ESTUDIODEUNAESTRATEGIAPARALAIMPLANTACINDELOS SISTEMASDEGESTINDELASEGURIDADDELAINFORMACIN

CursodeDoctorado Plan7440IngenieraenAutomticayElectrnicaIndustrial,IngenieraInformticay SistemasElctricos Periododeinvestigacin Curso2002/2003 Autor ManuelFernndezBarcell UniversidaddeCdiz Dpto.deLenguajesySistemasInformticos manuel.barcell@uca.es

ndice
1INTRODUCCIN .................................................................................................................................... 3 2ESTRATEGIASPARALASEGURIDADDELOSSISTEMASDEINFORMACIN .................. 4 2.1NIVEL1:SISTEMASPARTICULARESAUTOPROTECCIN ................................................................................ 5 2.2NIVEL2:SISTEMASPEQUEOSCUMPLIMIENTODELALEGISLACIN ............................................................... 6 2.3NIVEL3:SISTEMASMEDIANOSYGRANDESGESTINDELASEGURIDADDELOSSISTEMASDEINFORMACIN 11 ....... 2.4NIVEL4:GESTINGLOBALDERIESGOSDELSISTEMA .................................................................................. 21 2.5NIVEL5CERTIFICACIN ...................................................................................................................... 24 3DISCUSIN ............................................................................................................................................ 29 4ELECCINDEUNALNEADETRABAJO ..................................................................................... 32 5CONCLUSIONES ................................................................................................................................... 33 6REFERENCIAS: ..................................................................................................................................... 34

ndicedefiguras
FIGURA21RELACIONESENTREELEMENTOSDESEGURIDAD.FUENTE:AENOR........16 FIGURA 22 LAS RELACIONES EN EL ANLISIS Y GESTIN DE RIESGOS FUENTE: AENOR.......................................................................................................................................................16 FIGURA23LAGESTINDELPROCESODESEGURIDADDETI.............................................17 FIGURA24PNE71502...........................................................................................................................19 FIGURA25RELACIONESENTREELEMENTOS...........................................................................23 FIGURA26EVOLUCINDELOSCRITERIOSCOMUNES.........................................................25

ndicedetablas
TABLA1CUADRORESUMENDETIPOSDEDATOS....................................................................10 TABLA2GRUPOSDETRABAJODELCOMITTCNICOJTC1/SC27....................................33

Resumen:
Para el cumplimiento del plan de accin eEurope 2005, planteamos una estrategia incremental de cinco niveles (desde el nivel ms bsico al ms completo), para la implantacindeunsistemadegestindelaseguridadenlossistemas deinformacin (SGSI). En cada nivel estudiamos las normas y estndares que consideramos ms adecuadosysusdebilidades.Enelnivel1damosconsejosbsicosdeseguridad.Enel nivel2,lobasamosenlasobligacioneslegalesemanadasdelestudiodelaLeyOrgnica 15/1999(LOPD)yenelRealDecreto994/1999ReglamentodeMedidasdeSeguridadde losFicherosAutomatizadosquecontengandatospersonales.Enelnivel3analizamoslas normas y estndares internacionales y nacionales y concluimos en la adopcin de la normaespaolaUNEISO/IEC17799:2000.Estanormaespaolaesespejodelanorma internacionalISO17799,queasuvezpartedelanormabritnicaBS7799.LaNorma UNE71501INfacilitalacomprensindelaseguridaddelasTI(esespejodelanorma ISO/IEC TR 13335 "Information Technology Guidelines for the management of IT security"GMITS).Enelnivel4contemplamoslasmetodologasdeanlisisderiesgos,la britnicaCRAMM,lanorteamericanaOCTAVEylaespaolaMAGERIT.Enelnivel5 comentamoslasnormasdecertificacin.Finalizamosconpropuestasdelneasdetrabajo parasubsanarlasdebilidadesdetectadas.

Introduccin

LanecesidaddelaseguridadenlosactualesSistemasdeInformacinesunarealidadnodiscutidaperono implementada. Estadsticas delaC.E.indican10.000M deprdidas asegurables declaradas.Aestosdatos habraquesumarleslasprdidasconocidasynodeclaradasporcuestionesdeimagen,lasconocidasno asegurables por el tipo de activo y las desconocidas. Podemos comentar la preocupacin de las autoridades Comunitarias por esta situacin, consciente de la importancia estratgica que para la ComunidadEuropeatienequelossistemasdeinformacindelasempresas,gobiernoseinstituciones miembros,seanseguro.Amododeejemplo,vamosacomentardosiniciativas. 1. LaComunicacindelaComisinalConsejo,alParlamentoEuropeo,alComitEconmicoySocial yalComit delasRegionessobreseguridaddelasredesydelainformacintituladaPropuesta paraunenfoquepolticoeuropeo6 instaalosEstados miembros afomentarel usodemejores prcticas de seguridad, basadas en instrumentos existentes, tales como la norma UNE 17799 6 (norma equivalente a ISO/IEC IS 17799) Cdigo de buenas prcticas para la gestin de la seguridad de la informacin, que constituye una referencia fundamental de los criterios y recomendacionesdeseguridad. 2. ElplandeaccineEurope2005:unasociedaddelainformacinparatodos16.Elobjetivodeeste plan es: fomentar la seguridad de los servicios, aplicaciones y contenidos basados en una infraestructuradebandaanchaampliamentedisponible.Establece,entreotrosobjetivos,queparael 2005,Europadeber contarconUnainfraestructuradeinformacinsegura.ParaellolaUnin Europeahapuestoyaenmarchaunaestrategiaglobalbasadaenlascomunicacionessobreseguridad delasredes2 yciberdelincuencia3,yenladirectiva97/66/CE4. sobreproteccindedatosenrelacin conlascomunicacioneselectrnicas.ElenfoquefueaprobadoydesarrolladoporlaResolucindel

Bruselas28.5.2002COM(2002)263final 2 Seguridad de las redes y de la informacin: Propuesta para un enfoque poltico europeo, COM(2001)298de6.6.2001. 3 Creacindeunasociedaddelainformacinmsseguramediantelamejoradelaseguridaddelas infraestructurasdeinformacinylaluchacontralosdelitosinformticos,COM(2000)890de22.1.2001. 4 Directiva97/66/CEdelParlamentoEuropeoydelConsejo,de15dediciembrede1997,relativaal tratamiento de los datos personales y a la proteccin de la intimidad en el sector de las telecomunicaciones,DOL24de30.1.1998 3

Consejode28deenerode20025yporlarecientepropuestadedecisinmarcodelConsejorelativaa losataquesdelosquesonobjetolossistemasdeinformacin6. Lasaccionespropuestasson: Grupooperativosobreciberseguridad(CSTF)..LosEstadosmiembrosyelsectorprivadodeben respaldarlasactividadesdelCSTF.Sepretendequeseconviertaenuncentrodecompetenciaen materia de seguridad, p.ej., para desarrollar con los Estados miembros un concepto desistema europeo de alerta en caso de ataque informtico, facilitar el debate entre los distintos pilares y mejorarlacooperacintransfronteriza. Culturadelaseguridad.Antesdefinalizar2005,debeconstruirseunaculturadelaseguridaden eldiseoeimplementacindeproductosdeinformacinycomunicaciones.Elsectorprivadodebe elaborar buenas prcticas y normas y fomentar su aplicacin sistemtica. La Comisin tiene intencindeapoyarestosproyectosyseesforzar porsensibilizaratodoslosusuariossobrelos riesgosquepesansobrelaseguridad.6 Comunicaciones seguras entre servicios pblicos. la Comisin y los Estados miembros examinarnlaposibilidaddeestablecerunentornodecomunicacionesseguroparaelintercambiode informacindeEstadoclasificada. El sexto programa marco de investigacin, propone continuar con lneas de investigacin en materiadeseguridad. Lasprioridades deinvestigacinenmateriadeseguridadlasestableces enlas infraestructurasderedesydeinformacinconfiables,haciendohincapienlastecnologasemergentes(p. ej.,bandaancha,arquitecturasinalmbricasoentornointeligente)ydeteccindelospuntosvulnerablesy delasinterdependenciasenlasinfraestructuras.Sepretendetambinapoyarlanormalizacinconelfin deextenderelusodelasnormasabiertasydelosprogramasdefuenteabierta.Lasactividadesde investigacin deben tener en cuenta igualmente el factor humano en la seguridad, p. ej., normas bsicasdeseguridadofacilidaddeusodelossistemas. Delasaccionesydirectivascomentadasenlosprrafosanteriores,podemosestablecerqueparala ComunidadEuropea,laseguridaddesussistemasdeinformacinesunalneaestratgicaprioritaria.La estrategiadeberestarbasadaen: normasyestndares(internacionalesynacionales) elusodeprogramasdefuenteabierto lacreacindeunaculturadelaseguridadinexistentesenlaactualidad Podemosdeducirportanto,lanecesidaddeencontrarunaestrategiadeseguridadquepermita facilitaralapequeaymedianaempresalaconsecucindelosobjetivosestablecidosporlaComunidad Europea. Para lo cual debemos desarrollar tecnologas y metodologas propias , no dependientes de terceros. EnelapartadosiguienteproponemosunaestrategiabasadaenelestudiodelosdistintosSistema de Gestin de la Seguridad de la Informacin existentes (ISMS Information Security Management System).Comoconsecuenciadelanlisisdeestaestrategiaspretendemosencontrarpuntosdbilesenlas metodologas,tecnologaynormasactualesquenospermitandefinirpropuestasdelneasdetrabajoque mejorenlascarenciasactualesdelosSGSI.

Estrategiasparalaseguridaddelossistemasdeinformacin

ParaelcumplimientolosobjetivosdelaComunidadEuropeaenmateriadeseguridad,esnecesarioque lasadministraciones,profesionalesyempresaspuedanorganizarsupolticadeseguridad. Muchas organizaciones no abordan de modo serio una poltica de seguridad formal (segn norma)porlacomplejidaddelamisma.LasmetodologasynormasexistentesrelacionadasconlosSGSI noaclaransus mbitosdeaplicacin,resultandounaamalgamadenormasdecomplejaaplicacin.Esto reducesuposibleimplantacinalasgrandescorporaciones.Unejemplodeestecasoseralapropuestade ANEI7consuprimerprogramasectorialsobreGestindelaSeguridaddelaInformacin6. Perosisololasgrandes corporaciones puedenestablecerpolticasdeseguridadadecuadas, no podremoscontarconunainfraestructuraseguraanivelnacionalyeuropeo.
5 6

http://register.consilium.eu.int/pdf/es/01/st15/15152es1.pdf. http://europa.eu.int/comm/dgs/justice_home/index_es.htm,COM(2002)173finalde19.4.2002 7 ANEIAsociacinNacionaldeEmpresasdeInternethttp://www.anei.org/ 4

Nuestrapropuesta,paradisminuirelrechazoinicial,esorganizarlapolticadeseguridaddeuna formaescalonada,medianteunaestrategiaincremental 6.Lasentidadesdebenmejorarsunivelde seguridadpasoapaso.Estaestrategiasebasaenunavanceprogresivodelapolticadeseguridaddeuna empresaoinstitucin.Deformaqueempezamosporelmnimo.Unavezquelaorganizacinasumelas medidastcnicasyorganizativasdeestenivel,estpreparadaparaelsiguientepasodemejora.Ashasta alcanzarelmximonivelexigidoporlasnormasinternacionalesquepermitaninclusounacertificacin delnivelalcanzado. LosinformesdeAsociacinEspaoladeEmpresasdeTecnologasdelaInformacinSEDISI6, nosindica queenEspaael nivel deimplantacin demedidas deseguridad es bajoomuybajo,si exceptuamos las grandes corporaciones y algunos sectores muy concretos. Para que las medidas de seguridadtenganxito,debendeserasumidascompletamenteporlosusuarios.Entendemosqueesdifcil pasardelanadaalestadoperfecto.Porelloproponemosiravanzandoenlosnivelesdeseguridadhasta alcanzarlosobjetivosyamencionados. Portantoesnecesariounsistemasdenivelesacumulativos.Esdecir,locomentadoparaelnivel 3,seaadealocomentadoenlosnivelesinferiores.Proponemos5niveles: Nivel1.SistemasparticularesAutoproteccin Nivel2.SistemaspequeosCumplimientodelalegislacin Nivel3.SistemasmedianosygrandesGestindelaseguridaddelossistemasdeinformacin Nivel4:Gestinglobalderiesgosdelsistema Nivel5.Certificacin

2.1 Nivel1:SistemasparticularesAutoproteccin
Elprimerniveldeseguridadcorresponderaalossistemaspersonalesquenotenganusoprofesional.Un ejemploseraelordenadordecasa,parausopersonal.Estossistemasnoestnsujetoanormativaslegales. ElR.D.994/1999indicaqueElrgimendeproteccindelosdatosdecarcterpersonalnoser de aplicacinalosficherosmantenidosporpersonasfsicasenelejerciciodeactividadesexclusivamente personalesodomsticas Losobjetivosdelplandeaccin eEurope2005 deunainfraestructuradeinformacinsegura, Culturadeseguridadynormasbsicasdeseguridad ,nosindicanquesonnecesariasiniciativasde concienciacindelosusuariossobrelaimportanciadelaseguridaddesussistemasdeinformacin.Estas acciones deconcienciacinsobrelaimportanciadelaseguridadesclaveenestenivel.Losusuarios personalesnosuelenconsiderarnecesariotomarmedidasdeproteccinsobrelainformacinqueguardan ensuordenador.Sielordenadornoest conectadoainternet,elriesgodeprdidadeinformacin,ode falta de confidencialidad es una decisin que solo afecta al mbito personal. La situacin cambia radicalmentesielordenadorestconectadoainternet.Enestesegundocaso,transciendeel mbitodeel riesgo que personalmente quiera asumir el usuario, para afectar a todos los usuarios. La falta de proteccinaestenivelpuedefacilitarlaexpansindevirus,olosataquesdedenegacindeservicio,al serutilizadoelordenador para ataquesobreservicios claves delared.Lafaltadeseguridad delos ordenadoresdeusopersonalafectandeformamuynegativaalaseguridadtotaldelared.Esportanto necesariogarantizarlaseguridaddelosordenadoresdeusopersonal. Losprincipiosdeseguridadqueconsideramosadecuadosparaestenivelson: Lasimplicidad:laprimerasalvaguardaesprestaratencinparadetectarelpeligroyusarelsentido comnparaabortarlo Adecuacin:proporcionadaalbienaproteger.Nomatarmosquitosacaonazos Centrarseenlospuntosdbiles.Lacadenasiempreserompeporeleslabnmsdbil Economa:elcostedelasmedidasdeseguridaddebeserinferioralcostodelbienaproteger.No Infravalorarloscostesdelosriesgos,nisupervalorarloscostesdelassalvaguardas Noinventar la rueda: parte del trabajo seguro que est hecho. Los sistemas incorporan muchas salvaguardasnoutilizadas. Alfinal:todoproblemadeSeguridadterminaconlainstalacinyusodemecanismosdesalvaguarda devariostiposycomplejidades. Hayunaseriedemedidasdesalvaguardaqueconsideramosimprescindiblesaestenivel.Las clasificamos en bsica y avanzadas. Las bsicas las consideramos de implantacin obligatoria.Lasavanzasserandeimplantacindeseadas.

Bsicas Instalacindeunsistemaoperativoseguro(controldeaccesoypermisos) Programadeantivirusactualizado Cortafuegospersonalesdelibredistribucin(seguridadperimetral) Programadetectordeprogramasespas ProgramademantenimientodelregistrodeWindows(enelcasodeutilizarestetipodesistema operativo) Copiasdeseguridad Normasdeusodelcorreoseguro(Polticasdeadjuntos,noprevisualizacin,noHTML,SSH) Normasdenavegacinsegura(certificados,firmaelectrnica,SSL) Actualizacionesdelosparchesdeseguridaddelasaplicacionesinstaladas Avanzadas Sistemasdeencriptacinyautentificacin(GnuPGP) Detectordevulnerabilidades(detectoresdefallosdeseguridad:networksecurityscanner) Lasherramientasautilizarenestecasosonmayoritariamentedebajocosteyotrassepueden obtenerdeformagratuitadesitiosdedistribucindesoftwareenInternet(veranexoD). Estonosindicaquenoeslafaltadeherramientasdeseguridadosucosteloquehacequenose implementeunapolticadeseguridadbsicaenlosordenadoresdeusopersonal.Entendemosqueesla faltadeconcienciacindelosriesgos(aquinlevainteresarloquetengoenmiordenador?),lano valoracindelainformacinquealmacenaelsistemaodeltiemponecesarioparalarecuperacindela informacin,unidaaunafaltadeformacinbsicaparaentenderestasherramientas. Faltanaestenivel,herramientasautoconfigurablesdedominiopblico,iniciativasdeformacin bsica y concienciacin, adems de una gua bsica de buenas costumbre de seguridad a nivel de ordenadorpersonal.LacolaboracindelaAdministracinesfundamentalparamejorarnuestronivelde seguridad. En la educacin obligatoria existen materias de informtica. Deben de incluirse en sta formacinbsica,lasmedidasdeseguridad. En el caso de la seguridad de equipos conectados a internet, hace falta el compromiso de colaboracindelosproveedoresdeinternet(ISP)paraaportarherramientasyconfiguracionessegurasa susclientes.

2.2 Nivel2:SistemaspequeosCumplimientodelalegislacin
Elsiguientenivel,entendemosquecorrespondealossistemasdeinformacindeempresasodepersonas fsicas(profesionales).Estasinstalacionesdebencumplirlasnormasdelnivel1ycomomnimo,lasque por imperativo legal, les obligan a tener las leyes nacionales. En este apartado vamos a revisar la legislacin nacional y las recomendaciones europea que existen en relacin con la seguridad de los sistemasinformticosdeestenivel. Las herramientas a utilizar en este nivel sonsoluciones comerciales debajo coste. No es un problemadeinversin.Lafaltadeculturadeseguridadhacequenoseincorporenalusocotidiano. Laseguridadesunanecesidadmuyreglamentada.Enelapartado2.2.1Legislacinsobreseguridad informtica,podemoscomprobarloacertadodeestaaseveracin. ElorganismoenEspaaencargadodevelarporelcumplimientodelasleyesdeproteccinde datospersonaleslaAgenciadeproteccindedatos.ReguladaporelttuloVIdeLOPDCP15/1999y EstatutosdeAPD(R.D.428/1993de26demarzoBOE106de4demayode1.993).Sonfuncionesdela agencia:inspectora,ordenadora,depublicidad,sancionadora,inmovilizadora,reguladora,unificadoray derelacionesconelexterior. EnelsitiodelaAgenciadeProteccindeDatos8enelapartadolegislacin,podemosencontrarlos textosdelasprincipalesnormaslegales.TambinpodemosencontrarGuaprcticaparaciudadanos dondenosaclaralosderechosbsicosquetienecualquierciudadanoenrelacinconlaproteccindesus datospersonales.PorltimosealarelapartadodeRecomendacioneseinstruccionesdondepodremos encontrarrecomendacionessectorialessobreeltemaylasInstruccionesdictadaporestaautoridad.

https://www.agenciaprotecciondatos.org/ 6

2.2.1
6666

Legislacinsobreseguridadinformtica

ComunidadEUROPEA
Estrategiaseuropeas Convenio108delConsejodeEuropa,de28deenerode1981,paralaproteccindelaspersonasen loquerespectaaltratamientoautomatizadodelosdatospersonales AcuerdodeSchengen(14juniode1985) TratadodeNiza,de26defebrerode2002,modificativodelosTratadosConsultivosdelaUnin Europea, introduciendo en los mismos la Carta de Derechos Fundamentales. (Entrada en vigor previstaparaelao2004,cuandosearatificadoporlos15estadosdeU.E.). ComunicacindelaComisinalConsejo,alParlamentoEuropeo,alComit EconmicoySocialy alComit delasregiones sobreSeguridaddelasredes ydelainformacin:Propuestaparaun enfoquepolticoeuropeo InformeBangemann(94);Cumbres(Corf94,...) eEurope2005 Directivaseuropeas Directiva95/46/CEdelParlamentoEuropeoydelConsejo,de24deoctubrede1995,relativaala proteccindelaspersonasfsicasenloquerespectaaltratamientodedatospersonalesyalalibre circulacindeestosdatos. Directiva 2002/58/CE, de 12 de julio de 2002 del Parlamento Europeo y Consejo relativa al tratamiento de los datos personales y a la proteccin de la intimidad en el sector de las comunicacioneselectrnicas. TELECOMUNICACIONES Directiva97/66/CE,delParlamentoEuropeo Directiva2000/31/CE,delParlamentoEuropeoyConsejosobredeterminadosaspectosjurdicosde lasociedaddelainformacin,enparticular,elcomercioelectrnicoenelmercadointerior. OrdenECO/1758/2002,de9dejulio,porlaqueseestablecenloscriteriosgeneralesdetramitacin telemticadedeterminadosprocedimientosenmateriadepersonal Decisioneseuropeas ITSEC(91),ITSEM(93),CCSEC... Enrelacinaestasestrategias,podemoscomentarelniveldecumplimientoenEspaa.Amodode ejemploeldocumentoSeguridaddelasredesydelainformacin:Propuestaparaunenfoquepoltico europeo6.Enestedocumentoseexpresanlasmedidaspropuestasparapaliarlosproblemasdeseguridad delaredydelainformacin.Entrelasquesecuentan:laconcienciacin,eldesarrollodeunsistema europeodealertaeinformacin,elapoyoalainvestigacinyaldesarrolloenmateriadeseguridad,la cooperacin internacional olacreacindeunalegislacinenmateriadeciberdelincuencia. Podemos comentarelniveldecumplimientoenEspaadealgunaspropuestasconcretascomo: LosEstadosmiembrosdebernponerenmarchaunacampaadeinformacinydeeducacinsobre seguridadinformtica LosEstadosmiembrosdebernfomentarelusodemejoresprcticasbasadasenmedidasexistentes comoISO/IEC17799EstamedidadeberaestarespecialmentedirigidaalasPYME.LaComisin prestarsuapoyoalosEstadosmiembrosenestosesfuerzos. LossistemasdeeducacindelosEstadosmiembrosdebernprestarmayoratencinaloscursos sobreseguridad. Las campaas institucionales sobreseguridadenEspaa hansidoysiguensiendomeramente testimoniales.Nohahabidocampaa deconcienciacin quepuedarecibir esenombre.Del segundo apartadoentiendoquenitestimoniales.NoexistenayudasalasPYMESparamejorarlaseguridaddesus sistemas de informacin. De la tercera propuesta tampoco existen. Es necesaria la intervencin gubernamentalentodoslosnivelesdelaAdministracindelEstadoquefomenten,facilitenyformenen temas de seguridad informtica, porque es una materia estratgica de primer orden para seguir perteneciendoalprimermundo.

Legislacinestatal(Espaa)
Constitucin Espaola (diciembre 1978) Art. 18.4 la ley limitar el uso de la informtica para garantizarelhonor... LeyOrgnica15/1999,de13dediciembre,deProteccindeDatosdeCarcterPersonal(LOPD).66 Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de SeguridaddelosFicherosAutomatizadosquecontengandatospersonales.66 LeyOrgnica5/1992,de29deoctubre,deRegulacindeltratamientoautomatizadodelosdatosde carcterpersonal.DerogadaporlaLeyOrgnica15/1999 RealDecreto1332/1994,20dejunio,porelquesedesarrollandeterminadosaspectosdelaLey Orgnica5/1992,de29deoctubre. RealDecreto428/1993,de26demarzo,EstatutodelaAgenciadeProteccindeDatos. Instruccin1/1995,de1demarzo,delaAgenciadeProteccindeDatos,relativaaprestacinde serviciosdeinformacinsobresolvenciapatrimonialycrdito. Instruccin 2/1995, de 4 de mayo, de la Agencia de Proteccin de Datos, sobre medidas que garantizanlaintimidaddelosdatospersonalesrecabadoscomoconsecuenciadelacontratacinde unsegurodevidadeformaconjuntaconlaconcesindeunprstamohipotecarioopersonal. Instruccin 1/1996, de 1 de marzo, de la Agencia de Proteccin de Datos, sobre ficheros automatizadosestablecidosconlafinalidaddecontrolarelaccesoalosedificios. Instruccin 2/1996, de 1 de marzo, de la Agencia de Proteccin de Datos, sobre ficheros automatizadosestablecidosconlafinalidaddecontrolarelaccesoaloscasinosysalasdebingo. Instruccin1/1998,de19deenero,delaAgenciadeProteccindeDatos,relativaalejerciciodelos derechosdeacceso,rectificacinycancelacin. Instruccin1/2000,de1dediciembre,delaAgenciadeProteccindeDatos,relativaalasnormas porlasqueserigenlosmovimientosinternacionalesdedatos. TELECOMUNICACIONES Ley11/1998,de24deabril,GeneraldeTelecomunicaciones. RealDecretoLey1736/98,de31dejulio,enelqueseapruebaelReglamentodelTtuloIIIdelaLey GeneraldeTelecomunicaciones. RealDecretoLey14/1999,de17deseptiembre,sobrefirmaelectrnica. Ley34/2002,de11dejulio,deServiciosdelasociedaddelainformacinydecomercioelectrnico. Comentariossobrelalegislacinespaola DetodasestasleyesvamosaestacarlasquemayorrepercusintienenenlosSistemadeGestin delaSeguridaddelaInformacin LeyOrgnica15/1999,de13dediciembre,deProteccindeDatosdeCarcterPersonal(LOPD). Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de SeguridaddelosFicherosAutomatizadosquecontenganDatosPersonales.

2.2.2

LeyOrgnica15/1999

Vamosadefiniralgunostrminosutilizadosenestanorma..EnelAnexoCdeDefinicionesdeconceptos delaLeyOrgnica15/1999ydelRealDecreto1332/1994,podr encontrarlostrminosparaentender mejorestasleyes. Datosaccesiblesalpblico Losdatosquefigurenencensos,anuarios,basesdedatospblicas,repertoriostelefnicosoanlogos,as comolos datospublicados enforma delistas depersonas pertenecientes agrupos profesionales que contengan nicamente los nombres, los ttulos, profesin, actividad, grados acadmicos, direccin e indicacindesupertenenciaalgrupo. Autoridadcontroladoradelfichero Significalapersonafsicaojurdica,laautoridadpblica,elservicioocualquierotroorganismoquesea competenteconarregloalaleynacionalparadecidirculser lafinalidaddelficheroautomatizado, culescategorasdedatosdecarcterpersonaldebernregistrarseycualesoperacionesselesaplicar (convenio108ConsejoEuropa). Datosdecarcterpersonal

Todainformacinnumrica,alfabtica,grfica,fotogrfica,acsticaodecualquierotrotipo,susceptible de recogida, registro, tratamiento o transmisin concerniente a una persona fsica identificada e identificable. Responsabledelfichero Persona fsica, jurdica de naturaleza pblica oprivada y rgano administrativo que decida sobre la finalidadycontenidoyusodeltratamiento. ResponsabledeSeguridad Personaopersonasdelaorganizacinalasqueelresponsabledelficherohaasignadoformalmentela funcindecoordinarycontrolarlasmedidasdeseguridadaplicablesendichaorganizacin. ObligacionesdeSeguridaddelaL.O.15/1999 Art.9:1.Elresponsabledelfichero,y,ensucaso,elencargadodeltratamiento,debernadoptarlas medidasde ndoletcnicayorganizativasnecesarias quegaranticenlaseguridaddelosdatosde carcterpersonalyevitensualteracin,prdida,tratamientooaccesonoautorizado,habidacuenta del estado de la tecnologa, la naturaleza de los datos almacenados y los riesgos a que estn expuestos,yaprovengandelaaccinhumanaodelmediofsicoonatural. Art.9(2): 2Enrelacinconlaseguridadfsicalanormaindicaquenoseregistrarndatosde carcterpersonalenficherosquenorenanlascondicionesquesedeterminenporvareglamentaria conrespectoasuintegridadyseguridadyalas deloscentros detratamiento,locales,equipos, sistemasyprogramas. Art.43.3.h)Mantenerlosficheros,locales,programasoequiposquecontengandatosdecarcter personalsinlasdebidascondicionesdeseguridadqueporvareglamentariasedeterminen.falta grave! Artculo45.Tipodesanciones 1.Lasinfraccioneslevessernsancionadasconmultade100.000a10.000.000depesetas. 2.Lasinfraccionesgravessernsancionadasconmultade10.000.000a50.000.000depesetas. 3.Lasinfraccionesmuygravessernsancionadasconmultade50.000.000a100.000.000de pesetas Unaobligacingeneral paratodaempresa oinstitucinquesolicitadatos personales es quelos interesados alosquesesolicitendatospersonalesdebernserpreviamenteinformados demodo expreso,precisoeinequvoco: a)Delaexistenciadeunficherootratamientodedatosdecarcterpersonal,delafinalidaddela recogidadestosydelosdestinatariosdelainformacin. b)Delcarcterobligatorioofacultativodesurespuestaalaspreguntasquelesseanplanteadas. c)Delasconsecuenciasdelaobtencindelosdatosodelanegativaasuministrarlos. d)Delaposibilidaddeejercitarlosderechosdeacceso,rectificacin,cancelacinyoposicin. e)Delaidentidadydireccindelresponsabledeltratamientoo,ensucaso,desurepresentante.

2.2.3

RealDecreto994/1999Reglamentodeseguridad

DestacarRealDecreto994/1999,de11dejunio,porelqueseapruebaelReglamentodeMedidasde SeguridaddelosFicherosAutomatizadosquecontenganDatosPersonalessujetosalrgimendelaLey Orgnica 15/1999. El objetivo del Reglamento es establecer las medidas obligatorias tcnicas y organizativas,necesarias paragarantizar laseguridaddelosficheros,centrosdetratamiento,locales, equipos,sistemas,programasypersonasqueintervenganeneltratamiento. Elreglamentoindicaquehayqueprotegerlainformacinen: Accesoenmodolocal Accesoatravsderedesdecomunicaciones Trabajosfueradellocaldeubicacindelfichero LosFicherostemporales El responsable del fichero elaborar e implantar la normativa de seguridad mediante un documentodeobligadocumplimiento.Atendiendoaltipodedatoscontenidosensuficheros,deber adoptarlasdiferentesmedidasdeseguridadrecogidasenelReglamento. Nivelbsico:todoslosficheroscondatospersonales Nivelmedio:datosrelativosasolvenciapatrimonialycrdito 9

Nivelalto:datosdeideologa,religin,creencias,etnia,salud,sexualidad ElDocumentodeMedidasdeSeguridadesdecarcterinterno,noteniendolaobligacindeser presentadoantelaAgencia,sinotansolotenerlodisponibleporsistefuerarequerido.Losnivelesmedio yaltoexigenAuditoras. Medidasdeseguridaddenivelbsicoqueestableceelreglamentoson: Documentodeseguridad(art.8)Polticasyreglamentos Funcionesyobligacionesdelpersonal(art.9) Registrodeincidencias(art.10) Identificacinyautenticacin(art.11) Controldeacceso(art.12) Gestindesoporte(art.13) Copiaderespaldoyrecuperacin(art.14)semanal ElDocumentodeSeguridadindicadoenelapartadounodebeconteneralmenoslossiguientes apartados: 1. mbitodeaplicacin 2. Medidas,normas,procedimientos,reglasyestndares 3. Funcionesyobligaciones 4. Estructuradelosficherosysistemasquelostratan 5. Procedimientodenotificacinanteincidencias 6. Procedimientosdecopiasdeseguridadyderecuperacindelosdatos Medidasdeseguridaddenivelmedio Lasmedidasdeseguridaddenivelmediosonlassiguientes Documentodeseguridad(art.15) Responsabledeseguridad(art.16) Auditora(art.17)cadadosaos Identificacinyautenticacin(art.18) Limitarelnmerodeintentos Loscontrolesperidicosquesedebenrealizarparaverificarelcumplimientodelodispuesto Controldeaccesofsico(art.19) Gestin de soportes (art. 20) La medidas que sea necesario adoptar cuando un soporte vaya a desechadooreutilizado.Impedirpoderrecuperarinformacinborrada Registrodeincidencia(art.21) Pruebascondatosreales(art.22)Estprohibido Medidasdeseguridaddenivelalto Distribucindesoporte(art.23)Cifradodelossoportes Registrodeacceso(art.24) Copiasderespaldo(art.25)Copiaenlugardiferenteadondeseencuentrenlosequipos. Telecomunicaciones(art.26)Cifradodelainformacin. Las medidas comentadas son acumulativas, es decir, la informacin de tercer nivel debe implementarlasmedidasdeniveltres,dosyuno. Elrgimendeproteccindelosdatosdecarcterpersonalnoserdeaplicacin: 1. Alosficherosmantenidosporpersonasfsicasenelejerciciodeactividadesexclusivamente personalesodomsticas. 2. Alosficherossometidosalanormativasobreproteccindemateriasclasificadas. 3. A los ficheros establecidos para la investigacin del terrorismo y de formas graves de delincuenciaorganizada.Noobstante,enestossupuestoselresponsabledelficherocomunicar previamentelaexistenciadelmismo,suscaractersticasgeneralesysufinalidadalaAgenciade ProteccindeDatos. Tabla1Cuadroresumendetiposdedatos

10

DATO DATOSDENIVELALTO Ideologa Religinycreencias Origenracial Salud Vidasexual Datos recabados para fines policiales sin el consentimiento de las personasafectadas DATOSDENIVELMEDIO Infracciones administrativasopenales HaciendaPblica ServiciosFinancieros

FICHEROSENLOSQUESE PUEDEENCONTRAR Nmina Liquidacinderenta Seguridadehigiene Saluddelpersonal Clientesdeproductoserticos

Clientesdeabogados,gestores etc Agencia Estatal AdministracinTributaria Bancos de

Solvencia patrimonial y ASNEF crdito Evaluacin de personalidad DATOSDENIVELBSICOS Resto la Seleccindepersonal Todos

Desdeelpasado26dejuniode2002laobligacindecumplirconlasmedidasexpresadasenel reglamento,afectaatodaslasempresas,administracionesoprofesionales. Elreglamento,aniveltcnico,esdifcildecumplirdeformaexhaustiva.Tampocoesfcildeducir lainformacinprecisaquerequierenlosdocumentosrequeridos.Unejemplodeelloeseldenominado Documentodeseguridad,quedebedetenerseentodosloscasos.Podemosencontrarunejemplode documento de seguridad de cada uno de los niveles en la Agencia de Proteccin de Datos de la ComunidaddeMadrid.9Estareferenciaesmuyvaliosaporquenoexisteotrosejemplosdedocumentos oficiales6. Laobligacinlegaldesucumplimiento,aunquelanormanoseademuyrecientecreacin,sigue siendodesconocidaparalainmensamayoradelasmicropyme,ypymesdeestepas.LaAgenciade Proteccin de Datos est siendo, por ahora, generosa y solo acta en este tipo de empresas bajo demandaexpresa.Laaplicacinestrictadelanorma,debidoalacuantasdelassanciones,avocaraal cierredemuchospequeosnegocios.Amododeejemplocomentarqueunpobrevideoclubdebarrio requierelasmedidasdeseguridaddemximonivel.

2.3 Nivel3:SistemasmedianosygrandesGestindelaseguridaddelos sistemasdeinformacin

ParalaGestindelaseguridaddelossistemasdeinformacinhayquetenerencuentacadavezms normaslegalesytcnicas.Unaformadefacilitarlagestindelaseguridaddesistemasdeinformacines aplicarlasnormasinternacionalesexistentesalrespecto. Algunas empresas podrn considerar importante la adecuacin a una norma para obtener la certificacin correspondiente porque su proceso de negocio (o clientes) lo demanden. Sin embargo, aunqueestopuedaserelcasoparaotrasnormasISO(comolaISO9000)noloestantoparalanorma ISO/IEC17799.Porqu,entonces,puedesernecesarioadecuarseaunanormacomoelISO/IEC17799? Lautilizacindeunanormadeseguridadpermitecerciorarsedequesecubrentodoslosaspectos deseguridadquedebeabordarunaorganizacin,desdelaespecificacindeunapolticadeseguridadala definicin de necesidades de seguridad fsica o de recuperacin de desastres. Claramente, una organizacinpuedeabogarpordefinirsupolticadeseguridadyrealizarsuimplementacinsinseguir
9

https://www.madrid.org/apdcm/ 11

ningunanorma.Elbeneficiodeutilizarunanormaeseldeaccederalconocimientodeexpertosreflejado enunaguaaccesibleacualquierresponsabledeseguridad. Enesteysiguientesnivelesnosvamosabasar,ademsdelasnormaslegales,enlosestndaresy recomendacionesinternacionales.

2.3.1

PrincipiosenSeguridaddelaOCDE

PodemosempezaranalizandolosnuevePrincipiosenSeguridaddeldelaOCDE(PARIS2002)6 Principio1:Concienciacin Losparticipantesdebenserconscientesdelanecesidaddecontarconsistemasdeinformacin yredesseguros,yquesloquepuedenhacerparapromoveryfortalecerlaseguridad. Principio2:Responsabilidad Todoslosparticipantessonresponsablesdelaseguridaddelossistemasdeinformaciny redes. Principio3:Respuesta Losparticipantes debenactuardemaneraoportunaycooperativaparaprevenir,detectary responderaincidentesqueafectenlaseguridad. Principio4:tica Losparticipantesdebenrespetarlosintereseslegtimosdelosotros. Principio5:Democracia Laseguridaddelossistemas deinformacinyredes debesercompatibleconlosvalores esencialesdeunasociedaddemocrtica. Principio6:Evaluacinderiesgos Losparticipantesdebenllevaracaboevaluacionesderiesgo. Principio7:Diseoeimplementacindeseguridad. Losparticipantesdebenincorporarlaseguridadcomounelementoesencialdelossistemasde informacinyredes. Principio8:AdministracindelaSeguridad. Losparticipantesdebenadoptarunavisinintegraldelaadministracindelaseguridad. Principio9:Evaluacincontinuadelaseguridad Losparticipantes debenrevisaryreevaluarlaseguridaddesussistemasdeinformaciny redes y hacer las modificaciones pertinentes a sus polticas, prcticas, medidas y procedimientosdeseguridad.

2.3.2

Niveldelanlisisderiesgo

Enrelacinconelanlisisderiesgo,enelapartado8deUNE715013INseestablecendiversosniveles parasurealizacin:mnimo,informal,detalladoycombinado).Entendemosqueelanlisisdescritocomo combinadoeseladecuadoparaestenivel.Elnivelmnimoseraadecuadoparaelnivelanterior.

2.3.3

Institucionesdenormalizacin

Internacionales ITUT(recomendacionesseries) ISO/IEC(normas) Europeas CEN/CENELEC ETSI

12

2.3.4

NormasdeOrganismosinternacionales

Laimplantacindelaseguridaddelainformacin,enlamedidadeloposible,seconsiguemedianteun conjunto adecuado controles, que pueden ser polticas, prcticas, procedimientos, estructuras organizativasyfunciones software.Estasmedidasdecontrolsirvenparaasegurarquesecumplenlos objetivosespecficosdeseguridaddelaOrganizacin.Enelcamponormativovoluntariodelagestinde laseguridaddelasTIexistenactualmente,comomsrelevantes,destacamoscomofundamentalespara estenivellassiguientes: Lanorma ISO/IEC 17799:2000 6 que ofrece las recomendaciones para realizar la gestindela seguridaddelainformacin,lasversinespaoladeestanormaeslanormaespejoUNEISO/IEC 17799:2000.6 LanormamultiparteISO/IEC133356 6 6 6 6 conocidascomolasGMITSdondeserecogenlas etapasdelciclodegestindelaseguridadproporcionandoorientacionesorganizativasytcnicas,la versin espaola de esta norma multiparte es la UNE 71501 IN 2001. Generalmente cada Organizacin en base a los riesgos a que est expuesta y los aspectos intrnsecos de su funcionamiento,defineeimplantaunSistemapropiopararealizardeformaestructurada,sistemtica ymetdicalagestindelaseguridaddeTI. BS7799:1"InformationSecurityManagementPart1: Codeofpracticeforinformationsecurity management"6 BS77992(BritishStandardsInstitution):buenasprcticasdegestindeseguridad.Paraalgunas organizaciones puedeserorientativalanormaBritnicaBS77992 6,lacualfijarequisitospara establecer, implementar y mantener un sistema de gestin de la seguridad de los sistemas de informacin(ISMS:InformationSystemsManagementSystem).Aquellasorganizacionesquequieran serconformesalanormaBS77992deberncumplirestrictamentelosrequisitossegnseindican ensutexto.Dadalariquezadevariantespresentesenelmundoreal,paraalgunasorganizacionesla normaresultameramenteorientativa. NormaISOOSI74982:ArquitecturadeSeguridad(Interconec..S.Abiertos) NormaIS177992enpreparacin,paraevaluarycertificarlosSistemasdeGestindeSeguridadque cumplanlaIS177991. GuasdelaOCDEparalaseguridaddelossistemasdeinformacinyredes.Haciaunaculturade seguridad.(OrganisationForEconomicCoOperationAndDevelopment.Paris2002).6 Uncuadroresumendeestasnormasordenadasseparandolasnacionalesdelasinternacionales: NormativasdeSeguridaddelaInformacinenEspaa10 UNEISO/IEC 17799:2002 "Cdigo de buenas prcticas de la Gestin de la Seguridad de la Informacin"TraduccinencastellanodelaISO/IEC17799:2000EquivalealaBS7799:1 UNE71501IN"GuaparalaGestindelaSeguridaddeTI"EquivaleaISO/TR13335parte1,2y3 Parte1:ConceptosymodelosparalaSeguridaddelasTI; Parte2:GestinyplanificacinparalaSeguridaddelasTI Parte3:TcnicasparalaGestindelaSeguridaddelasTI PNE71502(ProyectodeNormaEspaola)"RequisitosparalagestindelaseguridaddeTI"Norma certificable actualmente en proyecto, en previsin para 2003, estar fundamente extrada de la BS77992:2002 Metodologas:MagerityMtricaV36 NormativasdeSeguridaddelaInformacininternacionales NormativasISOdesarrolladasporelcomitJTC1/SC2711 ISO/IEC 17799:2000 "Information Technology Code of Practice for Information Security Management" ISO/IEC TR 13335 "Information Technology Guidelines for the management of IT security" (GMITS) Part1:ConceptsandmodelsforITsecurity
10 11

DisponiblesenAENOR:www.aenor.es OtrasnormasISO:listadocompletoen:http://www.din.de/ni/sc27/doc7.html Disponiblesenwww.iso.ch 13

 Part2:ManagingandplanningITsecurity Part3:TechniquesforthemanagementofITsecurity Part4:Selectionofsafeguards Part5:Managementguidanceonnetworksecurity ReinoUnido12 BS7799:1" InformationSecurityManagementPart1: Codeofpracticeforinformationsecurity management" BS77992:2002"InformationSecurityManagementPart2:SpecificationsforanISMS"revisin2/5 septiembrede2002 Metodologa:CRAMM Comentamoslasnormasqueconsideramosmasimportantesparasuaplicacinenestenivel.

2.3.5

LaNormaUNE71501IN

La Norma UNE 71501 IN se ha elaborado para facilitar la comprensin de la seguridad de las TecnologasdelaInformacin(TI),yproporcionarorientacinsobrelosaspectosdesugestin. Losobjetivosprincipalesdeestanormason: DefinirydescribirlosconceptosrelacionadosconlagestindelaseguridaddeTI IdentificarlasrelacionesentrelagestindelaseguridaddeTIylagestindelasTIengeneral PresentarvariosmodelostilesparaexplicarlaseguridaddeTI, ProporcionarorientacingeneralsobrelagestindelaseguridaddeTI,yproporcionarorientacin enrelacinconlaseleccindesalvaguardas. LaNormaUNE71501INestestructuradaenvariaspartes: UNE 715011 IN que proporciona una visin general de los conceptos fundamentales y de los modelosutilizadosparadescribirlagestindelaseguridaddeTI.Suscontenidosvandirigidosalos responsablesdelaseguridaddeTIyaquienessonresponsablesdelplanglobaldeseguridaddela organizacin. UNE715012INquedescribelosaspectosdegestinyplanificacindelaseguridaddeTI.Va dirigidaalosdirectivosconresponsabilidadesrelacionadasconlossistemasdeTIdelaorganizacin. Puedenser:directivosdeTIresponsablesdeldiseo,desarrollo,pruebas,adquisicinoexplotacin de sistemas de TI, o directivos responsables de actividades que hacen un uso sustancial de los sistemasdeTI. UNE715013INquedescribetcnicasdeseguridadindicadasparaquienesseencuentranimplicados en actividades de gestin durante el ciclo de vida de un proyecto, como planificacin, diseo, desarrollo,pruebas,implantacin,adquisicinoexplotacin. UNE715011IN Fundamento Lasorganizaciones,tantodelsectorpblicocomodelsectorprivado,dependencrecientementedela informacin para el desarrollo de sus actividades. As, la prdida de autenticidad, confidencialidad, integridadydisponibilidaddesuinformacinyserviciospuedetenerparaellasunimpactonegativo.En consecuencia,esnecesarioprotegerlainformacinygestionarlaseguridaddelossistemasdeTIdentro delasorganizaciones.Esterequisitodeprotegerlainformacinesparticularmenteimportante,dadoque numerosasorganizacionesestnconectadasaredesdesistemasdeTIinternayexternamente. LagestindelaseguridaddeTIeselprocesoparaalcanzarymantenernivelesapropiadosde autenticidad,confidencialidad,integridadydisponibilidad.LasfuncionesdegestindelaseguridaddeTI incluyen: Determinacindelosobjetivos,estrategiasypolticasorganizativasdelaseguridaddeTI, DeterminacindelosrequisitosorganizativosdelaseguridaddeTI, Identificacinyanlisisdeamenazasaactivosdelaorganizacin(anlisisderiesgos), Comoconsecuenciadelpuntoanterior,especificacindelassalvaguardas apropiadas (gestinde riesgos),

12

Disponiblesenwww.bsiglobal.com 14

Seguimiento de la implantacin y operacin de las salvaguardas necesarias para proteger la informacinylosserviciosdelaorganizacin, Desarrolloeimplantacindeunplandeconcienciacinenlaseguridad,y Deteccinyreaccinanteincidentes. Lainformacinesunactivoorganizativo.Puedeexistirenmltiplesformas.Esvulnerable.Est sometida a una amplia variedad de amenazas. Debe ser protegida frente a impactos mediante la eliminacin o minimizacin de los riesgos asociados. Se protege mediante el establecimiento de salvaguardasoelementosdecontrol. Aspectosdelagestindelaseguridad LagestindelaseguridaddeTIesunaaccin permanente,cclicayrecurrente. Vamosacomentar algunosdesusaspectos. Gestindelaconfiguracin Lagestindelaconfiguracineselprocesodeseguimientodeloscambiosenelsistemaypuedehacerse formal o informalmente. El objetivo primordial de la gestin de la configuracin, en relacin a la seguridad,esgarantizarqueloscambiosenelsistemanoreducenlaefectividaddelassalvaguardas,nila seguridadglobaldelaorganizacin. Gestindecambios Lagestindecambioseselprocesoqueayudaaidentificarnuevosrequisitosdeseguridadcuandotienen lugarcambiosenlossistemasdeTI. Anlisisygestinderiesgos Persigue el equilibrio entre la naturaleza de los riesgos a los que estn sometidos los datos y los tratamientosyelcostedelassalvaguardas. Enelanlisisygestinderiesgosseidentificandosprocesos: Elanlisisderiesgoseselprocesoquepermitelaidentificacindelasamenazasqueacechanalos distintoscomponentespertenecientesorelacionadosconelsistemadeinformacin(conocidoscomo "activos"), para determinar la vulnerabilidad del sistema ante esas amenazas y para estimar el impacto o grado de perjuicio que una seguridad insuficiente puede tener para la organizacin, obteniendociertoconocimientodelriesgoquesecorre. Lagestinderiesgoseselprocesoque,basadoenlosresultadosobtenidosenelanlisisderiesgos, permiteseleccionareimplantarlasmedidaso"salvaguardas"deseguridadadecuadasparaconocer, prevenir, impedir, reducir o controlar los riesgos identificados y as reducir al mnimo su potencialidadosusposiblesperjuicios. MODELOS SibienexistendiversosmodelosparalagestindelaseguridadenTI,losmodelospresentadosenesta parte1delaNorma UNE71501INproporcionanlos conceptos necesarios para sucomprensin. Se presentanlossiguientesmodelos: Lasrelacionesentreelementosdeseguridad Lasrelacionesenelanlisisygestinderiesgos LagestindelprocesodeseguridaddeTI

15

figura21relacionesentreelementosdeseguridad.Fuente:AENOR Elmodelorepresenta: Unentornosometidoaamenazasquecambianconstantementeyquesonparcialmenteconocidas, Losactivosdeunaorganizacin, Lasvulnerabilidadesdedichosactivos, Las salvaguardas seleccionadas para proteger los activos y para reducir las consecuencias de la posiblematerializacindelasamenazas, Lassalvaguardasquereducenlosriesgos,y Losriesgosresidualesaceptablesparalaorganizacin.

figura22LasrelacionesenelanlisisygestinderiesgosFuente:AENOR

16

Polticade seguridaddeTI

Aspectos organizativos

Anlisisygestinderiesgos

Implantacinde salvaguardas

Seguimiento

figura23LagestindelprocesodeseguridaddeTI UNE715012IN TratasobrelagestinylasresponsabilidadesasociadasaunplaneficazdeseguridaddeTI.Persigue familiarizaralosgestoresconlosprincipalesprocesosyfuncionesenlagestindelaseguridaddeTI.La informacinproporcionadaenestapartepuedenoserdirectamenteaplicableatodaslasorganizaciones. Enparticular,lasorganizacionespequeasprobablementenodispongandetodoslosrecursosparallevar acaboporcompletoalgunasdelasfuncionesdescritas.descritas.Enestoscasos,esimportantequelos conceptosyfuncionesbsicosseanadaptadosdeformaadecuadaalaorganizacin. UNE715013IN ExaminadiversastcnicasquesonimportantesparalagestindelaseguridaddeTI.Estastcnicasestn basadasenlosconceptosymodelosaportadosporlaNormaUNE715011INyenelprocesodegestin y responsabilidades tratados en la Norma UNE 715012 IN. La discusin en esta parte muestra las ventajasydesventajasdecuatroposiblesestrategiasparaelanlisisderiesgos.Sedescribeendetalleel enfoquecombinado,ylasdiversastcnicastilesparasuimplantacin.Eselapartadomasconcretocon unosanexosconejemplosprecisos.

2.3.6

PNE71502EspecificacionesparalosSistemasdeGestindelaSeguridad delaInformacin(ProyectodeNormaEspaola)

NohayunanormaISOequivalenteactualmente.EsequivalentealanormaBritnicaBS77992:2002. Losapartadossonlossiguientes: 1OBJETOYCAMPODEAPLICACIN(SGSIControlesBuenasPrcticas 2NORMASPARACONSULTA 3TRMINOSYDEFINICIONES UnSGSIcomprendelaestructuraorganizativa,losprocedimientos,losprocesosylosrecursospara implantarlagestindelaseguridaddelainformacin. ElsistemaeslaherramientadequedisponelaDireccindelasorganizacionesparallevaracabolas polticasylosobjetivosdeseguridad(integridad,confidencialidadydisponibilidad,asignacinde responsabilidad,autenticacin,etc.) Proporcionamecanismosparalasalvaguardadelosactivosdeinformacinydelossistemasquelos procesan,enconcordanciaconlaspolticasdeseguridadyplanesestratgicosdelaorganizacin. 4MARCOGENERALDELSGSI Requisitosgenerales Establecimientodelentornodegestin(req.legales) Seleccindecontroles Pasosparaelestablecimientodelentornodegestin

17

Documentacin Controldocumental Registros ResponsabilidadesdelaDireccin(CompromisoyPoltica) Pasosparaelestablecimientodelentornodegestin FASE1DefinicindelaPoltica FASE2DefinicindelalcancedelSGSI FASE3DesarrollodelAnlisisdeRiesgos FASE4GestindeRiesgos FASE5Seleccindecontrolesaimplantaryobjetivosacubrir FASE6Prepararlarelacindecontroles 5IMPLANTACINDELSGSI Implantacindeloscontroles Eficaciaycalidaddeloscontroles 6EXPLOTACIN Provisinderecursosmaterialesyhumanos 7REVISINDELSGSI AuditorasyRevisinporDireccin 8PROCESODEMEJORA PROCESODECERTIFICACIN Reglamentoenpreparacin(similaraotros) Auditoresconformacinespecfica(legislacinytecnologasdeinformacin)

18

figura24PNE71502

2.3.7

NormaUNEISO/IEC17799Cdigodebuenasprcticasparalagestinde laseguridaddelainformacin

Basada en los tres conceptos fundamentales de confidencialidad, integridad y disponibilidad de la informacin,yaseaescrita, hablada oalmacenada enuncomputador,laISO/IEC17799 6definelas mejoresprcticasparamanejarlaseguridaddelainformacin,entrminosdeprocesos,nodetecnologa. LaISO/IEC17799esunametodologaestructurada,internacionalmentereconocida,orientadaala seguridaddelainformacinquereconoceunprocesoparaevaluar,implantar,manteneryadministrarla seguridaddelainformacin..Lanormaproporcionarecomendacionesalosalosresponsableslagestin delaseguridaddelainformacinenlasorganizaciones. Pretendeproporcionar: Unabaseparaeldesarrollodenormasdeseguridadorganizativas Prcticasefectivasdegestin Confianzaenlosacuerdosentreorganizaciones. Contiene10seccionesdesalvaguardas 1. Polticadeseguridad

19

2. Aspectosorganizativosparalaseguridad 3. Clasificacinycontroldeactivos 4. Seguridadligadaalpersonal 5. Seguridadfsicaydelentorno 6. Gestindecomunicacionesyoperaciones 7. Controldeaccesos 8. Desarrolloymantenimientodesistemas 9. Gestindecontinuidaddelnegocio 10. Conformidad ademsde36objetivos,127controlesdetallados: LaISO/IEC17799,quesebasaenlanormaBS7799debeserutilizadacomoundocumentode referencia,puesproporcionauncompletoconjuntodecontrolesdeseguridad..Adiferenciadeella,laBS 7799especificalosrequerimientosparaestablecer,implementarydocumentarunSistemadeGestinde SeguridaddeInformacin(InformationSecurityManagementSystem,ISMS)yparaqueloscontrolesde seguridadseanimplementadosdeacuerdoalasnecesidadesparticularesdecadaorganizacin. Lospasosquedebeseguirunaorganizacinquedeseaimplementarunanormativadeestetipo son:primero,establecerlosrequisitosdeseguridaddelaorganizacin,identificandoriesgos,amenazas, vulnerabilidadesyposibilidadesdeimpacto,principalmente.Luego,esnecesarioestablecerprincipiosy polticasparaloquequeremosproteger.Adems,sedebeconsiderarun temdeentrenamientoparaque losempleadosdelaempresacomprendancmosedebeestablecerlanorma.Tambin,esclavedefinirun calendariodetrabajocontiemposdeterminadosyelalcancedelaspolticasquesehandeimplementar. La ISO/IEC 17799:2000es unCdigodePrcticas quenoproporciona el necesario nivel de detalleparadarsoporteaunesquemadecertificacin.EnotrospasesseemplealanormaBS77992. Setratadel nicoestndarconaceptacinmundialquesatisfacelosrequerimientosdelmercado. Esunaformadereducirloscostosdelasprimasdelasplizasdeseguros;ymejoralaefectividaddela seguridaddelainformacin Debeserutilizadaconsiderandoelmarcolegalaplicableencadapas.Esimportantesealarqueel carcterdenormanacional idnticaalaNormaInternacional ISO/IEC17799:2000,siseconsideran apartadosaislados,podramostenerlavisinquelanormaincurrepuntualmenteenaspectosquepueden serobjetodeconflictoconlalegislacinaplicableenelmarcoespaol. Perosilanormasecontemplaensutotalidad,sever ques tieneencuentalosmencionados aspectos,indicandoeldebidocumplimientodelalegislacinaplicableencadaestado. Recientemente las compaas dedicadas a la seguridad han lanzado una iniciativa que precisamenteest orientadaaconcienciaralosresponsablesdelaseguridadsobrelaimportanciadel factorhumanoylaspolticasdeseguridaddentrodeunaorganizacin13.

2.3.8

LaNormaBS7799

BS7799permitedefinirymantenerunSistemadeGestindelaSeguridaddelaInformacin(ISMS). Estanorma define los controles ylas responsabilidades quems seadecuen a unaorganizacin, de acuerdoasurealidad,paraadministrarmejorlaseguridaddelainformacin.BSI,comofundadoradela normaBS7799eslaprincipalentidadcertificadoraendichoestndar. ObtenerlacertificacinBS7799esclaramenteunbeneficioparalasorganizacionesdehoy,ya querepresentaunaoportunidadparaidentificarlasdebilidades;permitealgerentegeneral conocery controlarlaseguridaddelainformacindesucompaa,ademsdeunarevisinpermanentedelamisma ydeformaindependientedelsistemadegestindeseguridaddelainformacinquesetenga AcercadeBSI(BritishStandard) Fundada en 1901, BSI ha llevado ms de 35,500 proceso de registro sobre 90 pases. es miembro fundadordelaOrganizacinInternacionalparalaEstandarizacin(ISO),BSIfacilitypublicelprimer estndar para sistemas de administracin de calidad, sistemas de administracin ambiental, salud y administracindeproyectos.TambinconstruyolanormadeseguridadBS7799,basedelestndarde buenasprcticasISO/IEC17799:2000.Actualmentecuentaconregistrodel35%delacertificacinde
13

Puedesconsultarlaen http://www.humanfirewall.org/ ytieneuncuestionarioquepermiteevaluartu organizacinrespectodelaiso17799 20

seguridadBS7799214. Porlaproliferacindenormativalegalenel mbitonacionaleinternacionalsehacenecesariola elaboracindealgntipodeguauorientacinparapoderaplicarprcticamentetodasestasnormasy recomendaciones.

2.4 Nivel4:Gestinglobalderiesgosdelsistema
Como ya hemos comentado en el apartado anterior, de los niveles de riesgos establecidos el UNE 715013IN,aestenivellecorresponderaelanlisisderiesgodetallado,conlaayudademetodologasde anlisisderiesgo.Existenmuchasherramientasymetodologasdisponiblesparalamedicinderiesgos. Podemosenumerar CRAMM6 MAGERIT OCTAVE(OperationallyCriticalThreat,Asset,andVulnerabilityEvaluationSM) InfoSecure15metodologayherramientasdeanlisisderiesgo. COBIT16(ControlObjetivesForIt) COBRA:RiskConsultant.Softwaredeanlisisderiesgo6 Vamosacomentarlastresprimeras.

2.4.1

CRAMM

Es el mtodo de anlisis y control de riesgos del Gobierno Britnico ( CCTA Risk Analysis and Management Method). CRAMM es un mtodo estructurado y coherente para la identificacin y la evaluacinderiesgosenredesysistemasdeinformacin.Abarcaescenariostcnicosynotcnicos(por ejemplo,aspectosfsicosdelaseguridaddelatecnologadelainformacin)yproporcionaunmtodo rigurosoporetapasquepermiteprogramaradecuadamentelasrevisiones.Hayherramientasdesoftware disponiblesparaCRAMM.LaltimaversinesCRAMMVersin5deenerode2003.Estametodologa seaplicaconlanormaBS7799.

2.4.2

MAGERIT.Versin1.0MetodologadeAnlisisyGestindeRiesgosdelos SistemasdeInformacindelasAdministracionesPblicas

Laversin1.0deMAGERIT66sepresentamedianteunconjuntodeguas: GuadeAproximacinalaSeguridaddelosSistemasdeInformacin, GuadeProcedimientos,GuadeTcnicas, GuaparaDesarrolladoresdeAplicaciones, GuaparaResponsablesdelDominioProtegible, ReferenciadeNormaslegalesytcnicas, ArquitecturadelaInformacinyespecificacionesdelainterfazparaelintercambiodedatos. MAGERIT,MetodologadeAnlisisyGestindeRiesgosdelossistemasdeInformacindelas AdministracionesPblicas,fueelaboradoconundobleobjetivo:Estudiarlosriesgosyrecomendarlas medidas.EsunmtodoformalparainvestigarlosriesgosquesoportanlosSistemasdeInformacin. LaestructuradeMAGERITpermiterealizar: Elanlisisdelosriesgos paraidentificarlasamenazas queacechanalosdistintoscomponentes pertenecientes o relacionados con el Sistema de Informacin (conocidos como activos); para determinarlavulnerabilidaddelsistemaanteesasamenazasyparaestimarelimpactoogradode perjuicio que una seguridad insuficiente puede tener para la organizacin, obteniendo cierto conocimientodelriesgoquesecorre. Lagestindelosriesgos,basadaenlosresultadosobtenidosenelanlisisanterior,quepermite seleccionareimplantarlasmedidasosalvaguardasdeseguridadadecuadasparaconocer,prevenir,
14 15

(www.bsiglobal.com) http://www.infosecuregroup.com/ 16 http://www.netconsul.com/ FUENTE:WWW.ISACA.ORG 21

impedir,reducirocontrolarlosriesgosidentificadosyas reduciralmnimosupotencialidadosus posiblesperjuicios. El Anlisis yGestindeRiesgos es el corazn detodaactuacin organizada demateriade seguridad.Influye,incluso,enlasfasesyactividadesdetipoestratgico(implicacindeladireccin, objetivos,polticas)ycondicionalaprofundidaddelasfasesyactividadesdetipologstico(planificacin, organizacin,implantacindesalvaguardas,sensibilizacin,accindiariaymantenimiento). SubmodelosdeMAGERIT ElmodelonormativodeMAGERITseapoyaentressubmodelos: Submodelo de Elementos de Seguridad, con 6 entidades bsicas: Activos, amenazas, vulnerabilidades,impactos,riesgosysalvaguardas. Submodelo de Eventos de Seguridad, con 3 tipos principales: Esttico, dinmico organizativo y dinmicofsico. SubmodelodeProcesosdeSeguridad,con4etapastipificadas:Planificacin,anlisisderiesgos, gestinderiesgosyseleccindesalvaguardas. SubmodelodeElementos Activos.Sedefinencomolosrecursosdelsistemadeinformacinorelacionadoscon ste,necesarios paraquelaorganizacinfuncionecorrectamenteyalcancelosobjetivospropuestosporsudireccin.Se puedenestructurarenlassiguientescategoras:EnelentornodelSistemadeInformacinnecesariopara su funcionamiento, en el sistema de informacin, la propia informacin, las funcionalidades de la organizacin yotros activos como, por ejemplo,la credibilidad deuna persona jurdica o fsica, su intimidad,laimagen. Amenazas.Sedefinencomoloseventosquepuedendesencadenarunincidenteenlaorganizacin, produciendo daos materiales o prdidas inmateriales en sus activos. Las amenazas se pueden materializar y transformarse en agresiones. MAGERIT ve las amenazas como acciones capaces de modificarelEstadodeseguridaddelactivoamenazado;accionesdetipoevento,pueshayotrasde tipodecisinhumana. Vulnerabilidad.Definidacomolaocurrenciarealofrecuenciadematerializacindeunaamenazasobre unactivo,lavulnerabilidadesunapropiedaddelarelacinentreunactivoyunaamenaza.Ejerceentre ambosunafuncindemediacinenelcambiodelestadodeseguridaddelactivo;siendotambinel mecanismo de paso desde la amenaza a la agresin materializada. La vulnerabilidad tiene as dos aspectos:elesttico,ligadoalafuncin(formapartedelestadodeseguridaddelactivo);yeldinmico, ligadoalmecanismo(conviertelaamenazaenagresin). Impacto.Sedefinecomodaoproducidoalaorganizacinporunposibleincidenteyeselresultado delaagresinsobreelactivo,ovistodemaneramsdinmica,ladiferenciaenlasestimacionesdelos estados (de seguridad) obtenidas antes y despus del evento. El impacto puede ser cuantitativo (si representaprdidascuantitativasmonitorizablesdirectasoindirectas);cualitativoconprdidasorgnicas (porejemplo,defondodecomercio,daodepersonas);ycualitativoconprdidasfuncionales(odelos subestadosdeseguridad). Riesgo.Sehadefinidocomolaposibilidaddequeseproduzcaunimpactodadoenlaorganizacin.Su importancia como resultado de todo el anlisis organizado sobre los elementos anteriores (activos, amenazas,vulnerabilidadeseimpactos)quedaveladaporsuaparienciacomoindicadorresultantedela combinacindelavulnerabilidadyelimpactoqueprocededelaamenazaactuantesobreelactivo.Este riesgo calculado permite tomar decisiones racionales para cumplir el objetivo de seguridad de la organizacin.Paradarsoporteadichasdecisiones,elriesgocalculadosecomparaconel umbralde riesgo, un nivel determinado con ayuda de la poltica de seguridad de la Organizacin. Un riesgo calculadosuperioralumbralimplicaunadecisindereduccinderiesgo.Unriesgocalculadoinferioral umbralquedacomounriesgoresidualqueseconsideraasumible. Salvaguardas.Parareducirelriesgosenecesitalamejoradesalvaguardasexistentesolaincorporacin deotrasnuevas.MAGERITdistingueentrelallamadaFuncinoServiciodeSalvaguardaylallamada MecanismodeSalvaguarda.Sedefinelafuncinoserviciodesalvaguardacomoreduccindelriesgo; yel mecanismodesalvaguarda comodispositivo,fsicoolgico,capaz dereducir elriesgo.Una funcinoserviciodesalvaguardaesasunaaccinparareducirunriesgodetipoactuacinuomisin(es unaaccinfrutodeunadecisin,nodetipoevento).Esaactuacinseconcretaenunmecanismode salvaguarda que opera de dos formas: la salvaguarda preventiva ejerce como accin sobre la vulnerabilidadylasalvaguardacurativaactasobreelimpacto.

22

Enresumen: Activo:dominiodeelementosafectablesporelriesgoylaseguridad Amenazas:FactoresdeRiesgosobrelosactivosdeldominio Vulnerabilidad:probabilidaddequesematerialicecadaamenazaencadaactivo Impacto:consecuenciadequesematerialicecadaamenazaencadaactivo Riesgo:composicindeImpactosenlosactivosydevulnerabilidadesalasamenazas Salvaguardas:medidastcnicasy/uorganizativasparareducirelriesgobajounumbralaceptable SubmodelodeEventos Reflejalasrelacionesgeneralesentrelas6entidadesreseadasenelSubmodelodeElementos.

figura25Relacionesentreelementos SubmodelodeProcesos ElSubmodelodeProcesosdeMAGERITest divididoenetapas,compuestasporactividadesy stasse desglosanentareas(yencasonecesarioensubtareas). ElSubmodelodeProcesosdeMAGERITcomprende4etapas: 1.PlanificacindelProyectodeRiesgos.Comoconsideracionesinicialesparaarrancarelproyectode anlisisygestinderiesgos,seestudialaoportunidadderealizarlo,sedefinenlosobjetivosquehade cumpliryel mbitoqueabarcar,planificandolosmediosmaterialesyhumanosparasurealizacine inicializandoelpropiolanzamientodelproyecto. 2.Anlisisderiesgos.Seidentificanyvaloranlasdiversasentidades,obteniendounaevaluacindel riesgo,ascomounaestimacindelumbralderiesgodeseable. 3. Gestin de riesgos. Se identifican las funciones y servicios de salvaguarda reductoras del riesgo, seleccionandolosquesonaceptablesenfuncindelassalvaguardasexistentesylasrestricciones,tras simulardiversascombinaciones. 4.Seleccindesalvaguardas.Sepreparaelplandeimplantacindelosmecanismos desalvaguarda elegidosylosprocedimientos deseguimientoparalaimplantacin.Serecopilanlosdocumentos del AGR,paraobtenerlosdocumentosfinalesdelproyectoyrealizar laspresentaciones deresultados a

23

diversosniveles. Herramientas: Herramienta RIS2K Magerit. La utilizacin de esta herramienta RIS2K, que data de 1998, es nicamenterecomendableaefectosdedemostracinodeaplicacinaentornososituacionesnomuy complejas. Para los dems usos, conviene emplear otros instrumentos de mayor flexibilidad y potencia,comolashojasdeclculodepropsitogeneral. LaherramientaCHINCHONversin1.3,elaboradaporD.Jos AntonioMaas,Profesordela EscuelaTcnicaSuperiordeIngenieros deTelecomunicaciones delaUniversidadPolitcnicade Madrid.CHINCHONesunaherramientaquesiguelametodologaMAGERIT.Laentradaseescribe enXMLyrealizaunanlisisdelaposicinderiesgo,sirviendodeapoyoasugestin.Losderechos depropiedadintelectualpertenecenalautor,quienhapuestolaherramientaeneldominiopblico. Seguridadparaeldesarrollodeaplicaciones Para poder construir proyectos especficos de seguridad, MAGERIT posee interfaces de enlace con MTRICAV3 6.MAGERITpermiteaadirduranteeldesarrollodelSistemalaconsideracindelos requerimientos deseguridad, sininterferir enlos procedimientos deMtrica, pero utilizndolos para identificar y documentar los procedimientos y productos de aseguramiento. Estas interfaces tienen ventajasinmediatas:analizarlaseguridaddelSistemaantesdesudesarrollo,incorporardefensasantesde completarlo(loqueesmsbaratoyefectivo)ycontrolarsuconsistenciaalolargodetodoelciclode vidadelSistema. La Gua para Desarrolladores de Aplicaciones. Est diseada para ser utilizada por los desarrolladores de aplicaciones, y est ntimamente ligada con la Metodologa de Planificacin y DesarrollodeSistemasdeInformacin,Mtrica. Productosyservicioscomplementarios Los Criterios de seguridad, normalizacin y conservacin 6 recogen los requisitos, criterios, y recomendacionesrelativosalaimplantacindelasmedidasdeseguridadorganizativasytcnicaspara asegurarlaautenticidad,confidencialidad,integridad,disponibilidadyconservacindelainformacinen eldiseo,desarrollo,implantacinyexplotacindelasaplicacionesquelaAdministracinGeneraldel Estadoutilizaparaelejerciciodesuspotestades.EstosCriteriospuedensercomplementodeMAGERIT ytilesparaotrasorganizacionesquenopertenecenalasAdministracionesPblicas.Podemosencontrar criterios de normalizacin, seguridad, y conservacin aplicables a muchos entornos. Aconsejamos la consultadeestedocumento.

2.4.3

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability EvaluationSM)

OCTAVE6esunametodologaestadounidensedesarrolladaporelCentrodeCoordinacinCERTdel InstitutodeIngenieradelSoftware delaUniversidadCarnegieMellon.Unsegundomtodoest en desarrolloelOCTAVES,dirigidoapequeasorganizaciones.

2.5 NIVEL5Certificacin
Elsiguientenivel correspondera alaCertificaciones deproductos.Entendemos queestees elnivel superior,despusdeimplantarunSistemadeGestindelaSeguridaddelaInformacinsegnunanorma estndar,loqueprocedeesCertificarquecumplecondichanorma.Noest disponibletodavalanorma paralacertificacindelanormaUNE17799.ComentamosenesteapartadolanormaISO/IEC15408 (CriteriosComunes),paracertificacindecomponentes.

2.5.1

Normasdeevaluacinycertificacin

Sonelconjuntodenormasquesirvenparaevaluarocertificarque,instalaciones,normas,oprogramas poseencertificacionesdeseguridad.Nosencontramosconnormasdediversosmbitos: Estadounidenses TCSECTrustedComputerSECurity(libronaranja) Europeos ITSEC/ITSEM Internacionales ISO/IEC154081(CCv2.1) 24

Unpocodehistoria
CommonCriteriaeselresultadofinaldeimportantesesfuerzoseneldesarrollodecriteriosdeevaluacin unificadosparalaseguridaddelosproductosITyampliamenteaceptadoporlacomunidadinternacional. A principios de los aos 80, se desarrollaron en Estados Unidos los criterios de seguridad recogidosbajoelnombredeTCSEC(TrustedComputerSystemEvaluationCriteria)yeditadosenel famoso libro naranja. En las dcadas posteriores, varios pases tomaron como base el TCSEC americanoyevolucionaronlasespecificacionesparahacerlasmasflexiblesyadaptablesalaconstante evolucindelossistemasdeIT. Deah lacomisineuropea,enelao1.991public elITSEC( InformationTechnologySecurity EvaluationCriteria),desarrolladoconjuntamenteporFrancia,Alemania,HolandayelReinoUnido.En Canada, igualmente se desarrollaron en 1.993 los criterios CTCPEC (Canadian Trusted Computer Product Evaluation) uniendo los criterios americanos y europeos. En ese mismo ao el Gobierno americano publico los Federal Criteria como una aproximacin a unificar los criterios europeos y americanos. Tal escenario comienza a aclararse con la decisin de estandarizar internacionalmente estos criteriosparausogeneral,yenesalaborISOcomienzaatrabajaraprincipiosdelosaos90.Estatarea fueasignadaalgrupodetrabajo3(WG3)delsubcomit27(SC27)delComitTcnicoISO/IECJTC1 dedicadoaTecnologasdelaInformacin.
LibroNaranja EEUU TCSEC1 985 CriterioCanadiense (CTCPEC)1993

UKConfidence Levels1989

CriterioFederal Borrador1993 ITSEC 1991

CriterioAlemn

CriteriosComunes v1.01996 v2.01998

CriterioFrancs

ISO/IEC15408 Junio1999

figura26Evolucindeloscriterioscomunes

Laculminacindelprocesoocurri enJuniode1999,cuandoISOestableciel CommonCriteria versin2.0comoestndar,establecindolocomoISO15408conelttulodeEvaluationCriteriafor InformationTechnologySecurity(ISOIEC15408). Eselresultadodeunalaboriosaeintensanegociacinentrepasesparaobtenerunacuerdode reconocimientomutuodelascertificacionesdeseguridaddeproductosITrealizadasentreungrupode14 pasesentrelosquefiguraEspaacomofirmantedelacuerdoatravsdelMinisteriodeAdministraciones Publicas17. Estos14pasessignatariosdelosacuerdosde CommonCriteria,llegaronaestearregloporque permitira establecer un nico criterio con el que evaluar la seguridad de los productos de IT, contribuyendoaaumentarlaconfianzadelosusuariosenlosmismos. Vamosaverconunpocodemsdetallescadaunadelasnormasanteriores.

2.5.2

CRITERIOSEVALUACINEEUU:TCSEC(TrustedComputerSECurity)

Elpropsitosdeestoscriteriosdeevaluacinson: Suministrarnormasdeseguridadalosfabricantes. Definirmtricasdeevaluacinycertificacin. Establecercondicionesparalaadquisicindesistemas.

17

(http://www.map.es/csi/pg3432.htm) 25

Losrequisitosestablecidosson: Funcionesaimplementar Adecuacindelasimplementaciones Lasdivisionesestablecidas D,C,B,A Lasclasesestablecidasson: Dproteccinmnima C1,C2proteccindiscrecional B1,B2,B3proteccinpreceptiva A1proteccinverificada

2.5.3

ESTNDAREUROPEODEEVALUACINYCERTIFICACIN

EnesestndarEuropeodeCertificacinyEvaluacinpodemosdistinguirentre: Loscriteriodeevaluacin:ITSECInformationTechnologySECurity Lametodologa:ITSEM. UnacaractersticadeestanormaEuropeaeslaexistenciadeunesquemanacionaldeevaluacin ycertificacin.CadapastienesuautoridaddeEvaluacinyCertificacin.

CriteriosdeEvaluacinITSEC(InformationTechnologySECurity)
LosCriteriosdeEvaluacinITSECsefijansobrelosObjetivodeseguridad,lasFuncionesdeseguridady losMecanismosdeseguridadsobreelObjetoaevaluar(TOE). Losaspectosdelaevaluacinserealizansobre: Lafuncionalidad.Establece10nivelesfuncionalesdeF1F10(Conjuntodefuncionesdeseguridad: FDX,FDC,FDI,FAV,FIN,FB3,FB2,FB1,FC2,FC1). Laconfianza.Establece7nivelesdegaranta(EfectividadyCorreccin:E0,E1,E2,E3,E4,E5,E6).

MetodologaITSEM
Laspartesimplicadasquesereconocenenestametodologason: Elpatrocinadordelproductoquequeremoscertificar ElProductor LasInstalacionesdeevaluacin LaComisinnacionaldecertificacin FuncionesdelaComisinnacionaldecertificacin LasfuncionesdelascomisionesnacionalesdeCertificacinsonlassiguientes: Acreditacindeinstalaciones Supervisindelaevaluacin RevisinInformesTcnicos Emisindecertificados Publicacindecertificados Acuerdodereconocimientomutuodecertificados(Nov.1997) Organismosdecertificacinreconocidos: ReinoUnido Francia Alemania

2.5.4

ISO/IEC15408(CriteriosComunes18)

La Norma internacional ISO 15408, tambin conocida como Common Criteria 6 establece unos criteriosdeevaluacinycertificacindelaseguridadenTecnologasdelaInformacin.Quedanfuerade sumarcodenormalizacinlossiguientesaspectos: Medidasadministrativas
18

ISO/IEC15408http://www.commoncriteria.org/ 26

Medidasfsicas Marcolegaldelaevaluacin Calidadintrnsecadelosalgoritmosdecifrado Justificacin MuchossistemasyproductosdeTecnologasdelaInformacinestndiseadosparasatisfaceryrealizar tareasespecficasypuedeocurrir,normalmenteporrazoneseconmicas,quedeterminadosaspectosde seguridadseencuentrendelegadosenfuncionesdeseguridaddeotrosproductososistemasdepropsito generalsobreloscualesellostrabajancomopuedensersistemasoperativos,componentes software de propsitoespecficooplataformashardware. Por tanto, las medidas de salvaguarda dependen del correcto diseo y funcionamiento de los serviciosdeseguridadqueimplementanotrossistemasoproductosITmsgenricos. Seradeseableportanto,questosestuvieransometidosaevaluacinparaconocerenquemedida nos ofrecen garantas y podemos depositar confianza en ellos. Muchos clientes y consumidores de sistemasyproductosITcarecendelosconocimientosnecesariosorecursossuficientesparajuzgarpor ellosmismossilaconfianzaquedepositanenestossistemasoproductosITesadecuadaydesearanno obtener esa certeza solamente en base a la informacin que proporcionan los fabricantes o las especificacionesdelosdesarrolladores. LanormaISO/IEC15408defineuncriterioestndarausarcomobaseparalaevaluacindelas propiedades y caractersticas de seguridad de determinado producto o sistema IT. Ello permite la equiparacinentrelosresultadosdediferenteseindependientesevaluaciones,alproporcionarunmarco comn con el que determinar los niveles de seguridad y confianza que implementa un determinado productoenbasealconjuntoderequisitosdeseguridadygarantaquesatisfacerespectoaestanorma obteniendodeesaformaunacertificacinoficialdeniveldeseguridadquesatisface. Por tanto, la norma ISO/IEC 15408 proporciona una gua muy til a diferentes perfiles relacionadosconlastecnologasdelaseguridad. Desarrolladores deproductososistemasdetecnologasdelainformacin(fabricantes).Pueden ajustarsusdiseosyexplicarloqueofrecen. Losevaluadoresdeseguridad,quejuzganycertificanenquemedidaseajustaunaespecificacin deunproductoosistemaITalosrequisitosdeseguridaddeseados.Esdecir,puedecertificarloque asegura. Los usuarios que pueden conocer el nivel de confianza y seguridad que los productos de tecnologasdelainformacinysistemasleofrecenypuedeexplicarloquequiere. Los usuarios pueden comparar sus requerimientos especficos frente a los estndares de CommonCriteriaparadeterminarelniveldeseguridadquenecesitan. 2. Los usuarios pueden determinar mas fcilmente cuando un producto cumple una serie de requisitos.Igualmente, CommonCriteria exigealosfabricantesdelosproductoscertificados publicarunadocumentacinexhaustivasobrelaseguridaddelosproductosevaluados. 3. LosusuariospuedentenerplenaconfianzaenlasevaluacionesdeCommonCriteriapornoser realizadas porelvendedor,sinoporlaboratorios independientes.Laevaluacinde Common Criteria es cada vez mas utilizada como condicin necesaria para concurrir a concursos pblicos.Porejemplo,elDepartamentodeDefensaAmericanohaanunciadoplanesparautilizar exclusivamenteproductoscertificadosporCommonCriteria. 4. DebidoaqueCommonCriteriaesunestndarInternacional,proporcionaunconjuntocomnde estndares que los usuarios con operaciones internacionales pueden utilizar para escoger productosqueseajustenlocalmentealasnecesidadesdeseguridad. Endefinitiva,proporcionandounconjuntodeestndares enseguridadcomolosrecogidos por CommonCriteria,secreaunlenguajecomnentrelosfabricantesylosusuarios,queambospueden entender.Losfabricantesutilizarnestelenguajeparacontarasusclientespotencialeslascaractersticas desusproductos evaluadas en CommonCriteria,eigualmentehabilitaalosusuarios aidentificary comunicaradecuadamentesusnecesidadesdeseguridad.Seproporcionanunosmediosymecanismos objetivosquenospermitirntomardecisionesenbasealgomsslidoquelasmeraspercepciones. DiferentespartesdelEstndar El ISO/IEC 15408 se presenta como un conjunto de tres partes diferentes pero relacionadas. A continuacin,describimoscadaunadeellas: 27 1.

Parte1.Introduccinymodelogeneral.IS154081:1999(2002)Introductionandgeneralmodel Definelosprincipiosyconceptosgeneralesdelaevaluacindelaseguridadentecnologasdela informacinypresentaelmodelogeneraldeevaluacin.Tambinestablececmosepuedenrealizar especificaciones formales de sistemas o productos IT atendiendo a los aspectos de seguridad de la informacinysutratamiento.(laestructuraylenguajecomunesparaexpresarlosrequisitosdeseguridad deproductososistemasdeTI). PPprotectionprofileperfildeproteccin loquesequiere:requisitosparaunacategoradeproductos STsecuritytargetobjetivodeseguridad fabricante:loqueofrecer:especificacionesdeunproducto TOEtargetofevaluationobjetivodeevaluacin unaimplementacindeST Parte2.RequisitosFuncionalesdeSeguridadIS154082:1999(2002)Securityfunctionalrequirements Este tipo de requisitos definen un comportamiento deseado en materia de seguridad de un determinadoproductoosistemaIT. Parte3.RequisitosdeGarantasdeSeguridadIS154083:1999(2002)Securityassurancerequirements Estetipoderequisitosestablecenlosnivelesdeconfianzaqueofrecenfuncionesdeseguridad delproductoosistema.Tratadeevaluarquegarantasproporcionaelproductoosistemaenbasealos requisitosquesesatisfacenalolargodelciclodevidadelproductoosistema. Evolucindelestndar Lasnormasqueseestnelaborandoparaelfuturoinmediatoson: IS15292:2001(2005)Protectionprofileregistrationprocedures WD18045MethodologyforITsecurityevaluation Nivelesdegaranta CommonCriteria oISO/IEC15408,proporcionantambinunosnivelesdegaranta(EAL)como resultadofinaldelaevaluacin.EALEvaluatedAssuranceLevel EAL0:singarantas EAL1:probadofuncionalmente EAL2:probadoestructuralmente EAL3:probadoychequeadometdicamente EAL4:diseado,probadoyrevisadometdicamente EAL5:diseoypruebassemiformales EAL6:diseado,probadoyverificadosemiformalmente EAL7: diseado, probado y verificado formalmente Constituyen la base para el reconocimiento mutuo OrganizacindelosrequisitosdeSeguridad LosCCestablecenunoscriteriosdeevaluacinbasadosenunanlisisrigurosodelproductoosistemaIT a evaluar y los requisitos que este satisface. Para ello, establece una clasificacin jerrquica de los requisitos de seguridad. Se determinan diferentes tipos de agrupaciones de los requisitos siendo sus principalestiposlosquevemosacontinuacin: Clase:Conjuntodefamiliascompartenunmismoobjetivodeseguridad. Familia:ungrupodecomponentesquecompartenobjetivosdeseguridadperocondiferentenfasiso rigor. Componente:unpequeogrupoderequisitosmuyespecficosydetallados.Eselmenorelemento seleccionable para incluir en los documentos de perfiles de proteccin (PP) y especificacin de objetivosdeseguridad(ST).

2.5.5

Metodologaabiertaparalaverificacindelaseguridad(OSSTMM)

Existe una metodologa de cdigo abierto para laverificacin de laseguridad de los sistemas. Esta metodologaesdeISECOM6(InstituteforsecurityandOpenmethodologies)Lametodologaseconoce porlassiglasOSSTMM(OpenSourceSecurityTestingMethodologyManual).

28

Isecomesunaorganizacininternacional,sinnimodelucro,quetienecomoobjetivodesarrollar conocimientosyherramientasrelacionadasconlaseguridad,ofrecindolasbajounalicenciadecdigo abiertoquepermitesulibreutilizacin. OSSTMMeselestndarmscompletoexistenteenlaactualidadconunametodologaparala verificacindelaseguridaddelossistemasylasredesquedisponendeunaconexinaInternet. Estametodologa,seencuentraenconstanteevolucinyesfrutodelacolaboracindemsde150 colaboradoresdetodoelmundo.Graciasaestenmerodecolaboradores,eldocumentoincorporalos msrecientescambiosynuevosdesarrollosrelacionadosconlaseguridadinformtica. La OSSTMM es una metodologa para la realizacin de las verificaciones de seguridad en Internet.Setratadelprincipalproyectoexistenteenlaactualidadparadefinirunametodologaformalque permitaverificarlaseguridadinformticadelosequipos,desarrolladodeunaformaindependientey totalmenteabierto.Otrosproyectosenlosqueseesttrabajadosonlametodologaparalaprogramacin segurayla"HackerHighSchool. Eldisponerdeunametodologadetrabajoestandarizadasignificaquepermitagarantizarelnivel depruebasqueserealizanenelmomentodeverificarlaseguridad.Nopretendeespecificarunalistade pruebasconcretasarealizar,sinoloselementosquedebenverificarse,tantodesdeelexteriorcomoel interior. UnaspectoimportanteasealaresquelaOSSTMMhasidodiseadaparacubrirlosaspectos tcnicosestablecidospordiversaslegislaciones.As,enelcasoconcretodeEspaa,laOSSTMMincluye losrequerimientosestablecidostantoporlaleydeproteccindedatosylaLSSICE. Esunproyectointeresanteperoquenoesadecuadoparalaelaboracindelosplanesdeseguridad quepornormativalegalhayquerealizar. SonmasrecomendablelanormaISO17799ayudadadelametodologaMagerit.Lametodologa OSSTMMestaorientadaaevaluarlaseguridaddeunsistema.Estaorientadaarealizarunaauditorade seguridaddelossistemas.

2.5.6

MetodologadelComputerSecurityResourceCenter(CSRCNIST)

El Computer Security Resource Center (organismo que depende del NIST, National Institute of Standards and Technology del departamento de comercio de los Estados Unidos) ha publicado su metodologaparalaverificacindelaseguridaddelossistemasydelaspolticasdeseguridad6. Este documento est dividido en cuatro secciones: una introduccin a la metodologa, la descripcindelosmtodosdeverificacinyelconjuntodeseguridad,ladefinicindelosmtodosy objetivosdelaspruebasdeseguridady,enlaltimaseccin,queelementosdebentenerprioridadcuando serealizanlasverificacionesconunosrecursoslimitados.

Discusin

Como comentbamos en la introduccin de este trabajo, una vez analizadas las distintas normas y estndares,nivelanivel,vamosacomentarlascarenciasdetectadasparaencontrarlneasdetrabajo.En general,podemosafirmarconrotundidadqueelniveldecumplimientodeplandeaccineEurope2005 esmuybajoenEspaa. Enelnivel1 Enrelacinconlacreacindeunaculturadeseguridad,establecidaenelplandeaccineEurope2005, podemos afirmar que no existen campaas institucionales para concienciar a los usuarios de la importanciadelaseguridaddelossistemaspersonales. Podemosconsiderarquela nicainiciativanacional conciertadifusineselCentrodealerta tempranadevirus 6,dondepodemosencontrarademsdeinformacinsobrevirus,algunainformacin sobreseguridad.Laexistenciadeestesitionoesconocida.Noseharealizadolasuficientedifusinentre elgranpblicocomoparaquetengaunaincidenciapositivaenlamejoradelaseguridadenEspaa.Sus campaassehanlimitadoalosvirusinformticos.Parasubsanarestacarenciaseranecesarioaumentarla difusindelaexistenciadeestesitioymejorarsucontenidoademsderealizarunaverdaderacampaa deconcienciacindelaimportanciadelaseguridadenlossistemasdeinformacinatodoslosniveles. EstalneadetrabajolecorrespondealaAdministracin,ynorequieremasquevoluntadpolticapara hacerlo.

29

Delafaltadeconcienciacinsobrelaimportanciadelossistemasdegestindelaseguridadno existesoloentreelgranpblico.Alcanzaacapasdemsaltoniveldeformacinyresponsabilidad. Podemoscomentarlacarenciadeasignaturasespecficassobreseguridadenlamayoradelosplanesde estudiosdelasDiplomaturasdeInformticaenEspaa.Cuandoexistenalgunaasignaturadeseguridad suelentratarsobrecriptografa.PodemosponercomoejemplodeestecasonuestrapropiaUniversidad. Portanto,ademsdelafaltadeconcienciacin,hacefaltamsformacinenmateriadeseguridadatodos losniveles.Lasmedidasdeconcienciacinyformacinsonadministrativasynoproporcionanlneasde trabajo. Un usuario no profesional o domstico necesita utilizar una serie de programas amplio para garantizarlaseguridad.(antivirus,cortafuegos,detectordeintrusos,filtrosdecontenidos,configuracin seguradesusistemaoperativo,actualizacionesdelosparchesdeseguridaddelasaplicaciones,limpiado ymantenimientodelregistrodeWindows...).Independientementedelcosto,(puedeelegirentreversiones gratuitas nototalmenteoperativas odepago), requieren actualmente unos conocimientos ampliosde informtica,imposibledeexigiratodoslosusuarios.Uncaminopuedeserexigirunacertificacinde formacin mnima para la adquisicin y utilizacin de los ordenadores si van a estar conectados a internet., oquelosISP noproporcionaran conexinaunordenador hastacomprobar (pormediode auditoriaremotadeseguridad)queelsistemacumpleconunosmnimos.Esclaroqueestasmedidasse enfrentanainteresescomercialesyquesondeimplantacinpocoprobable. Otraposibilidadeseldesarrollodeherramientasdeseguridaddecdigoabiertoygratuitos,con inteligenciaparaaprenderdelentornoyconcapacidaddeautoconfiguracin.Estascaractersticasson requeridasparaevitarlanecesidaddeunniveldeformacinaltoycontinuodetodoslosusuariosde ordenadores.Elconjuntodeherramientasabarcaraalasrelacionadascomobsicasenelnivel1. Nivel2 Enestenivel,elprincipalobjetodediscusinsonlascaractersticastcnicasdelreglamentodeseguridad, elgradodefacilidaddesucumplimiento,ylautilidadrealenrelacinconlamejoradelaseguridadde lossistemasdeinformacin. El reglamento de seguridad (Real decreto 994/1999) establece la obligacin de elaborar un documentodeseguridad,peronoestableceningnmodelo.Hayalgunosejemplonooficiales 66.Son necesarios laelaboracindedocumentosdeseguridadespecficos parasectores concretos (abogados, mdicos,gestoras,pequeocomercio...). Estofacilitaramuchsimolarealizacindedocumentosde seguridad.Estaesunalneadetrabajo. Elreglamentonoespecificalasmedidasconcretasaniveltcnicoquehayquetomarencadacaso, dejandociertaambigedad.Porejemploindicaenvariosdesusapartados..setomarnlasadecuadas medidastcnicasquegarantices.....Estodejaindefensoaltcnicoquehayarealizadoeldocumentode seguridad.Sihayunataqueeltcnicosiempreesculpable,pordefinicin.Algunospreceptoslegalesson tcnicamente muy difcil de cumplir. El reglamento no est basado en estndares que permita certificaciones.EsnecesariolamodificacindelReglamentodeSeguridadconlavisindelostcnicos informticos. Elreglamentodeseguridadnorequiereestarcalificadopararealizarlaspreceptivasauditoriasde seguridad. Es necesario que se requiera una titulacin oficial informtica de nivel universitario o acreditacincertificadapororganismooficialparalarealizacindelasauditorias. Los colegios profesionales (mdicos, abogados, gestores administrativos..) deben de realizar campaasentresusasociados,as comolosgremiosyasociacionesempresarialesparaladifusindela obligacindecumplimientodelreglamentodeseguridad. Estasdos ltimasconsideracionesrequierenunasolucinporpartedelaAdministracin.Noson objetodeinvestigacin. Faltanherramientasquecompruebenquelasmedidascontenidaseneldocumentodeseguridad estnrealmenteimplementadas.Paraunadecuadoanlisisderiesgosnecesitamostambindispositivos quecompruebendemodoautomticolasvulnerabilidadesdeunsistemaconcretoylasamenazasreales que sonaplicables. S existen herramientas de anlisis de seguridad pero enfocadas a ataques sobre puertos. Pero son parciales y poco configurables. No se adaptan a las medidas del documento de seguridad.Esnecesarioeldesarrollodeestasherramientasconlascaractersticasyamencionadas. Dadalaexistenciadeunanormativalegaldeobligadocumplimiento,sernnecesarioelementos probatorioscuandoexistandenuncias expresas.Nohaycriterios deactuaciones paralaobtencinde

30

pruebas de delitos informticos. Proponemos como lnea a seguir la definicin de metodologas de AnlisisForenseydediseosdedispositivosquepermitaneldesarrollodeAnlisisForense. Nivel3 Analizadaslasdistintasnormassobresistemasdegestindeseguridad,podemosresumirqueel ciclodevidaparalagestindelaseguridaddeunsistemadeinformacinrespondealossiguientespasos: 1. Determinarlosobjetivosylaestrategiadeseguridad,deacuerdoconlasfuncionesdenuestra organizacinylosrequisitosnecesariosqueseannecesariosgarantizar.Establecerlapolticade seguridaddelaINFORMACIN. 2. Anlisis y gestin de riesgos. As conoceremos el contexto de nuestro problema, nuestros activos,nuestrospuntosdbilesylasmedidasdeseguridaddelasquedisponemos.Adems, tambin lograremos determinar la relacin de medidas de seguridad que a menor costo minimizan nuestros posibles daos. Analizamos la rentabilidad de las posibles soluciones a implantar. 3. Establecerlaplanificacindelaseguridadaimplantar. 4. Adecuarlaorganizacinalasnuevasresponsabilidadesyasignartareasdentrodelorganigrama. 5. Implantarlasmedidasseleccionadas 6. Concienciaryentrenaralpersonalenelusodelasnuevasmedidas 7. Monitorizacin y supervisin de los mecanismos de seguridad implantados y atender a los posibleseventosoincidentes 8. Revisinyauditoriadelasituacinparaversisesiguengarantizandolosrequisitosdeseguridad oesnecesariounnuevoanlisisderiesgos. Estametodologaescclicaycontinua,siempreenconstanterevisin,puestoquelasamenazasa laseguridadsonalgodinmicoylastecnologasdeproteccinyprevencinestnenconstanteevolucin. Enloscasosdeempresamedianasygrandesesfundamentalelestablecimientoformaldepolticas deseguridad,medianteladifusinyseguimientodelasbuenasprcticasestablecidasporlaISO/IEC 17799:2000. LanormaISO/IEC17799ysuespejonacionalUNE17799debuenasprcticasdeseguridad,no tienenactualmentenormainternacionaldecertificacin.Laexistenciadeesanormacertificadoraactuara dealicienteparaquemuchasempresasquenoconsideranprioritariolaimplantacindedichanormaenla actualidad,seloplantearanaunquefuesesolopormotivosdeimagenanteelmercado.Esnecesariala prontapublicacindelanormacertificadoraconelobjetivodemejorarlasituacindeseguridaddelas empresas einstituciones.La experiencia delas certificaciones decalidad demuestra que nosololas grandesempresas,sinoquetambinlamedianaypequeahanidoobteniendocertificacionesdecalidad paramejorarsuimagenantesusclientespotenciales.TampocoexisteunanormaUNEcertificadorade estossistemas.EsciertoqueexistelaBS77992,quepermitecertificaciones,peroalserunanorma nacionalBritnicanotieneelmismoefecto. Desdeelpuntodevistadeunapequeaempresaaplicarlasmedidastcnicasparacumplirconla normaBS77992seraunatareaquecualquieradministradordeseguridadpodrallevaracabosinmayor dificultades. En cualquier caso, es importante destacar el hecho de que las medidas de seguridad puedan implementarse con software libre 6. Esto permite llevar a cabo implementaciones de la poltica de seguridad sin que sea necesario considerar el coste del software y sin que aparezcan problemas de escalabilidad.Elprimerodelosproblemasesalquehabitualmenteseenfrentanlaspequeasempresas porelelevadocostedelsoftwareasociadoalaseguridad,elsegundodelosproblemasestambincomn enempresasgrandesdebidoalelevadonmerodesistemasaasegurar.El softwarelibreofrece,portanto, una solucin vlida al entorno de seguridad de cualquier organizacin permitiendo la adecuacin e implementacindepolticasdeseguridadbasadasenestndaresinternacionales. Existen herramientas de anlisis de vulnerabilidades como nessus, satan 6 o tripewire 6 , principalmentededicadasavulnerabilidadesderedes.Noexistenherramientasqueanalicenlaseguridad delossistemasenrelacinconlasnormasestndaresdeseguridad.Tampocoencontramosherramientas concapacidaddeaprendizaje. Otracarenciaencontradaeslainexistenciadeherramientasdeentrenamientodelosusuariosen relacin con las amenazas potenciales de un sistema. Se necesitan simuladores de ataques,

31

parametrizablesparacomprobarlareaccindelsistemadeseguridadysobretododelcumplimientode losusuariosdelaspolticasdeseguridad. Porlaproliferacindenormativalegalenel mbitonacionaleinternacionalsehacenecesariola elaboracindealgntipodeguauorientacinparapoderaplicarprcticamentetodasestasnormasy recomendaciones.Esnecesarioeldesarrollodedocumentosdeseguridadsectoriales,comoeldocumento deCriteriosdeseguridadnormalizacinyconservacindelMAP6,quecontengantodoslosaspectos relacionadosenlasnormasinternacionalesdeseguridadparaesesector. Existensolucionesllaveenmanoporpartedealgunosproveedores,paraimplantarunsistemase seguridadmsintegrales,perosolosonaccesible,porsuelevadocosto,alasmuygrandescorporaciones enlasquelaseguridadesfundamental(ej:banca),peroquenoestnalalcancedelamedianaempresa. Nivel4 MAGERIT,esotrametodologa,peroparaelanlisisylagestinderiesgosdelaseguridaddelos sistemas deinformacin. Portanto,para el establecimiento delapoltica deseguridad, es necesario utilizarpreviamenteMAGERITyluego,paraelaborareldocumentoformaldeseguridadquerecogelos requisitos de proteccin, es recomendable el estndar ISO 17799,o sunorma espejo UNEISO/IEC 177991. Existen herramientas para el anlisis de riesgo como CHINCHON que suministrndoles la informacinquesolicitapuedefacilitarelanlisisderiesgos.Laotralnea,enlaquenoencontramos desarrollos,esladeaplicacionesydispositivosquedemodoautomticocaptenlosdatosnecesariosdel sistema,propongansalvaguardas,lasimplementenyvuelvanalpuntodeinicio.Proponemosaplicaciones concapacidaddeaprendizajeyautoadaptableacadaentorno. Nivel5 LosCommonCriteriaoISO15408,estnmsorientadosalaevaluacindesoftwareyhardware quealaevaluacindesistemas.Sonunabuenaguaparavercomoestablecerrequisitosdeseguridad respectoaatributosdelaseguridadcomolaconfidencialidad,disponibilidad,integridad,autenticacin.A dadehoy,ydadosuelevadocosto,noseutilizaparacertificarinstalaciones. Estanorma.esimportanteparaquelosfabricantespuedancertificarelniveldeseguridadque ofrecensusproductos.Desdeelpuntodevistadelusuarioesinteresanteporquesabehastaquenivelde seguridadpuedepedirlealproductoquecomprayportantonoincorporareslabonesnimsdbilesni msfuertesdelonecesarioasucadenadeseguridad.Peroensimismanomejoralossistemasdegestin deseguridad. Disponemosdeacuerdosinternacionalesdereconocimientosdecertificacionesnacionalessegn6 ARREGLOsobreelReconocimientodelosCertificadosdeCriteriosComunes enelcampodela SeguridaddelasTecnologasdelaInformacin. LametodologaOSSTMMestaorientadaaevaluarlaseguridaddeunsistemayarealizaruna auditoradeseguridaddelossistemas.Resaltarqueesun softwarelibre.Esta ltimaeslacaracterstica ms destacable. Permite certificar sistemas y certifica a profesionales para que puedan emitir certificaciones.Estascertificaciones tienereconocimientointernacional,peroajenosalosorganismos oficiales de certificacin. Esto implica que son ms econmicos y ms independientes de intereses comerciales.Contribucionesaestametodologaodesarrollosdemetodologassimilaresperoenotras reasdelaseguridaddesistemasesunalneadefuturo. LaMetodologaCSRCNISTesprincipalmenteparaevaluarlaseguridadderedes.

Eleccindeunalneadetrabajo

Enesteapartadoqueremosresumirlaslneasdetrabajoquepodemosobtenerdelapartadoanteriory concretarcualesentrandentrodenuestroenfoquedetrabajofuturoycualesdescartamos. Enelnivel1hemosapuntadocomolneadetrabajoparacumplirconelplandeaccineEurope 2005ydemsdirectivas,est lanecesidaddecampaasdeconcienciacinsobrelaimportanciadela seguridadinformticaas comodemayorformacinaniveldelaenseanzaobligatoriacomodelasde niveluniversitario.Lasmedidasdeconcienciacinyformacinsonadministrativasynoproporcionan lneasdetrabajo.Sientendemoscomolneadetrabajoeldesarrollodeherramientasdeseguridadde cdigo abierto y gratuitos, con inteligencia para aprender del entorno y con capacidad de auto configuracin.

32

Enel nivel 2descartandolas medidasde ndoleadministrativas,encontramos lanecesidad de desarrollodeherramientasquecompruebedeformaautomticalacorrectaimplantacindelasmedidas incluidaseneldocumentodeseguridad,activandoalarmas encasonecesarioalosresponsables.No estamos hablando simplemente de desarrollar una aplicacin que no existe, sino de dotarlas autoconfiguracin. mediante capacidades de aprendizaje. Tendramos que crear un sistema nuevo de aprendizajebasadoenlasdistintastendenciasactuales,adaptadoaesteentorno. Enelnivel3:Otracarenciaencontradaeslainexistenciademtodosdeentrenamientodelos usuariosenrelacinconlasamenazaspotencialesdeunsistema.Senecesitansimuladoresdeataques, parametrizablesparacomprobarlareaccindelsistemadeseguridadysobretododelcumplimientode losusuariosdelaspolticasdeseguridad. Enelnivel4:desarrollarnuevossistemasdeanlisisforensequepermitandescubrirlosriesgos sobrelosactivosdeunsistemaconcreto.Enelnivel5noencontramoslneasdetrabajo.Normalmentelas certificacionesestnenmanosdeciertosorganismosquesonlosquetieneautoridadparacertificar.

Conclusiones

ElComit TcnicoISOquetratasobreseguridadenlastecnologasdelaInformacineselJTC1/SC 27.Elnmerodeestndarespublicadossonde47.Elcomitestdivididoentresgruposdetrabajo. Tabla2GruposdetrabajodelcomittcnicoJTC1/SC27 Gruposdetrabajo JTC1/SC27/WG1 JTC1/SC27/WG2 JTC1/SC27/WG3 Ttulo Requirements,securityservicesandguidelines Securitytechniquesandmechanisms Securityevaluationcriteria

De los 47 estndares publicados relacionados con temas de seguridad, la inmensa mayora correspondenalgrupo2demecanismosytcnicas.Podemosencontrar6delgrupo1y3deltercero.Las relacionadasconlacriptografaylasfirmasdigitalesyautentificacinsonlamayoradelasnormas.Del mismomodoencontramosqueentrminosdeinvestigacin,serepitenlasproporcionesenlosapartados deseguridad.Portantopodemosafirmarqueproporcionalmentehaypocainvestigacinenrelacincon lasmetodologasdelossistemasdegestindeseguridad.Laslneasdetrabajoapuntadasenelapartado dediscusin,sonunclaroejemplodelasposibilidadesdeestecampoeninvestigacin. Noexisteunametodologaniestndarparalarealizacindelanlisisforense.Esnecesarioel desarrollodeuncuerpometodolgiconormalizado(unametodologa)deAnlisisForensedeltipodela metodologaOSSTMM. No hay ninguna gua de procedimientos disponible para que las informaciones obtenidas por mediodelanlisisforensepuedantenercarcterprobatorioanteuntribunal. Hayunacarenciadedispositivosneutrosquepermitanelanlisisforensedeordenadores.Seproponeel diseosdedispositivosquepermitaneldesarrollodeAnlisisForense. Esnecesariodesarrollaraplicacionesinformticassoporte,desoftwarelibre,(herramientas)que faciliten la implantacin de Sistemas de Gestin de Seguridad de la Informacin segn Norma InternacionalISO17799yelcumplimientodelreglamentodeseguridad.

Existenormasyestndaresrelacionadosconlossistemasdeseguridad,peronoseindicanaque nivelotamaodeempresacorrespondecadauno.Enestetrabajohemosestablecidounaclasificacinde losmismosatendiendoalnivelytamaodelaorganizacin.Portanto,unaestrategiadeimplantacin progresivadelasmedidasdeseguridadfacilitalossistemasdegestindelaseguridaddelainformacin. LaimplantacindeunestndarcomoUNEISO/IEC17799nogarantizaelcompletocumplimientodelas obligacionesexigidasenelreglamentodeseguridad.

33

Referencias:
[1] ISO/IEC 15408 (Criterios Comunes) parte 1, 2 y 3 [consulta 11junio de 2003] http://www.commoncriteria.org/docs/PDF/CCPART1V21.PDF [2] ISO/IEC 17799:2000 Information Security Management, Code of Practice for Information Security Management. International Standard. [consulta 11 junio de 2003] http://www.iso17799software.com/ [3] BS77991:1999 InformationsecuritymanagementPart1:Codeofpracticeforinformation securitymanagement.BritishStandard. [4] BS 77992:2002 Information Security Management. Part 2 Specification for information securitymanagementsystems.BritishStandard. [5] UNEISO/IECIS17799TecnologasdelainformacinCdigodebuenasprcticasparala gestin de la seguridad de la informacin (Information technology Code of practice for informationsecuritymanagment) [6] ISO/IEC133351ITSecuritytechniquesGuidelinesforthemanagementofITsecurityPart 1:ConceptsandmodelsformanagingandplanningITsecurity [7] ISO/IEC133352ITSecuritytechniquesGuidelinesforthemanagementofITsecurityPart 2:ManagingandplanningITsecurity [8] ISO/IEC133353ITSecuritytechniquesGuidelinesforthemanagementofITsecurityPart 3:TechniquesforthemanagementofITsecurity [9] ISO/IEC133354ITSecuritytechniquesGuidelinesforthemanagementofITsecurityPart 4:Selectionofsafeguards [10] ISO/IEC133355ITSecuritytechniquesGuidelinesforthemanagementofITsecurityPart 5:Managementguidanceonnetworksecurity [11] UNE715011INParte1:ConceptosymodelosparalaseguridaddeTI [12] UNE715012INParte2:GestinyplanificacindelaseguridaddeTI [13] UNE715013INParte3:TcnicasparalagestindelaseguridaddeTI [14] INFORMATION TECHNOLOGY Baseline Protection Manual [consulta 4 junio de 2003] http://www.bsi.bund.de/gshb/english/etc/inhalt.htm [15] Gua de seguridad informtica (SEDISI) [consulta: 11 junio de 2003] http://www.sedisi.es/06_index.htm, [16] MAGERITV.1.0Metodologadeanlisisygestinderiesgosdelossistemas,1997Ministerio deAdministracionesPblicasBoletnOficialdelEstadoISBN8434009609;[consulta6de juniode2003]http://www.map.es/csi/pg5m20.htm I. Guadeaproximacinalaseguridaddelossistemasdeinformacin II. Guadeprocedimientos III. Guatcnica IV. Guaparadesarrolladoresdeaplicaciones V. Guapararesponsabledeldominioprotegible VI. Arquitectura de la informacin y especificaciones de la interfaz para intercambiodedatos VII. ReferenciadenormaslegalesytcnicasCDROM [17] LORTADReglamentodeseguridad.E.DelPesoNavarroM.A.RamosGonzlez,Diazde Santos,1999ISBN8479784121 [18] LORTADanlisisdelaley.E.DelpesoM.A.RamosGonzlez,DazdeSantos,1998ISBN 84797834352edicin. [19] Leydeproteccindedatos.LanuevaLortad.Delpesonavarro,E,DazdeSantos,2000ISBN 8479784466 [20] Comunicacin de la Comisin al Consejo, al Parlamento Europeo, al Comit Econmico y SocialyalComit delasRegionessobreseguridaddelasredesydelainformacin:Propuesta para un enfoque poltico europeo [consulta: 4 de junio de 2003]. y http://europa.eu.int/information_society/eeurope/news_library/pdf_files/netsec_es.pdf [21] REALDECRETO994/1999,de11dejunio,porelqueseapruebaelReglamentodemedidasde

34

seguridaddelosficherosautomatizadosquecontengandatosdecarcterpersonal[consulta5de juniode2003]http://www.map.es/csi/pg3415.htm [22] LeyOrgnica15/99de13deDiciembredeProteccindeDatosdeCarcterPersonal[consulta5 dejuniode2003]https://www.agenciaprotecciondatos.org/datd1.htm [23] RealDecreto195/2000,de11defebrero,porelqueseestableceelplazoparaimplantarlas medidasdeseguridaddelosficherosautomatizadosprevistasenelReglamentoaprobadoporel Real Decreto 994/1999, de 11 de junio. .[consulta 4 de junio de 2003] http://www.map.es/csi/pg3417.htm [24] Legislacinsobreficherosdetratamientoautomatizadodedatosdecarcterpersonal..[consulta 4dejuniode2003]http://www.map.es/csi/pg3419.htm [25] Legislacinsobreproteccindedatosdecarcterpersonal(Disposicionesgenerales)..[consulta 4dejuniode2003]http://www.map.es/csi/pg3418.htm [26] PROTECCINDEDATOSDECARCTERPERSONAL(Otrasdisposiciones)..[consulta4 dejuniode2003]http://www.map.es/csi/pg3426.htm [27] PROTECCIN DE DATOS DE CARCTER PERSONAL (Aprobacin de Documentos de seguridadenaplicacindelreglamentodemedidasdeseguridaddelosficherosautomatizados quecontengandatosdecarcterpersonal..[consulta4dejuniode2003]http://www.csi.map.es/ csi/pg3425.htm [28] Evaluacinycertificacindelaseguridaddelastecnologasdelainformacin.MAP.[consulta 11juniode2003]http://www.csi.map.es/csi/pg3432.htm [29] Adoptingamultiannualprogramme(20032005)forthemonitoringofeEurope,dissemination of good practices and the improvement of network and information security (MODINIS). Brussels,26.07.2002COM(2002)425final2002/0187(CNS)..[consulta4dejuniode2003] http://www.map.es/csi/pdf/modenis_en.pdf [30] ARREGLOsobreelReconocimientodelosCertificadosdeCriteriosComunesenelcampo de la Seguridad de las Tecnologas de la Informacin. .[consulta 4 de junio de 2003] http://www.map.es/csi/pdf/acuerdo.pdf [31] SpecialPub80012AnIntroductiontoComputerSecurity:TheNISTHandbook.[consulta4 dejuniode2003];http://csrc.nist.gov/publications/nistpubs/80012/ [32] EstrategiaparalaSeguridaddelosSistemasdeInformacin.Madrid22deoctubredel2002. Julin Marcelo Cocho. Universidad Politcnica de Valencia. [consulta: junio 2003] http://www.grupodoxa.com/html/grupodoxa/pdf/estrategias.pdf [33] eEurope2005:Unasociedaddelainformacinparatodos.juniode2002.Bruselas,28.5.2002 COM(2002) 263 final [consulta: 5 junio 2003] http://www.guiafc.com/documentos/2002 COM263.pdf [34] Documentos de seguridad. Agencia de Proteccin de Datos de la Comunidad de Madrid [consulta:6dejunio2003]https://www.madrid.org/apdcm/contenidos/documento_box00.html [35] Estndares Internacionales de seguridad en sistemas de informacin. I Consecri (Congreso Nacional de Seguridad en Sistemas Teleinformticos y Criptografa). Arturo Ribagorda Garnacho.CatedrticodeUniversidad.UniversidadCarlosIIIMadrid.[Consulta:6dejuniode 2003] http://www.consecri.com.ar/pdf/Consecri%20250901/Exposiciones/05%20%20Est %E1ndares%20internacionales%20de%20seguridad%20en%20Sist%20Inf.pdf [36] Certificacin de la Seguridad. Jos A. Maas jmanas@dit.upm.es Dpto. de Ingeniera de Sistemas TelemticosUniversidad Politcnica de Madrid. [Consulta: 6 junio 2003] http://jungla.dit.upm.es/~pepe/ec/2003/02certificacion.pdf [37] eEurope2005:PropuestadeReglamentodelaAgenciadeSeguridaddelaInformacinydelas RedesEuropeaspresentadaporlaComisin.(COM(2003)63final(Febrero2003)(eningls) [consulta14dejuniode2003]http://www.csi.map.es/csi/pdf/nisa_en.pdf [38] REDI Revista Electrnica de Derecho Informtico.[Consulta 6 junio de 2003] http://v2.vlex.com/es/ppv/doctrina/fuente_29 [39] GuasdelaOCDEparalaseguridaddelossistemasdeinformacinyredesHaciaunaculturade seguridad.OrganisationForEconomicCoOperationAndDevelopment.(Paris2002).[consulta 7junio2003]http://www.oecd.org/pdf/M00033000/M00033189.pdf [40] CRAMMdelGobiernoBritnico(CCTA RiskAnalysisandManagementMethod).[consulta7

35

junio de 2003] http://www.cramm.com/ y Para obtener ms informacin, consulte: http://www.crammusergroup.org.uk/ [41] Recomendacionesdeseguridad.CheloMalagonPoyato(chelo.malagon@rediris.es)Francisco Monserrat Coll (francisco.monserrat@rediris.es) David Martinez Moreno (david.martinez@rediris.es) 15 de diciembre de 2000. Versi on 0.1 [consulta 7 junio 2003] http://www.rediris.es/cert/doc/docu_rediris/recomendaciones/recomendaciones.pdf [42] Documentacin sobre seguridad en la Comunidad RedIRIS [consulta 7 junio 2003] http://www.rediris.es/cert/doc/docu_rediris/ [43] DefinicindeunapolticadeseguridadJosR.ValverdeJRValverde@es.embnet.orgonsulta7 junio2003]http://www.rediris.es/cert/doc/docu_rediris/poliseg.es.html [44] Gestindelaseguridaddelainformacin.Noviembre2002,MarioLpezde vilaMuoz. [consulta8junio2003]www.anei.org/documentos/PS17799.pdf [45] AdecundosealanormaISO/IEC1799mediantesoftwarelibre*JosFernandoCarvajalVin GrupodeIntersenSeguridaddeATI(ATIGISI)carvaco@ati.esJavierFernndezSanguino PeaGrupodeIntersenSeguridaddeATI(ATIGISI)jfs@computer.org28deoctubrede 2002[consulta9juniode2003] http://www.ibiblio.org/pub/Linux/docs/LuCaS/Presentaciones/200211hispalinux/jfs2/linux iso17799.pdfyen http://www.opensource.org.mx/lucas/Presentaciones/200211hispalinux/jfs2/linuxiso17799.html [46] Criterios de seguridad, normalizacin y conservacin de las aplicaciones utilizadas para el ejercicio de potestades. Ministerios de Administraciones Pblicas. Madrid, febrero de 2003. [consulta10junio2003]http://www.map.es/csi/pg5c10.htm. [47] MageritV1.0.MetodologadeAnlisisyGestindeRiesgosdelosSistemasdeInformacinde las Administraciones Pblicas. Consejo Superior de Informtica y para el impulso de la Administracinelectrnica[Consulta9dejuniode2003].http://www.map.es/csi/pg5m20.htm [48] CHINCHONAnlisisdelRiesgo.D.Jos AntonioMaas,ProfesordelaEscuelaTcnica Superior de Ingenieros de Telecomunicaciones de la Universidad Politcnica de Madrid. [Consulta9juniode2003]http://jungla.dit.upm.es/~pepe/chinchon/README.htm [49] MTRICA.Versin3.MetodologadePlanificacin,DesarrolloyMantenimientodesistemas deinformacin.MinisteriodeAdministracionesPublicas2002.CSIAE.[Consulta9dejuniode 2003]http://www.map.es/csi/metrica3/index.html [50] Cuartoinformeanualsituacindelaproteccindelaspersonasenloquerespectaaltratamiento dedatospersonalesyalaproteccindelavidaprivadaenlacomunidadyentercerospases relativo al ao 1999. 5019/02/es WP 46. [consulta: 11 junio de 2003] http://www.aece.org/docs/recogida.datos.internet.wp29.pdf [51] COBRAISO17799COMPLIANCE&SECURITYRISKANALYSIS[consulta11juniode 2003]http://www.iso17799software.com/download.htm [52] Alertaantiviruscentrodeatencintempranadevirusyseguridadinformtica.Ministeriode CienciayTecnologa.[consulta11junio2003]http://www.alertaantivirus.es/index.html [53] ISECOM Institute for security and Open methodologies OSSTMM Open Source Security TestingMethodologyManual[consulta11juniode2003]http://www.isecom.org/ [54] MetodologadelComputerSecurityResourceCenter(CSRCNIST)[consulta12juniode2003] http://csrc.nist.gov/ [55] El Comit tcnico del Consejo Superior de Informtica de Seguridad de los Sistemas de InformacinyProteccindeDatosPersonalizadosAutomatizados(CITAD)[consulta12junio de2003]http://www.map.es/csi/fr340001.htm [56] OCTAVE(OperationallyCriticalThreat,Asset,andVulnerabilityEvaluationSM)[consulta12 juniode2003]URL:http://www.cert.org/octave/ [57] Documentodeseguridad.ManualPrctico.MartnManentGonzlez.Derecho.com2003.ISBN 8495996057 [58] Las Tecnologas de la Sociedad de la Informacin en laEmpresa Espaola, 2002.SEDISI. [Consulta8juniode2003]http://www.sedisi.es/05_index.htm [59] SSITADseguridadylegislacin.MinisteriodeAdministracionesPblicas,[consulta14junio de2003]http://www.csi.map.es/csi/pg6000.htm

36

[60] Adopcin de unprograma plurianual (20032005) para el seguimiento del Plan eEurope, la difusindelasmejores prcticas ylamejoradelasredes ylaseguridaddelainformacin (MODINIS)". Propuesta de Decisin del Consejo (COM(2002) 425 final) (Julio 2002) (en ingls)[consulta14dejuniode2003]http://www.csi.map.es/csi/pdf/modenis_en.pdf [61] Laproteccindedatospersonales.LasolucinenentornosMicrosoft.D.GonzaloGalloRuiz, D. Iigo Coello de Portugal Martnez del Peral, D. Fernando Parrondo Garca, D. Hctor Snchez Montenegro. 2003 [consulta 12 junio 2003] http://www.microsoft.com/spain/technet/seguridad/otros/libro_lopd.asp [62] IProgramasectorialANEIdegestindelaSeguridaddelaInformacin.MarioLpezdevila Muoz.2002[consulta6juniode2003.http://www.anei.org/documentos/PS17799.pdf [63] Satan1.1.1DanFarmerandWietseVenema[consulta6juniode2003]http://www.trouble.org/ satan/plataformas:Linux,Solaris [64] Tripwire 2.3.12 Tripwire, Inc. info@tripwire.com [consulta 6 de junio de 2003] http://www.tripwire.orgplataforma:Linux

37

AnexoA:EstndaresinternacionesISO
ElComitTcnicoISOquetratasobreseguridadenlastecnologasdelaInformacineselJTC1/SC 27.Elnmerodeestndarespublicadossonde47.Elcomitestdivididoentresgruposdetrabajo Gruposdetrabajo JTC1/SC27/WG1 JTC1/SC27/WG2 JTC1/SC27/WG3 Ttulo Requirements,securityservicesandguidelines Securitytechniquesandmechanisms Securityevaluationcriteria

Relacindeestndares:Fuente:http://www.iso.ch/ DESCRIPCIN NORMA InformationtechnologySecuritytechniquesCheckcharactersystems ISO/IEC7064:2003 ISO8372:1987 InformationprocessingModesofoperationfora64bitblockcipher algorithm ISO/IEC97962:2002 Information technology Security techniques Digital signature schemesgivingmessagerecoveryPart2:Integerfactorizationbased mechanisms Information technology Security techniques Digital signature schemesgivingmessagerecoveryPart3:Discretelogarithmbased mechanisms Information technology Security techniques Message Authentication Codes (MACs) Part 1: Mechanisms using a block cipher Information technology Security techniques Message AuthenticationCodes(MACs)Part2:Mechanismsusingadedicated hashfunction InformationtechnologySecuritytechniquesEntityauthentication Part1:General InformationtechnologySecuritytechniquesEntityauthentication Part2:Mechanismsusingsymmetricenciphermentalgorithms InformationtechnologySecuritytechniquesEntityauthentication Part3:Mechanismsusingdigitalsignaturetechniques InformationtechnologySecuritytechniquesEntityauthentication Part4:Mechanismsusingacryptographiccheckfunction InformationtechnologySecuritytechniquesEntityauthentication Part5:Mechanismsusingzeroknowledgetechniques Information technology Security techniques Procedures for the registrationofcryptographicalgorithms InformationtechnologySecuritytechniquesModesofoperationfor annbitblockcipher InformationtechnologySecuritytechniquesHashfunctionsPart 1:General InformationtechnologySecuritytechniquesHashfunctionsPart 2:Hashfunctionsusingannbitblockcipher InformationtechnologySecuritytechniquesHashfunctionsPart 3:Dedicatedhashfunctions InformationtechnologySecuritytechniquesHashfunctionsPart

ISO/IEC97963:2000

ISO/IEC97971:1999

ISO/IEC97972:2002

ISO/IEC97981:1997 ISO/IEC97982:1999 ISO/IEC97983:1998 ISO/IEC97984:1999 ISO/IEC97985:1999 ISO/IEC9979:1999 ISO/IEC10116:1997 ISO/IEC101181:2000 ISO/IEC101182:2000 ISO/IEC101183:2003 ISO/IEC101184:1998

38

NORMA ISO/IEC7064:2003 ISO/IEC117701:1996 ISO/IEC117702:1996 ISO/IEC117703:1999 ISO/IECTR133351:1996 ISO/IECTR133352:1997 ISO/IECTR133353:1998 ISO/IECTR133354:2000 ISO/IECTR133355:2001 ISO/IEC138881:1997 ISO/IEC138882:1998 ISO/IEC138883:1997 ISO/IECTR14516:2002 ISO/IEC148881:1998 ISO/IEC148882:1999 ISO/IEC148883:1998 ISO/IEC 148883:1998/Cor 1:2001 ISO/IEC15292:2001 ISO/IEC154081:1999 ISO/IEC154082:1999 ISO/IEC154083:1999 ISO/IEC15816:2002 ISO/IEC15945:2002 ISO/IEC159461:2002

DESCRIPCIN InformationtechnologySecuritytechniquesCheckcharactersystems

4:Hashfunctionsusingmodulararithmetic InformationtechnologySecuritytechniques Keymanagement Part1:Framework InformationtechnologySecuritytechniques Keymanagement Part2:Mechanismsusingsymmetrictechniques InformationtechnologySecuritytechniques Keymanagement Part3:Mechanismsusingasymmetrictechniques InformationtechnologyGuidelinesforthemanagementofITSecurity Part1:ConceptsandmodelsforITSecurity InformationtechnologyGuidelinesforthemanagementofITSecurity Part2:ManagingandplanningITSecurity InformationtechnologyGuidelinesforthemanagementofITSecurity Part3:TechniquesforthemanagementofITSecurity InformationtechnologyGuidelinesforthemanagementofITSecurity Part4:Selectionofsafeguards InformationtechnologyGuidelinesforthemanagementofITSecurity Part5:Managementguidanceonnetworksecurity InformationtechnologySecuritytechniquesNonrepudiationPart 1:General InformationtechnologySecuritytechniquesNonrepudiationPart 2:Mechanismsusingsymmetrictechniques InformationtechnologySecuritytechniquesNonrepudiationPart 3:Mechanismsusingasymmetrictechniques InformationtechnologySecuritytechniquesGuidelinesfortheuse andmanagementofTrustedThirdPartyservices InformationtechnologySecuritytechniquesDigitalsignatureswith appendixPart1:General InformationtechnologySecuritytechniquesDigitalsignatureswith appendixPart2:Identitybasedmechanisms InformationtechnologySecuritytechniquesDigitalsignatureswith appendixPart3:Certificatebasedmechanisms

Information technology Security techniques Protection Profile registrationprocedures InformationtechnologySecuritytechniquesEvaluationcriteriafor ITsecurityPart1:Introductionandgeneralmodel InformationtechnologySecuritytechniquesEvaluationcriteriafor ITsecurityPart2:Securityfunctionalrequirements InformationtechnologySecuritytechniquesEvaluationcriteriafor ITsecurityPart3:Securityassurancerequirements InformationtechnologySecuritytechniques Securityinformation objectsforaccesscontrol InformationtechnologySecuritytechniquesSpecificationofTTP servicestosupporttheapplicationofdigitalsignatures Information technology Security techniques Cryptographic techniquesbasedonellipticcurvesPart1:General

39

NORMA ISO/IEC7064:2003 ISO/IEC159462:2002 ISO/IEC159463:2002 ISO/IECTR15947:2002 ISO/IEC17799:2000 ISO/IEC180141:2002 ISO/IEC180142:2002 ISO/IEC21827:2002

DESCRIPCIN InformationtechnologySecuritytechniquesCheckcharactersystems

Information technology Security techniques Cryptographic techniquesbasedonellipticcurvesPart2:Digitalsignatures Information technology Security techniques Cryptographic techniquesbasedonellipticcurvesPart3:Keyestablishment InformationtechnologySecuritytechniquesITintrusiondetection framework Information technology Code of practice for information security management Information technology Security techniques Timestamping servicesPart1:Framework Information technology Security techniques Timestamping servicesPart2:Mechanismsproducingindependenttokens InformationtechnologySystemsSecurityEngineeringCapability MaturityModel(SSECMM)

AnexoB:GlosariosegnlaNormaUNE71501IN
activo: Recursodelsistemadeinformacinorelacionadocon ste,necesarioparaquelaorganizacin funcionecorrectamenteyalcancelosobjetivospropuestosporsudireccin. amenaza: Evento que puede desencadenar un incidente en la Organizacin, produciendo daos o prdidasmaterialesoinmaterialesensusactivos. anlisisderiesgos: Procesoquepermitelaidentificacindelasamenazasqueacechanalosdistintos componentespertenecientesorelacionadosconelsistemadeinformacin(conocidoscomo"activos"), paradeterminarlavulnerabilidaddelsistemaanteesasamenazasyparaestimarelimpactoogradode perjuicioqueunaseguridadinsuficientepuedetenerparalaorganizacin,obteniendociertoconocimiento delriesgoquesecorre. autenticidad:Caractersticaqueserefierealacomprobacinyconfirmacindelaidentidadrealdelos activos(procesos,sistemas,informacin) y/o actores(usuarios) y/o delaautorizacinporpartedelos autorizadores,ascomolaverificacindeestastrescuestiones. confidencialidad: Caracterstica que evita el acceso o la divulgacin de activos del dominio (informacin)aindividuos,entidadesoprocesosnoautorizados.Conciernesobretodoaactivosdetipo informacin,yamenudoserelacionaconlaintimidado"privacidad",cuandoesainformacinserefiere apersonasfsicas,contempladaenlaLOPD,LeyOrgnicadeProteccindeDatos15/1999 controlesbsicos:Conjuntomnimodesalvaguardasestablecidasparaunsistemaounaorganizacin disponibilidad:Caractersticaqueprevienecontraladenegacinnoautorizadadeaccesoalosactivos. Ladisponibilidadseasociaalafiabilidadtcnica(tasadefallos)deloscomponentesdelsistemade informacin. fiabilidad:Propiedadrelativaalaconsistenciaenelcomportamientoyenlosresultadosdeseados. gestinderiesgos: Procesobasadoenlosresultadosobtenidosen elanlisisderiesgos,quepermite seleccionareimplantarlasmedidaso"salvaguardas" deseguridadadecuadas paraconocer,prevenir, impedir, reducir o controlar los riesgos identificados reduciendo de esta manera al mnimo su potencialidadosusposiblesperjuicios. impacto:Consecuenciasobreunactivodelamaterializacindeunaamenaza. integridad: Caractersticaqueprevienecontralamodificacin o destruccinnoautorizadasdeactivos deldominio.Laintegridadest vinculadaalafiabilidadfuncionaldelsistemadeinformacin(oseasu eficaciaparacumplirlasfuncionesdelsistemadeorganizacinsoportadoporaqul)ysuelereferirse (aunquenosiempre)aactivosdetipoinformacin.Porejemplo,sontpicoslosproblemascausadospor laamenazadeunvirus(llegadoconundisqueteexternooatravsdelared)alaintegridaddelosdatos almacenadoseneldiscodurodeunordenadorpersonal. polticadeseguridaddeTI: Conjuntodenormasreguladoras,reglasyprcticas,quedeterminanel

40

modo en que los activos, incluyendo la informacin considerada como sensible, son gestionados, protegidosydistribuidosdentrodeunaorganizacin. responsabilidad:Propiedaddeunaentidadquegarantizaquelasaccionesde sta(comoviolaciones o intentosdeviolacindelaseguridad)quedenasociadasinequvocamenteaella. riesgo: Es la posibilidad de que se produzca un impacto determinado en un activo, en un dominio (conjuntodeactivos)oentodalaorganizacin. riesgoresidual:Eselriesgoquesedatraslaaplicacindesalvaguardasdispuestasenunescenariode simulacinoenelmundoreal. salvaguarda:Accin,procedimientoodispositivo,fsicoolgicoquereduceelriesgo. seguridaddeTI:Conjuntodeaspectosrelacionadosconlaautenticidad,confidencialidad,integridady disponibilidad. vulnerabilidad:Debilidaddeunactivoquepuedeserexplotadaporunaamenazaparamaterializaruna agresinsobredichoactivo.

AnexoC:DefinicionesdeconceptosdelaLeyOrgnica15/1999ydelRealDecreto 994/1999
Tanto la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personaly,Real Decreto994/1999,de11dejuniodeMedidasdeSeguridad,recogenensu articuladodefinicionesdeconceptosquefacilitanlacomprensindeestasleyes. Datosdecarcterpersonal:todainformacinnumrica,alfabtica,grfica,fotogrfica,acsticaode cualquier otro tipo, susceptible de recogida, registro, tratamiento o transmisin concerniente a una personafsicaidentificadaoidentificable. Fichero: todo conjunto organizado de datos de carcter personal, cualquiera que fuere la forma o modalidaddesucreacin,almacenamiento,organizacinyacceso. Tratamiento de datos: operaciones y procedimientos tcnicos de carcter automatizado o no, que permitan la recogida, grabacin, conservacin, elaboracin, modificacin, bloqueo y cancelacin, as comolascesionesdedatosqueresultendecomunicaciones,consultas,interconexionesytransferencias. Responsabledelficherootratamiento:personafsicaojurdica,denaturalezapblicaoprivada,u rganoadministrativo,quedecidasobrelafinalidad,contenidoyusodeltratamiento. Afectadoointeresado:personafsicatitulardelosdatosqueseanobjetodeltratamiento. Identificacin del afectado: cualquier elemento que permita determinar directa o indirectamente la identidadfsica,fisiolgica,psquica,econmica,culturalosocialdelapersonafsicaafectada. Procedimientodedisociacin:todotratamientodedatospersonalesdemodoquelainformacinquese obtenganopuedaasociarseapersonaidentificadaoidentificable. Encargadodeltratamiento:lapersonafsicaojurdica,autoridadpblica,servicioocualquierotro organismoque,slooconjuntamenteconotros,tratedatospersonalesporcuentadelresponsabledel tratamiento. Consentimiento del interesado: toda manifestacin de voluntad, libre, inequvoca, especfica e informada,mediantelaqueelinteresadoconsientaeltratamientodedatospersonalesqueleconciernen. Cesindedatos:todaobtencindedatosresultantedelaconsultadeunfichero,suinterconexincon otrosficherosylacomunicacindedatosrealizadaporunapersonadistintadelaafectada. Transferencia de datos: el transporte de datos entre sistemas informticos por cualquier medio de transmisin, as como el transporte de soportes de datos por correo o por cualquier otro medio convencional. Fuentes accesibles al pblico: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona,noimpedidaporunanormalimitativaosinmsexigenciaque,ensucaso,elabonodeuna contraprestacin. Tienen la consideracin de fuentes de acceso pblico, exclusivamente, el censo promocional,losrepertoriostelefnicosenlostrminosprevistosporsunormativaespecficaylaslistas depersonaspertenecientesagruposdeprofesionalesquecontengan nicamentelosdatosdenombre, ttulo, profesin, actividad, grado acadmico, direccin e indicacin de su pertenencia al grupo. Asimismo,tienenelcarcterdefuentesdeaccesopblicolosdiariosyboletinesoficialesylosmediosde comunicacin.

41

Datosaccesiblesalpblico:datosqueseencuentranadisposicindelpblicoengeneral,noimpedida porcualquiernormalimitativa,yestnrecogidosenmediostalescomocensos,anuarios,basesdedatos pblicas,repertoriosdejurisprudencia,archivosdeprensa,repertoriostelefnicosoanlogos,as como losdatospublicadosenformadelistasdepersonaspertenecientesagruposprofesionalesquecontengan nicamentelosnombres,ttulos,profesin,actividad,gradosacadmicos,direccineindicacindesu pertenenciaalgrupo. Bloqueodedatos:laidentificacinyreservadedatosconelfindeimpedirsutratamiento. Sistemasdeinformacin:conjuntodeficherosautomatizados,programas,soportesyequiposempleados paraelalmacenamientoytratamientodedatosdecarcterpersonal. Usuario:sujetooprocesoautorizadoparaaccederadatosorecursos. Recurso:cualquierpartecomponentedeunsistemadeinformacin. Accesosautorizados:autorizacionesconcedidasaunusuarioparalautilizacindelosdiversosrecursos. Identificacin:procedimientodereconocimientodelaidentidaddeunusuario. Autenticacin:procedimientodecomprobacindelaidentidaddeunusuario. Controldeacceso:mecanismoqueenfuncindelaidentificacinyaautenticadapermiteaccederadatos orecursos. Contrasea: informacin confidencial, frecuentemente constituidaporunacadena decaracteres, que puedeserusadaenlaautenticacindeunusuario. Incidencia:cualquieranomalaqueafecteopudieraafectaralaseguridaddelosdatos. Soporte:objetofsicosusceptibledesertratadoenunsistemainformticoysobreelcualsepueden grabarorecuperardatos. Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmentelafuncindecoordinarycontrolarlasmedidasdeseguridadaplicables. Copiadel respaldo: copiade los datos deunfichero automatizado en unsoporteque posibilitesu recuperacin.

AnexoD:sitiosdeseguridad
Enestasdireccioneshayantivirusellnea www.pandasoftware.es(pandaactivescan) http://es.trendmicroeurope.com/enterprise/products/housecall.php www.trendmicro.es(productshousecall) http://www.zonavirus.com/Antivirus_on_line.asplistadeantivirusonline http://www.ravantivirus.com/scan/indexn.php http://scan.sygatetech.com/prestealthscan.html http://www.bitdefender.com/scan/licence.php SNORThttp://www.snort.org/ http://www.spychecker.com/ http://www.hormiga.org/hack/scaners.htm NESSUS:http://www.nessus.org/ NMAP:http://www.insecure.org/nmap/yhttp://www.insecure.org/links.html Landguard:http://www.gfi.com/lannetscan/index.htm ShadowSecurityScanner:http://www.safetylab.com/en/ RETINA:www.eeye.com http://www.securityfocus.com/Excelentesitiodeseguridad CentrodeAlertasdelMAPhttp://www.map.es/csi/pg7060.htm ServiciodeseguridadIRISCERThttp://www.rediris.es/cert Para deteccin de problemas de seguridad en centros de RedIRIS y actuacin coordinada para resolverlosUniversidadPolitcnicadeCataluahttp://escert.upc.es SitioconlistasdedistribucineinformacinsobrelaISO17799 http://www.ictnet.es/ICTnet/cv/comunidad.jsp?area=tecInf&cv=sgsi

42

www.microsoft.com/spain/seguridad ISO17799Directory www.iso17799.com InformationSystemsAuditandControlAssociation www.isaca.org NationalInstituteofStandardsandTechnology www.nist.gov DisasterRecoveryJournal www.drj.com BusinessContinuityInstitute www.thebci.org ContingencyPlanningExchangeInc www.cpeworld.org ContingencyPlanningWorld www.businesscontinuityworld.com DisasterRecoveryInstituteInternational www.drii.org Globalcontinuitywww.globalcontinuity.com www.agenciaprotecciondatos.org www.delitosinformaticos.com www.ips.es www.ipsca.com http://www.criptonomicon.com/

AnexoE:DireccionesdeintersdeCriteriosComunes
CommonCriteria http://www.commoncriteria.org ConsejoSuperiordeInformtica,SISTAD http://www.map.es/csi/pg6000.htm PerfilesdeProteccinEvaluados http://www.radium.ncsc.mil/tpep/library/protection_profiles/index.html http://niap.nist.gov/ccscheme/PPRegistry.html ProductosComercialesEvaluados http://www.commoncriteria.org/epl/index.html

43