I. Fundamentos Teóricos

1.1 Introducción.

Cada vez más los equipos de cómputo forman parte integral en las diversas actividades del ser humano, y la información contenida en los equipos de cómputo es tan importante y vital como el equipo de cómputo en sí. Tal es la importancia de la información que ahora se le considera  como un  bien y al mismo tiempo un  recurso,  y por tanto es sumamente importante su administración y protección.

 

centro

Las computadoras cada vez son más comunes en las actividades cotidianas

 

1.1.1 Concepto de la Seguridad Informática

Seguridad informática se puede definir como un conjunto de medidas que impidan la ejecución de operaciones no autorizadas sobre un sistema o red informática, estás medidas pueden ser un conjunto de reglas, planes, actividades y herramientas.
Los efectos que puede tener una operación no autorizada en un sistema informático, pueden conllevar daños sobre la información, comprometer su confidencialidad, autenticidad, integridad, también pueden disminuir el rendimiento de los equipos, desactivar los servicios o bloquear el acceso a los usuarios autorizados del sistema.
Asimismo es necesario considerar otro tipo de aspectos cuando se habla de Seguridad Informática:

-Cumplimiento de las regulaciones legales aplicables a cada sector o tipo de organización, dependiendo del marco legal de cada país.

-Control en el acceso a los servicios ofrecidos a la información guardada por un sistema informático

-Control en el acceso y utilización de los ficheros con contenido digital protegido por la ley de derechos de autor.

-Identificación de los autores de la información o de los mensajes.

-Registro del  uso de los servicios de un sistema informático.

 

También se debe tener en cuenta que la seguridad de un sistema informático dependerá de diversos factores, entre los que podemos destacar los siguientes:

-La sensibilización de los directivos y responsables de la organización, que deben ser concientes de la necesidad de destinar recursos a está función.

-Los conocimientos, capacidades e implicación de los responsables del sistema informático.

-La mentalización, formación y asunción de responsabilidades de todos los usuarios del sistema.

-La correcta instalación, configuración y mantenimiento de los equipos.

-La limitación en la asignación de los permisos y privilegios de usuarios.

-El soporte de los fabricantes de software y de hardware, con la publicación de parches y actualizaciones de sus productos que permitan corregir los fallos y problemas relacionados con la seguridad.

-La adaptación de los objetivos de seguridad y de las actividades a realizar a las necesidades reales de la organización.

 

1.1.2 Evolución histórica de la Seguridad Informática

La información puede definirse como la interpretación de un conjunto de datos referentes a un tema, también es considerada un bien valioso, y su importancia varía dependiendo de su uso, propósito y contexto.
Por tanto la protección, y el control de la información ha sido una actividad muy importante para las civilizaciones  humanas, pues no ha sido conveniente que todas las personas que lo deseen tengan acceso a ella.

La criptografía es una de las prácticas más antiguas y tiene el propósito de cifrar y descifrar información utilizando técnicas que hagan posible el intercambio de mensajes de manera que sólo puedan ser leídos por las personas a quienes van dirigidos.
La finalidad de la criptografía es, en primer lugar, garantizar el secreto en la comunicación entre dos entidades (personas, organizaciones, etc.) y, en segundo lugar, asegurar que la información que se envía es auténtica en un doble sentido: que el remitente sea realmente quien dice ser y que el contenido del mensaje enviado, habitualmente denominado criptograma, no haya sido modificado en su tránsito.
El uso más antiguo conocido de la criptografía se halla en jeroglíficos no estándares tallados en monumentos del Antiguo Egipto (hace más de 4500 años).
Hasta el siglo XIX no se desarrolló nada más que soluciones para el cifrado y el criptoanálisis (ciencia que busca debilidades en los sistemas de encriptación).
En la Segunda Guerra Mundial, las máquinas de cifrado mecánicas y electromecánicas se utilizaban extensamente, aunque los sistemas manuales continuaron en uso. Se hicieron grandes avances en la rotura de cifrados, todos en secreto. La información acerca de está época ha empezado a desclasificarse al llegar a su fin el periodo de secreto británico de 50 años, al abrirse lentamente los archivos estadounidenses y al irse publicando diversas memorias y artículos.

Los alemanes hicieron gran uso de diversas variantes de una máquina de rotores electromecánica llamada Enigma. El matemático Marian Rejewski, de la Oficina de Cifrado polaca, reconstruyó en diciembre de 1932 la máquina Enigma del ejército alemán, utilizando la matemática y la limitada documentación proporcionada por el capitán Gustave Bertrand, de la inteligencia militar francesa. Esté fue el mayor avance del criptoanálisis en más de mil años.

enigma

Maquina electromecánica de cifrado rotativo, "Enigma"

Las computadoras existen desde los años 40 del siglo XX y desde entonces han pasado por una evolución en su diseño, funcionamiento, aplicaciones, etc. Hasta llegar a los dispositivos que conocemos ahora.

 Aunque desde antes ya se protegía la información procesada por las computadoras, fue hasta en los años 80 cuando se plantearon las bases modernas de la seguridad informática.
Uno de los pioneros en el tema fue James P. Anderson, quien allá por 1980 y a pedido de un ente gubernamental produjo uno de los primeros escritos relacionados con el tema, y es allí donde se sientan también las bases de palabras que hoy suenan como naturales, pero que por aquella época parecían ciencia ficción.
El documento se llamó: Computer Security Threat Monitoring and Surveillance, describe ahí la importancia del comportamiento enfocado hacia la seguridad en materia de informática.
En esté documento se definen por primera vez en el contexto de seguridad informática, lo que es una amenaza, vulnerabilidad, riesgo, ataque, penetración (ataque exitoso), sentando así bases importantes que siguen siendo importantes hoy en día.

 

1.1.3 Objetivos y misión de la Seguridad Informática

Entre los principales objetivos de la seguridad informática podemos destacar los siguientes:

- Proteger los recursos de los sistemas informáticos, siendo prioritario la protección a la información, pero abarcando también los equipos, la infraestructura, el uso de las aplicaciones, entre otros.

-Garantizar la adecuada utilización de los recursos y aplicaciones del sistema.

-Limitar las pérdidas y conseguir la adecuada recuperación del sistema en caso de un incidente de seguridad.

-Cumplir con el marco legal y con los requisitos impuestos en los contratos.

 

La misión de la seguridad informática se puede plantear como una serie de actividades especificas para una organización que le permitan alcanzar los objetivos de seguridad.

Entre las más importantes tenemos las siguientes:

- Desarrollo e implantación de políticas de seguridad que estén relacionadas directamente con las actividades reales de una organización. 

- Mejora constante de los sistemas de seguridad por medio de su monitoreo y análisis, así como la adquisición y actualización de tecnologías.

-Minimizar  gestionar los riesgos y detectar los posibles problemas y amenazas a la seguridad.
- Capacitar al personal encargado de la seguridad del sistema para que tengan conocimientos actualizados que les permitan desempeñar su labor de manera más eficiente.

- Concienciar a los usuarios del sistema informático sobre la importancia de las políticas de seguridad impuestas.

 

 

1.1.4 Amenazas a las redes y sistemas computacionales


Una amenaza es la probabilidad de que ocurra un incidente que provoque la pérdida o daños a los recursos informáticos de una organización
Por su origen pueden clasificarse en:


A) Amenazas de origen humano.
Son todas las amenazas causadas por la intervención directa de los humanos, abarca actos malintencionados, incumplimiento de las medidas de seguridad, actos negligentes, entre otros.
Estos pueden ser el sabotaje, infiltración de usuarios no autorizados, descuido del personal, etc.


B) Amenazas de fuerza mayor.
En esta clasificación se encuentran los desastres naturales como inundaciones, terremotos, incendios, etc.
Estos desastres no solo afectan a la información contenida en los sistemas, sino también representan una amenaza a la integridad del sistema completo (infraestructura, instalación, componentes, equipos, etc.) pudiendo dejar al sistema incluso en un estado de inoperabilidad permanente.


C) Errores de Hardware.
Se da la amenaza por fallas físicas que presente cualquiera de los dispositivos de hardware que conforman a la computadora. Estos sucesos se pueden presentar por fallas en el suministro de energía (ruido electromagnético, caídas de voltaje, variación de frecuencia, etc.) los cuales dañan a los equipos, desperfectos de fábrica, falta de mantenimiento o maltrato, diseño inapropiado de los componentes, entre otros.

D) Errores de la red.
Son todos los errores que provoquen la no disponibilidad de servicios de una red de cómputo. Esta situación puede ser provocada por el efecto directo de un acto humano o por fallas físicas y lógicas  del mismo sistema.
Por ejemplo la saturación del ancho de banda, instalación y configuración incorrecta de los dispositivos de la red, destrucción física de las líneas de transmisión de datos, etc.

E) Problemas de tipo lógico.
Es una falla que se da a nivel software, puede ser causado por un error interno del sistema, pero también abarca el daño causado por códigos maliciosos o un ataque  de un intruso humano.
Un gusano informático ilustra está categoría, pues desvía los recursos del sistema para reproducirse, reenviarse y posteriormente causa daños al sistema infectado.

destroyed

Las amenzas pueden destruir los recursos infromáticos a nivel lógico y físico

 

1.2 Normatividad de la seguridad informática

Los activos de información y los equipos informáticos son recursos importantes y vitales, sin ellos las organizaciones quedarían paralizadas en sus actividades  y por tal razón es necesario  preservarlos. Esto significa que se deben tomar las acciones apropiadas para asegurar que la información y los sistemas informáticos estén apropiadamente protegidos de muchas clases de amenazas y riesgos.
Para tal acción deben emplearse medidas y políticas de seguridad las cuales tienen como finalidad proporcionar instrucciones específicas sobre qué y cómo mantener seguras las tecnologías de información.

 

1.2.1 Normas de Seguridad a través de la Historia

Common Criteria (criterios comunes)  son  el resultado final de importantes esfuerzos en el desarrollo de criterios de evaluación unificados para la seguridad de los productos IT (Tecnologías de Información) y ampliamente aceptado por la comunidad internacional.
A principios de los años 80, se desarrollaron en Estados Unidos los criterios de seguridad recogidos bajo el nombre de TCSEC (Trusted Computer System Evaluation Criteria) y editados en el famoso "libro naranja". En las décadas posteriores, varios países tomaron como base el TCSEC americano y evolucionaron las especificaciones para hacerlas más flexibles y adaptables a la constante evolución de los sistemas de IT.
De ahí la comisión europea, en el año 1991 publicó el ITSEC (Information Technology SecurityEvaluation Criteria), desarrollado conjuntamente por Francia, Alemania, Holanda y el Reino Unido. En Canadá, igualmente se desarrollaron en 1993 los criterios CTCPEC (Canadian Trusted Computer Product Evaluation) uniendo los criterios americanos y europeos.
En ese mismo año el Gobierno americano publicó los Federal Criteria como una aproximación a unificar los criterios europeos y americanos.
Tal escenario comienza a aclararse con la decisión de estandarizar internacionalmente estos criterios para uso general, y en esa labor ISO comienza a trabajar a principios de los años 90 dando como resultado el Common Criteria (ISO-IEC 15408)

 

1.2.1.1 TCSEC (Trusted Computer System Evaluation Criteria)


Comúnmente conocido como el libro naranja.
El  TCSEC tiene por objetivo aplicar la política de seguridad del Departamento de Defensa estadounidense. Esta política se preocupa fundamentalmente del mantenimiento de la confidencialidad de la información clasificada a nivel nacional.
TCSEC definen siete conjuntos de criterios de evaluación denominados clases (D, C1, C2, B1, B2, B3 y A1). Cada clase de criterios cubre cuatro aspectos de la evaluación: política de seguridad, imputabilidad, aseguramiento y documentación. Los criterios correspondientes a estas cuatro áreas van ganando en detalle de una clase a otra, constituyendo una jerarquía en la que D es el nivel más bajo y A1 el más elevado. Todas las clases incluyen requisitos tanto de funcionalidad como de confianza.


A continuación se enumeran las siete clases:


- D Protección mínima. Sin seguridad.
- C1 Limitaciones de accesos a datos.
- C2 Acceso controlado al SI. Archivos de log y de auditoria del sistema.
 -B1 Equivalente al nivel C2 pero con una mayor protección individual para cada fichero.
 -B2 Los sistemas deben estar diseñados para ser resistentes al acceso de personas no autorizadas.
 - B3 Dominios de seguridad. Los sistemas deben estar diseñados para ser altamente resistentes a la entrada de personas no autorizadas.
 - A1 Protección verificada. En la práctica, es lo mismo que el nivel B3, pero la seguridad debe estar definida en la fase de análisis del sistema.

 

1.2.1.2 ITSEC (Information Technology Security Evaluation Criteria)

Ha surgido de la armonización de varios sistemas europeos de criterios de seguridad en TI. Tiene un enfoque más amplio que TCSEC.
Los criterios establecidos en ITSEC permiten seleccionar funciones de seguridad arbitrarias (objetivos de seguridad que el sistema bajo estudio debe cumplir teniendo presentes las leyes y reglamentaciones).
Se definen siete niveles de evaluación, denominados E0 a E6, que representan una confianza para alcanzar la meta u objetivo de seguridad. E0 representa una confianza inadecuada. E1, el punto de entrada por debajo del cual no cabe la confianza útil, y E6 el nivel de confianza más elevado. Por ello, los presentes criterios pueden aplicarse a una gama de posibles sistemas y productos más amplia que los del TCSEC.
El objetivo del proceso de evaluación es permitir al evaluador la preparación de un informe imparcial en el que se indique si el sistema bajo estudio satisface o no su meta de seguridad al nivel de confianza precisado por el nivel de evaluación indicado.
En general, la funcionalidad idéntica y a nivel de confianza equivalente, un sistema goza de más libertad arquitectónica para satisfacer los criterios de ITSEC que los de TCSEC.


1.2.1.3 CTCPEC(Canadian Trusted Computer Product Evaluation Criteria)

Es un estándar de seguridad de computadoras publicado en 1993 para proveer un criterio de evaluación para los productos de IT.
Es una combinación de los criterios TCSEC americano  (libro naranja) y el ITSEC europeo .
Proporciona un escala para la evaluación de productos comerciales y proporciona bases para desarrollar un método de especificación para productos de cómputo confiables.
 
 

1.2.1.4 FC-ITS  The FC-ITS of the United States NIST and NSA (Federal Criteria for Information Technology Security)

Siguiendo la discusión internacional para satisfacer las necesidades no militares, especialmente aplicaciones comerciales de IT, los Estados Unidos iniciaron un proyecto para producir el sucesor del TCSEC.
El resultado es el documento de “Requerimientos mínimos de seguridad para sistemas operativos de multiusuarios”, el cual presenta los requerimientos funcionales de seguridad para sistemas operativos que procesen información no clasificada dentro de un ámbito gubernamental y comercial.
En diciembre de 1992, el bosquejo de la versión 1.0 del FC-ITS (Federal Criteria for Information Technology Security) fue publicado por el Instituto nacional de estándares y tecnología ( NIST National Institute of Standards and Technology ) creado originalmente para su uso por el Gobierno Federal de los Estados Unidos y por otros grupos designados como apropiados.

El FC-ITS contiene capítulos separados en requerimientos de “Funcionalidad” y “Seguridad”, pero introduce una nueva estructura basada en el aspecto de dependencia entre funcionalidad y seguridad.

 

1.2.2 Criterios Comunes / ISO 15408 (Common Criteria for Information Technology Security Evaluation)

Los criterios comunes (Common Criteria) son estándares usados como base para la evaluación de las propiedades de seguridad de los productos IT y sistemas. Al establecer un como base un criterio consistente, el resultado de una evaluación de seguridad de un producto IT tiene mayor significado a una audiencia más amplia. ISO 15408 es un estándar internacional utilizado para evaluar el nivel de seguridad de los productos provistos y permitiendo  la comparación entre diferentes productos IT.

La norma ISO-15408 define estándares de medidas de seguridad TI que se implementan en el hardware, firmware o software. La norma ISO-15408 ignora toda medida de seguridad, que esté fuera de sistema de información, para el cual se ha aplicado, aunque reconoce que se puede aplicar seguridad significativa a través del uso de medidas administrativas, como los controles a las organizaciones, al personal, controles de tipo físico y de procedimiento.

 

1.2.3 ISO 17799

ISO/IEC 17799 es un estándar para la seguridad de la información publicado por primera vez como ISO/IEC 17799:2000 por International Organization for Standardization y por la comisión International Electrotechnical Commission en el año 2000 y con el título de Information technology - Security techniques - Code of practice for information security management

La norma ISO/IEC 17799 es una guía de buenas prácticas y no especifica los requisitos necesarios que puedan permitir el establecimiento de un sistema de certificación adecuado para esté documento.

La ISO/IEC 17799:2000 considera la organización como una totalidad y tiene en consideración todos los posibles aspectos que se pueden ver afectados ante los posibles incidentes que puedan producirse. Está norma se estructura en 10 secciones o controles en los que cada uno de ellos hace referencia a un aspecto  de la seguridad de la organización:

 - Política de seguridad
 - Aspectos organizativos para la seguridad
 - Clasificación y control de activos
 - Seguridad del personal
 - Seguridad física y del entorno
 - Gestión de comunicaciones y operaciones
 - Control de accesos
 - Desarrollo y mantenimiento de sistemas
 - Gestión de continuidad del negocio
 - Conformidad legal

En resumen esta norma pretende aportar las bases para tener en consideración todos y cada uno de los aspectos que puede suponer un incidente en las actividades de negocio de la organización.

 

1.2.4 Nuevas Tendencias

La seguridad y auditoría Informática se están afianzando como una necesidad imprescindible para el desarrollo de la Sociedad de la Información.

Como se recoge en el informe PricewaterhouseCoopers 2006 State of the Internal Audit Profession Study durante los últimos años la sección 404 de la Ley SOX con los requerimientos específicos que obligan a las compañias a “documentar, evaluar, verificar y monitorizar sus controles internos sobre los informes financieros” ha supuesto en EE.UU. un gran paso cualitativo para el afianzamiento de la auditoría informática. Otras disposiciones legales como Basilea II, “HIPAA” (Acta, “Health Insurance Portability and Accountability”) y GLBA (”Graham-Leach Bliley Act”) también están contribuyendo a este afianzamiento.

La entrada en vigor, durante 2006, de la norma ISO/IEC 27001 como estándar mundial para los Sistemas de Gestión de Seguridad de la Información SGSI y sus requerimientos de auditoría para la obtención de las certificaciones, también han de suponer un gran incremento de la demanda de Auditores Informáticos.

Aunque en la actualidad la legislación existente relacionada con la Informática sigue siendo escasa, en los últimos años los Gobiernos comienzan a tomar conciencia de la necesidad de exigir responsabilidades en los riesgos derivados de los sistemas informáticos y de la necesidad de establecer controles adecuados. Podemos observar como en estas nuevas leyes la Auditoría Informática siempre está presente.

Sobre Seguridad Informática se publican anualmente múltiples informes, entre los más difundidos a nivel mundial podemos destacar:


 -CSI/FBI 2006 Computer Crime and Security Survey. Es un informe que anualmente publican Computer Secuity Institute y Federal Bureau of Investigation’s Computer Intrusion Squad. Es un informe detallado sobre Seguridad Informática que incluye: principales incidentes que se están produciendo, la situación en empresas y organizaciones de la Seguridad Informática, tecnologías utilizadas, consecuencias económicas, la evolución en los últimos años, etc. Posiblemente este informe es uno de los mas importantes publicados anualmente en el mundo sobre Seguridad Informática y aunque está muy centrado en EE.UU. sus conclusiones son extrapolables a otros países.


-2006 Australian Computer Crime and Security Survey.Es un informe similar al anterior, pero restringido a Australia. En Europa tanto a nivel de Comunidad Europea, como de sus países miembros.


-Erns & Young's 2006 Global Information Security Survey. En este informe participan más de 1.200 organizaciones. Presenta una fotografía sobre el estado de la seguridad y de sus repercusiones en la industria y los negocios. El informes se realiza analizando las respuestas a un cuestionario con preguntas sobre “como esta dirigida y situada la Seguridad Informática en las organizaciones de quienes responden al cuestionario” . Los cuestionarios son completados mayoritariamente por Directores de Informática y Directores de Seguridad, el informe también incluye conclusiones y recomendaciones.

 

1.2.4.1 Magerit (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones Públicas)  

Magerit es una herramienta creada por el Consejo Superior de Administración Electrónica, basada en la premisa de que así como las tecnologías de información traen grandes beneficios para todas las actividades en que se apliquen , al mismo tiempo generan  riesgos  que deben reducirse mediante medidas de seguridad que generen confianza en su utilización. Estás medidas de seguridad están basadas en el análisis previo de los riesgos.

Magerit, es un método formal para investigar los riesgos que soportan los sistemas de información, y para recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos.

Magerit persigue los siguientes objetivos:
-Concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo.
-Ofrecer un método sistemático para analizar tales riesgos.      
-Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control.
-Apoyar la preparación a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso.

A continuación definimos brevemente los elementos considerados significativos por MAGERIT para el estudio de la Seguridad en Sistemas de Información.

Activos: recursos del sistema de información o relacionados con éste, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por la dirección.

Amenazas: eventos que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos.

Vulnerabilidad de un activo: potencialidad o posibilidad de ocurrencia de la materialización de una amenaza sobre dicho activo.

Impacto en un activo: consecuencia sobre éste de la materialización de una amenaza.

Riesgo: posibilidad de que se produzca un impacto determinado en un activo, en un dominio o en toda la organización

Servicio de salvaguarda: acción que reduce el riesgo.

Mecanismo de salvaguarda: procedimiento, dispositivo, físico o lógico, que reduce el riesgo.

magerit

1.2.4.2 ISO 27000

El ISO 27000 es una serie de estándares  que han sido específicamente reservados para asuntos  de seguridad de la información. Este estándar también trata con otros temas, incluyendo la calidad de la administración y la calidad del entorno.

La serie que conforma al ISO27000 es la siguiente:

ISO27001. Establece los requisitos del sistema de gestión de seguridad de la   información. Es la norma principal de requisitos de un Sistema de Gestión de Seguridad de la Información. Los SGSIs (Sistemas de Gestión de la Seguridad de la Información) deberán ser certificados por auditores externos a las organizaciones. En su Anexo A, contempla una lista con los objetivos de control y controles que desarrolla la ISO 27002 (anteriormente denominada ISO17799).

ISO27001. Guía de buenas prácticas. Describe los controles y objetivos recomendables en cuanto a la seguridad de la información. Contiene 39 objetivos de control y 133 controles, agrupados en 11 cláusulas. Como se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO17799:2005.

ISO27003. En fase de desarrollo; probable publicación en Octubre de 2008. Contendrá una guía de implementación de SGSI e información acerca del uso del modelo PDCA (Plan-Do-Check-Act, es una  estrategia de mejora continua de la calidad) y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de documentos publicados por BSI (British Standards Institution) a lo largo de los años con recomendaciones y guías de implantación.

ISO27004. En fase de desarrollo; probable publicación en 2008. Especificará las métricas y las técnicas de medida aplicables para determinar la eficiencia y eficacia de la implantación de un SGSI y de los controles relacionados.

ISO27005. Probable publicación en 2008. Consistirá en una guía para la gestión del riesgo de la seguridad de la información y servirá, por tanto, de apoyo a la ISO 27001 y a la implantación de un SGSI. Incluirá partes de la ISO 13335.

ISO27006. Especifica los requisitos para la acreditación de entidades de auditoria y certificación para los sistemas de información.

 


1.2.4.3 OCTAVE (Operational, Critical, Threat, Asset and Vulnerability Evaluation)

Una evaluación efectiva de riesgos en la seguridad de la información considera tanto los temas organizacionales como los técnicos, examina cómo la gente emplea la infraestructura en forma diaria. La evaluación es de vital importancia para cualquier iniciativa de mejora en seguridad, porque genera una visión a lo ancho de la organización de los riesgos de seguridad de la información, proveyéndonos de una base para mejorar a partir de allí.

Para que una empresa comprenda cuáles son las necesidades de seguridad de la información, OCTAVE es una técnica de planificación y consultoría estratégica en seguridad basada en el riesgo.

En contra de la típica consultoría focalizada en tecnología, que tiene como objetivo los riesgos tecnológicos y el foco en los temas tácticos, el objetivo de OCTAVE es el riesgo organizacional y el foco son los temas relativos a la estrategia y a la práctica.
Cuando se aplica OCTAVE, un pequeño equipo de gente desde los sectores operativos o de negocios hasta los departamentos de tecnología de la información (IT) trabajan juntos  dirigidos a las necesidades de seguridad, balanceando tres aspectos: Riesgos Operativos, Prácticas de seguridad  Y Tecnología.
OCTAVE apunta a dos aspectos diferentes: riesgos operativos y prácticas de seguridad. La tecnología es examinada en relación a las prácticas de seguridad, permitiendo a las compañías tomar decisiones de protección de información basados en los riesgos de confidencialidad, integridad y disponibilidad de los bienes relacionados a la información crítica.

El método Octave permite la comprensión del manejo de los recursos, identificación y evaluación de riesgos que afectan la seguridad dentro de una organización.

Exige llevar la evaluación de la organización y del personal de la tecnología de la información por parte del equipo de análisis mediante el apoyo de un patrocinador interesado en la seguridad.

El método Octave se enfoca en tres fases para examinar los problemas organizacionales y tecnológicos:

1- Identificación de la información a nivel gerencial
2- Identificación de la información a nivel operacional
3- Identificación de la información a nivel de usuario final

Estos tres pasos dan lugar a otros 5 procesos para completar los 8 puntos de los que consta Octave:

4- Consolidación de la información y creación de perfiles de amenazas
5- Identificación de componentes claves
6- Evaluación de componentes seleccionados
7.-Análisis de riesgos de los recursos críticos
8- Desarrollo de estrategias de protección

 

1.3 Esquema de Seguridad basado en Criterios Comunes: Perfiles de Protección

Los criterios comunes no necesariamente deben quedarse como una referencia para la evaluación de la seguridad; también es posible crear sistemas o productos IT basados en las propiedades de seguridad estandarizados por los criterios comunes, para ello es primero necesario desarrollar un perfil de protección.

 

1.3.1 Definición y propósito

Un perfil de protección (Protection Profile) es un documento usado como parte del proceso de evaluación de los criterios comunes, el cual define un conjunto de objetivos y requisitos de seguridad, independiente de la implantación, para una categoría de productos que cubre las necesidades de seguridad comunes a varios usuarios. Los perfiles de protección son reutilizables.
El perfil de protección permite la elaboración de estándares funcionales y constituye una ayuda para la formulación del pliego de condiciones de un producto.

 

perfil

El propósito de un perfil de protección es el de plantear un problema de seguridad a un conjunto de  sistemas o productos (conocidos como objetos de evaluación) y especificar los requerimientos de seguridad necesarios para afrontar el problema, sin dictar como estos requerimientos serán implementados.

 

1.3.2 Estructura

Un perfil de protección es un documento formal con contenido específico, formato y sintaxis requeridos.
Esta formalidad es impuesta para asegurar que los perfiles de protección sean exactos y uniformemente interpretados por todos los diferentes evaluadores.

Un perfil de protección no esta escrito por si mismo, en vez de eso captura los resultados de una serie de análisis conducidos a los clientes para poner en claro, definir y validar sus requerimientos de seguridad.

Toda la información contenida en un perfil de protección debe ser colocada en la sección apropiada donde pueda ser encontrada, leída y evaluada.

 

1.3.2.1 Introducción

Aquí se identifica la naturaleza, alcance y estado del perfil de protección.
Está sección se divide en dos subsecciones, identificación y descripción.

La subsección de identificación provee los datos generales del perfil de protección, tales como nombre del perfil de protección, versión y fecha ( esto permite distintas versiones de un perfila para un mismo sistema) , así como una serie de palabras clave que permiten asociar el perfil de protección con  el tipo de tecnología, categoría de producto, fabricante, usuarios, marcas, etc.

La subsección de descripción provee una breve descripción general del perfil de protección y plantea el contexto del resto del documento.

 

 1.3.2.2 Descripción del objeto de evaluación

Está dividido en dos subsecciones: Funcionamiento general y límites del objeto de evaluación.

Funcionamiento general: provee una descripción general del funcionamiento del producto o sistema, el uso que se le da y el entorno de operación en que normalmente trabaja.

Limites del objeto de evaluación: uno de los primeros pasos para definir los requerimientos de seguridad es definir los límites del sistema.
Los límites son el alcance de un sistema, todo lo que esté dentro de los límites del sistema debe ser correctamente administrado, ordenado, identificado y controlado. Todo lo que esté fuera de los límites no es considerado parte del sistema pero eso no significa que no vaya a afectar al sistema.
Los limites de un sistema varían dependiendo del enfoque y el punto de vista del que considera el sistema, aun así es necesario definir claramente cuales serán los limites y alcances del sistema, pues dentro de los mismos limites se encuentran sus requerimientos de seguridad, y al mismo tiempo se debe prever una situación que se encuentre fuera de los limites del sistema y por tanto de nuestro control.

 

1.3.2.3 Entorno de seguridad

El tercer requerimiento de un perfil de protección, el entorno de seguridad, define la naturaleza y alcance de la seguridad del objeto de evaluación. Está se divide en tres subsecciones, hipótesis, amenazas y políticas de la organización.

 

1.3.2.4 Hipótesis

Proporciona información importante a los administradores para ayudarlos a entender en que panorama de trabajo debe desarrollarse el objeto de evaluación, en otras palabras, es un informe de hipótesis que el objeto de evaluación debe cumplir  para que pueda considerarse seguro.

 

1.3.2.5 Amenazas

Esta subsección caracteriza amenazas potenciales contra el objeto de evaluación para las cuales se requiere protección.
La valoración de amenazas abarca eventos accidentales y maliciosos que intenten esquivar, deshabilitar y comprometer aspectos de seguridad, funciones y procedimientos del objeto de evaluación.

El objeto de evaluación, el entorno IT, la seguridad física, la seguridad de personal y la seguridad operacional, todos están dentro del alcance de la valoración de amenazas, por lo que su importancia no debe ser subestimada, ya que si una valoración de amenazas no es realizada correctamente, el sistema puede proveer una inadecuada protección y como resultado estará expuesto a un inaceptable nivel de riesgo.

 

1.3.2.6 Políticas de la organización

Las políticas de seguridad incluyen reglas, procedimientos y prácticas que la organización impone en un sistema IT para protegerlo.
Las políticas de seguridad proveen una guía a los administradores, programadores y asistentes en la formulación de objetivos de seguridad en la sección 4 del perfil de protección.

Las políticas de seguridad son únicas para cada organización, además las leyes y regulaciones locales, nacionales o internacionales pueden imponer políticas de seguridad adicionales.

 

1.3.2.7 Nivel de Garantía general requerido

Está parte está destinada a los desarrolladores IT ya que define el criterio de confiabilidad que los evaluadores usan para verificar el desempeño de los desarrolladores y sus productos.
Introduce siete niveles de evaluación de garantía (Evaluation Assurance Level EAL) que define la escala de los Criterios Comunes para clasificar la evaluación obtenida por los productos.
Incluye los niveles de evaluación de garantía que definen una escala para garantizar la medición, los componentes de garantía individual de los cuales los niveles de garantía están compuestos, y los criterios para la evaluación de perfiles de protección.

 

1.3.2.8 Objetivos de Seguridad

Provee un informe conciso en respuesta al entorno a todos los requerimientos de seguridad identificados.
El objetivo de está sección es dividir responsabilidades entre el objeto de evaluación y su entorno.

Los objetivos de seguridad están clasificados en preventivos, detectivos y correctivos.

Objetivos preventivos: objetivos que  previenen de una amenaza a ser ejecutada, o limitar la manera en que puede ser ejecutada .

Objetivos detectivos: objetivos que detectan y monitorean la ocurrencia de eventos relevantes a la segura operación del sistema  .

Objetivos correctivos: objetivos que requieren que el objeto de evaluación tome acción en respuesta a cualquier posible  anomalía , violación de seguridad o cualquier otro evento indeseable , con el objeto de preservar o regresar a un estado de seguridad o limitar cualquier posible daño.

 

1.3.2.9 Requerimientos Funcionales y de Garantía

Requerimientos funcionales de seguridad, implementan los objetivos de seguridad establecidos en la sección 4 de un perfil de protección. Cada requerimiento funcional de protección cubre uno o más objetivos de seguridad.
La selección de un requerimiento funcional, o el tipo de protección requerida es influenciada por tres factores  clave:

- Sensibilidad y valor de las características que se van a proteger.

- Importancia del trabajo que el sistema realiza.

- Consecuencias de lo que pasaría si el sistema se perdiera, corrompiera, fuera destruido, inoperable o no disponible por un extenso periodo de tiempo.

El objetivo es seleccionar un requerimiento funcional que cubra los objetivos de seguridad, y al mismo tiempo que proteja al sistema sin reducir su operabilidad.

Los requerimientos de garantía se encargan de definir los criterios de evaluación para los perfiles de protección y el objeto de evaluación, así como las responsabilidades y actividades de los administradores y evaluadores, con el fin de garantizar que estos cumplan los requerimientos de seguridad .

La selección de los requerimientos de garantía se basa en varios factores:
 
- Valor de los activos a ser protegidos versus el riesgo percibido de compromiso.

- Viabilidad técnica.

- Costos de producción y evaluación.

- Tiempos, requerimientos y límites de producción y evaluación

- Opciones disponibles de productos IT en el mercado versus productos personalizados.

- Relación y dependencia entre requerimientos de garantía y requerimientos funcionales.

El objetivo es asegurar que el objeto de evaluación alcance los objetivos de seguridad procurando un continuo balance entre funcionalidad y viabilidad técnica, costos y limitaciones de tiempo.

 

1.4 Servicios de Seguridad

Para hacer frente a las amenazas a la seguridad del sistema, se define una serie de servicios de seguridad, los cuales están encargados de proteger los sistemas de información, sus procesos, el tráfico de datos  y el contenido de la información que se maneja dentro de una organización. Estos servicios hacen uso de uno o varios mecanismos de seguridad.

Los servicios de seguridad se clasifican en:

-Confidencialidad
-Autenticación
-Integridad
-No repudio
-Control de Acceso
-Disponibilidad

1.4.1 Confidencialidad

Es cuando se requiere que la información solamente sea accesible a las entidades autorizadas, esto es porque la información es un recurso valioso de una organización y debe mantenerse en secreto para toda entidad no autorizada  que en potencia le puede dar mal uso.
La confidencialidad de datos se aplica a todos los datos intercambiados por las entidades autorizadas.

El servicio de confidencialidad se divide en dos aspectos que son:

Confidencialidad de contenido: se encarga de que la información no pueda ser descubierta, leída o modificada sin autorización.

Confidencialidad  de flujo de mensaje: encargado de que la información no sea interceptada durante la comunicación de entidades.

 

1.4.2 Autenticación

Se encarga de la identificación correcta del origen del mensaje, asegurando que la entidad no es falsa.
Se distinguen dos tipos autenticación:

Autenticación de entidad: se asegura que  la identidad de las entidades participantes en la comunicación sean correctas.

 Autenticación de origen de información: se asegura que las unidades de información provengan de la entidad que dicen ser.

 

1.4.3 Integridad

La integridad de datos asegura que los datos recibidos no han sido modificados por entidades no autorizadas y que la secuencia de datos se mantenga durante la transmisión.   
La modificación incluye escritura, cambio, borrado, creación, inserción y supresión de los mensajes transmitidos. 
La integridad de secuencia de datos asegura que la secuencia de los bloques o unidades de datos recibidas no ha sido alterada y que no hay unidades repetidas o pérdidas

 

1.4.4 No repudio

El no repudio ofrece protección para que las entidades de un procesos de comunicación no puedan negar su participación. De está manera la entidad  emisora prueba que envió cierta información, y la entidad receptora puede probar que recibió cierta información.

Los servicios de no repudio presentan pruebas a una tercera entidad de que se realizo un comunicación entre entidades, esté servicio  se efectúa por medio de una colección de evidencias irrefutables que permitirán la resolución de cualquier disputa.

Los siguientes servicios son los que pueden ser proporcionados:

No repudio de origen: provee pruebas del origen de los datos, protegiendo  al receptor de que el emisor niegue haber enviado el paquete de datos.

No repudio de envió: provee pruebas del envió de los datos, previene al receptor de cualquier denegación falsa al recibir los datos.


No repudio de presentación: provee pruebas de presentación de los datos, con ello protege contra cualquier intento falso de negar que los datos fueron presentados para el envió.

No repudio de transporte: provee pruebas del transporte de los datos, protege contra cualquier intento de negar que los datos fueron transportados.

No repudio de recepción: provee pruebas de la recepción de los datos, protege al emisor de que el receptor niegue haber recibido el mensaje.

 

1.4.5 Control de Acceso

Esté servicio se presenta cuando se tiene la necesidad de restringir y limitar el acceso a recursos y sistemas internos  a usuarios no autorizados.
Los componentes básicos de un mecanismo de control de acceso son las entidades de red, los recursos de la red y los derechos de acceso.
Los usuarios, los recursos y la información pueden ser clasificados al asignarse diferentes niveles de seguridad, por lo que los usuarios autorizados para cierto nivel pueden acceder a todos los recursos disponibles de ese nivel pero no a otros niveles a los que no esté autorizado.

 

1.4.6 Disponibilidad

El servicio de disponibilidad se encarga de que los recursos del sistema informático estén disponibles a las entidades autorizadas cuando lo soliciten y las veces que sea necesario.

La disponibilidad se refiere al tiempo para obtener la información sin asegurar que la información transmitida es correcta o no.
La falta de disponibilidad se manifiesta principalmente de dos formas:
La denegación, o repudio, del servicio debido a la falta de garantías de la prestación del mismo, tanto por parte del prestador del servicio como del solicitante o tomador (controles de identificación fehaciente, falta de prestaciones de los equipos, congestión de líneas, etc.).
La pérdida de servicios de los recursos de información por causa de catástrofes naturales o por fallos de equipos, averías, acción de virus, etc.


Cuestionario

 

¿Porque es importante proteger la información?

¿Cuáles son los objetivos de la seguridad informática?

¿Cuáles son las amenazas a los sistemas informáticos y en que consisten?

¿Que son los Criterios Comunes?

¿Qué son los perfiles de protección y cual es su propósito?

¿Cuáles son las clasificaciones de los servicios de seguridad?