de la organización. Esta situación ha llevado a la aparición de nuevas amenazas en los sistemas computarizados.


Consecuentemente, muchas organizaciones gubernamentales y no gubernamentales internacionales han desarrollado documentos y directrices que orientan en el uso adecuado de estas destrezas tecnológicas y recomendaciones con el objeto de obtener el mayor provecho de estas ventajas, y evitar el uso indebido de la mismas. Esto puede ocasionar serios problemas en los bienes y servicios de las empresas en el mundo.


En este sentido, las Políticas de Seguridad Informática (PSI) surgen como una herramienta organizacional para concientizar a cada uno de los miembros de una organización sobre la importancia y la sensibilidad de la información y servicios críticos que favorecen el desarrollo de la organización y su buen funcionamiento.


Es realmente válido pensar que cualquier organización que trabaje con computadoras - y hoy en día más específicamente con redes de computadoras - debe tener normativas para el uso adecuado de los recursos y de los contenidos, es decir, el buen uso de la información.


Definiciones


Dado que se está tratando con conceptos que pueden tener múltiples interpretaciones, es prudente acordar significados específicos. Por tanto, se recurrio a algunas definiciones, todas ellas extraídas del diccionario de la Real Academia Española (www.rae.es).

 

Seguridad:

 

1. f. Cualidad de seguro.

2. f. Certeza (Conocimiento seguro y claro de algo).


Seguro:

1. adj. Libre y exento de todo peligro, daño o riesgo.

2. adj. Cierto, indubitable y en cierta manera infalible.

3. adj. Firme, constante y que no está en peligro de faltar o caerse.

4. adj. No sospechoso.

5. m. Seguridad, certeza, confianza.

6. m. Lugar o sitio libre de todo peligro.

7. m. Salvoconducto, licencia o permiso que se concede para ejecutar lo que sin él no se pudiera.

8.m. Mecanismo que impide el funcionamiento indeseado de un aparato, utensilio, máquina o arma, o que aumenta la firmeza de un cierre.


Información


1. f. Acción y efecto de informar.

2.f. Comunicación o adquisición de conocimientos que permiten ampliar o precisar los que se poseen sobre una materia determinada.

3. f. Conocimientos así comunicados o adquiridos.


informar.

1. tr. Enterar, dar noticia de algo.

2. tr. Dar forma sustancial a algo.

3. tr. Formar, perfeccionar a alguien por medio de la instrucción y buena crianza.


Red.

1. f. Conjunto de elementos organizados para determinado fin. Red del abastecimiento de aguas, Red telegráfica o telefónica, Red ferroviaria o de carreteras.

2. f. Cadena (conjunto de establecimientos o construcciones pertenecientes a una sola empresa).

3. f. Conjunto de personas relacionadas para una determinada actividad, por lo general de carácter secreto, ilegal o delictivo. Red de contrabandistas, Red de espionaje.

4. f. Conjunto de computadoras o de equipos informáticos conectados entre sí que pueden intercambiar información.


Uniendo todas estas definiciones, podemos establecer qué se entiende por Seguridad en redes.



Seguridad en Redes: es mantener el aporte de información libre de riesgo y brindar servicios para un determinado fin.

Si trabajamos en definir Seguridad en Redes con los elementos que conocemos, podemos llegar a una definición más acertada :


El aspecto de la seguridad es un elemento muy importante en la gestión de los procesos de negocio de una organización. La seguridad de la información persigue proteger la información de posibles accesos y modificaciones no autorizadas. Los principales objetivos de la seguridad de la información se pueden resumir en:



Para llevar a cabo los objetivos de la seguridad, descritos anteriormente, es necesario definir en la etapa de diseño de los procesos de negocio, un conjunto de mecanismos de seguridad. Algunos de los principales mecanismos de protección se resumen a continuación:



La seguridad es uno de los aspectos más importantes del diseño lógico de redes. A veces se pasa por alto durante el diseño de una red, ya que la seguridad se considera una cuestión operativa en vez de una cuestión de diseño. No obstante, si se tiene en cuenta la seguridad antes de diseñar la red, podrá evitar problemas de rendimiento y escalabilidad al añadir seguridad a un diseño completado. Además, puede tener en cuenta los pros y contras mientras la red esta en fase de diseño lógico y puede planificar una solución que satisface lso objetivos de seguridad.


A continuación se presenta un video que resumen la definición de seguridad informática.



Cargando el reproductor ...



Los objetivos de seguridad son



Niveles de Seguridad Informática


El estándar de niveles de seguridad internacionalmente más utilizado es el TCSEC Orange Book, desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del Departamento de Defensa de los Estados Unidos.

Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el mínimo grado de seguridad al máximo.


Estos niveles han sido la base de desarrollo de estándares europeos (ITSEC / ITSEM) y luego internacionales (ISO/IEC). El ITSEC (Information Technology Security Evaluation Criteria) que es el equivalente europeo del Libro Naranja, pero más moderno y con mayor alcance que aquél. Se conoce comúnmente como Libro Blanco.


ITSEM - Information Technology Security Evaluation Manual- Manual de evaluación de la seguridad de TI que forma parte del


ITSEC versión 1.2 y cuya misión es describir cómo aplicar los criterios de evaluación del ITSEC. El objetivo específico del


ITSEM es asegurar que existe un conjunto completo de métodos de evaluación de sistemas de seguridad que complemente al


ITSEC. Contiene métodos y procedimientos de evaluación suficientemente detallados para ser aplicados a evaluaciones de seguridad realizadas tanto en el sector privado como en el público.


Cada clase abarca cuatro aspectos de la evaluación: política de seguridad, imputabilidad, aseguramiento y documentación. Los criterios constituyen una jerarquía en la que D es el nivel más bajo y A1 él más elevado. Todas las clases incluyen requisitos tanto de funcionalidad como de confianza. Los criterios se decriben a continuación.


Nivel D: Protección mínima
No califica para un nivel más alto
Windows 95, Windows 98…


Nivel C1: Seguridad discrecional
Evitar que programas de usuario sobreescriban partes vitales de la memoria
Recursos protegidos con controles de acceso
Usuario / grupo / resto
Autenticación por password o similar, BD protegida
Unix, Linux, Vista, Seven


Nivel C2: Acceso controlado
Cada recurso posee una lista de acceso
Limpieza de memoria
Principal y disco
Auditoría
Algunas versiones de Unix, OS/400


Nivel B1: Protección con etiquetas
Etiquetas de seguridad
Evitar read-up y write-down
Los periféricos deben:
Aceptar un sólo nivel de información, o
Saber cómo procesar etiquetas
Etiquetas en las impresoras


Nivel B2: Protección estructurada
Camino confiable al usuario
Login contra el sistema vs. caballo troyano
Notificar cambios en nivel de seguridad
Kernel de seguridad
Mayor parte del kernel corre en modo usuario
Un micro-kernel maneja la seguridad
Identificar canales encubiertos
Procedimiento estricto para mantenimiento
Micro-kernel


Nivel B3: Dominios de seguridad
Las ACLs deben ser capaces de negar acceso a usuarios que podrían heredar permisos de grupos
Auditoría activa
Avisar al administrador
Bloqueado seguro


Nivel A1: Diseño verificado
No tiene nada diferente al B3 en cuanto a exigencias de seguridad
Procedimientos formales para análisis y diseño del sistema
Controles rigurosos en la implementación


ISO, junto con IEC (International Electrotechnical Commission), ha creado un Comité Técnico Conjunto (JTC-1) para abordar un amplio rango de estándares en tecnologías de la información, incluida la seguridad. Se han establecido varios subcomités para el desarrollo de estándares, de los cuales el SC27 (subcomité 27) tiene el protagonismo en técnicas de seguridad, si bien en al menos otros seis subcomités tienen especial relevancia los aspectos de seguridad. La lista de todos estos subcomités se detalla a continuación:



Subcomite Título
JTC 1/SC 27/WG 1 Information security management systems
JTC 1/SC 27/WG 2 Cryptography and security mechanisms
JTC 1/SC 27/WG 3 Security evaluation criteria
JTC 1/SC 27/WG 4 Security controls and services
JTC 1/SC 27/WG 5 Identity management and privacy technologies




Anterior

Actividades

Valid XHTML 1.0 Transitional


Home

Siguiente