INGENIERIA EN DESARROLLO DE SOFTWARE.

MATERIA: SEGURIDAD INFORMATICA.

ALUMNO: JORGE ALBERTO HERNANDEZ TERÁN.

PROFESOR: CLAUDIA MONDRAGON GOMEZ.

TEMA: TAREA 1 FUNDAMENTOS TEORICOS.

 INTRODUCCION
Cada vez más los equipos de cómputo forman parte integral en las diversas
actividades del ser humano, y la información contenida en los equipos de cómputo es
tan importante y vital como el equipo de cómputo en sí. Tal es la importancia de la
información que ahora se le considera como un bien y al mismo tiempo un recurso, y
por tanto es sumamente importante su administración y protección.

NORMATIVIDAD DE LA SEGURIDAD INFORMÁTICA

Los activos de información y los equipos informáticos son recursos importantes y
vitales, sin ellos las organizaciones quedarían paralizadas en sus actividades y por tal
razón es necesario preservarlos. Esto significa que se deben tomar las acciones
apropiadas para asegurar que la información y los sistemas informáticos estén
apropiadamente protegidos de muchas clases de amenazas y riesgos.
Para tal acción deben emplearse medidas y políticas de seguridad las cuales tienen
como finalidad proporcionar instrucciones específicas sobre qué y cómo mantener
seguras las tecnologías de información.

TCSEC (Trusted Computer System Evaluation Criteria)

DESCRIPCION
Comúnmente conocido A continuación, se enumeran las siete clases:
como el libro naranja.
- D Protección mínima. Sin seguridad. - C1 Limitaciones de
El TCSEC tiene por accesos a datos. - C2 Acceso controlado al SI. Archivos de
objetivo aplicar la política log y de auditoria del sistema. -B1 Equivalente al nivel C2,
de seguridad del pero con una mayor protección individual para cada fichero. -
Departamento de Defensa B2 Los sistemas deben estar diseñados para ser resistentes al
estadounidense. Esta acceso de personas no autorizadas.
política se preocupa - B3 Dominios de seguridad. Los sistemas deben estar
fundamentalmente del diseñados para ser altamente resistentes a la entrada de
mantenimiento de la personas no autorizadas. - A1 Protección verificada. En la
confidencialidad de la práctica, es lo mismo que el nivel B3, pero la seguridad debe
estar definida en la fase de análisis del sistema.
 información clasificada a
nivel nacional
ITSEC (Information Technology Security Evaluation Criteria)
DESCRIPCION
Ha surgido de la armonización de varios Se definen siete niveles de evaluación,
sistemas europeos de criterios de denominados E0 a E6, que representan una
seguridad en TI. Tiene un enfoque más confianza para alcanzar la meta u objetivo de
amplio que TCSEC. seguridad. E0 representa una confianza
Los criterios establecidos en ITSEC inadecuada. E1, el punto de entrada por
permiten seleccionar funciones de debajo del cual no cabe la confianza útil, y E6
seguridad arbitrarias (objetivos de el nivel de confianza más elevado. Por ello, los
seguridad que el sistema bajo estudio presentes criterios pueden aplicarse a una
debe cumplir teniendo presentes las leyes gama de posibles sistemas y productos más
y reglamentaciones). amplia que los del TCSEC.

CTCPEC(Canadian Trusted Computer Product Evaluation Criteria)

DESCRIPCION

Es un estándar de seguridad de computadoras publicado en 1993 para

proveer un criterio de evaluación para los productos de IT. Es una
combinación de los criterios TCSEC americano (libro naranja) y el ITSEC
europeo. Proporciona una escala para la evaluación de productos
comerciales y proporciona bases para desarrollar un método de
especificación para productos de cómputo confiables.

FC-ITS The FC-ITS of the United States NIST and NSA (Federal Criteria for
Information Technology Security)

DESCRIPCION
El resultado es el documento En diciembre de 1992, el bosquejo de la versión 1.0 del FC-
de “Requerimientos mínimos ITS (Federal Criteria for Information Technology Security)
de seguridad para sistemas fue publicado por el Instituto nacional de estándares y
operativos de multiusuarios”, tecnología (NIST National Institute of Standards and
el cual presenta los Technology) creado originalmente para su uso por el
requerimientos funcionales Gobierno Federal de los Estados Unidos y por otros grupos
de seguridad para sistemas designados como apropiados.
operativos que procesen El FC-ITS contiene capítulos separados en requerimientos
información no clasificada de “Funcionalidad” y “Seguridad”, pero introduce una nueva
dentro de un ámbito estructura basada en el aspecto de dependencia entre
gubernamental y comercial. funcionalidad y seguridad.

Criterios Comunes / ISO 15408 (Common Criteria for Information Technology

Security)
La norma ISO-15408 define estándares de medidas de seguridad TI que se
implementan en el hardware, firmware o software. La norma ISO-15408 ignora toda
medida de seguridad, que esté fuera de sistema de información, para el cual se ha
aplicado, aunque reconoce que se puede aplicar seguridad significativa a través del
 uso de medidas administrativas, como los controles a las organizaciones, al personal,
controles de tipo físico y de procedimiento.
ISO 17799

ISO/IEC 17799 es un estándar para la seguridad de

la información publicado por primera vez como
La norma ISO/IEC 17799 es una guía de buenas
ISO/IEC 17799:2000 por International Organization
prácticas y no especifica los requisitos necesarios
for Standardization y por la comisión International
que puedan permitir el establecimiento de un
Electrotechnical Commission en el año 2000 y con
sistema de certificación adecuado para esté
el título de Information technology - Security
documento.
techniques - Code of practice for information
security management

La ISO/IEC 17799:2000 considera la organización

- Política de seguridad - Aspectos organizativos
como una totalidad y tiene en consideración todos
para la seguridad - Clasificación y control de
los posibles aspectos que se pueden ver afectados
activos - Seguridad del personal - Seguridad física
ante los posibles incidentes que puedan
y del entorno - Gestión de comunicaciones y
producirse. Está norma se estructura en 10
operaciones - Control de accesos - Desarrollo y
secciones o controles en los que cada uno de ellos
mantenimiento de sistemas - Gestión de
hace referencia a un aspecto de la seguridad de la
continuidad del negocio - Conformidad legal
organización:

NUEVAS TENDENCIAS

-CSI/FBI 2006 Computer Crime and Security

Survey. Es un informe que anualmente La entrada en vigor, durante 2006, de la norma ISO/IEC
publican Computer Secuity Institute y 27001 como estándar mundial para los Sistemas de
Federal Bureau of Investigation’s Computer Gestión de Seguridad de la Información SGSI y sus
Intrusion Squad. Es un informe detallado requerimientos de auditoría para la obtención de las
sobre Seguridad Informática que incluye: certificaciones, también han de suponer un gran
principales incidentes que se están incremento de la demanda de Auditores Informáticos.
produciendo, la situación en empresas y
Aunque en la actualidad la legislación existente
organizaciones de la Seguridad
relacionada con la Informática sigue siendo escasa, en
Informática, tecnologías utilizadas,
los últimos años los Gobiernos comienzan a tomar
consecuencias económicas, la evolución en
conciencia de la necesidad de exigir responsabilidades
los últimos años, etc. Posiblemente este
en los riesgos derivados de los sistemas informáticos y
informe es uno de los más importantes
de la necesidad de establecer controles adecuados.
publicados anualmente en el mundo sobre
Podemos observar cómo en estas nuevas leyes la
Seguridad Informática y aunque está muy
Auditoría Informática siempre está presente.
centrado en EE.UU. sus conclusiones son
extrapolables a otros países.
 MAGERIT (METODOLOGÍA DE ANÁLISIS Y GESTIÓN DE RIESGOS DE LOS
SISTEMAS DE INFORMACIÓN DE LAS ADMINISTRACIONES PUBLICAS)

Magerit persigue los A continuación definimos

siguientes objetivos: brevemente los
Magerit es una herramienta elementos considerados
creada por el Consejo Superior -Concienciar a los significativos por
de Administración Electrónica, responsables de los MAGERIT para el estudio
basada en la premisa de que sistemas de información de la Seguridad en
de la existencia de riesgos Sistemas de Información.
así como las tecnologías de
información traen grandes y de la necesidad de -Activos
beneficios para todas las atajarlos a tiempo. -Amenazas
actividades en que se apliquen -Ofrecer un método -Vulnerabilidad de un
, al mismo tiempo generan sistemático para analizar activo
riesgos que deben reducirse tales riesgos. -Impacto en un activo
mediante medidas de Riesgo
-Ayudar a descubrir y
seguridad que generen -Servicio de salvaguarda.
planificar las medidas
confianza en su utilización. -Mecanismo de
oportunas para mantener
salvaguarda
los riesgos bajo control.

ISO 27000

El ISO 27000 es una serie de estándares que han sido específicamente reservados
para asuntos de seguridad de la información. Este estándar también trata con
otros temas, incluyendo la calidad de la administración y la calidad del entorno.

ISO27003. En fase de desarrollo; probable

publicación en Octubre de 2008. Contendrá una
ISO27001. Establece los requisitos del sistema de gestión de seguridad de la información. Es la
guía de implementación de SGSI e información
norma principal de requisitos de un Sistema de Gestión de Seguridad de la Información. Los SGSIs
acerca del uso del modelo PDCA (Plan-
(Sistemas de Gestión de la Seguridad de la Información) deberán ser certificados por auditores
DoCheck-Act, es una estrategia de mejora
externos a las organizaciones.
continua de la calidad) y de los requerimientos
de sus diferentes fases.

ISO27004. En fase de desarrollo; probable ISO27005. Probable publicación en 2008.

publicación en 2008. Especificará las métricas y Consistirá en una guía para la gestión del riesgo
ISO27006. Especifica los requisitos para la
las técnicas de medida aplicables para de la seguridad de la información y servirá, por
acreditación de entidades de auditoria y
determinar la eficiencia y eficacia de la tanto, de apoyo a la ISO 27001 y a la
certificación para los sistemas de información.
implantación de un SGSI y de los controles implantación de un SGSI. Incluirá partes de la
relacionados. ISO 13335.

OCTAVE (Operational, Critical, Threat, Asset and VulnerabilityEvaluation)

 Para que una OCTAVE apunta a dos aspectos diferentes: riesgos operativos y prácticas de
empresa seguridad. La tecnología es examinada en relación a las prácticas de seguridad,
permitiendo a las compañías tomar decisiones de protección de información
comprenda basados en los riesgos de confidencialidad, integridad y disponibilidad de los
cuáles son las bienes relacionados a la información crítica.
necesidades
de seguridad
de la El método Octave se enfoca en tres fases para examinar los problemas
organizacionales y tecnológicos:
información,
1- Identificación de la información a nivel gerencial 2- Identificación de la
OCTAVE es información a nivel operacional 3- Identificación de la información a nivel de
una técnica de usuario final
planificación y
consultoría Estos tres pasos dan lugar a otros 5 procesos para completar los 8 puntos de los
estratégica en que consta Octave:
seguridad 4- Consolidación de la información y creación de perfiles de amenazas 5-
basada en el Identificación de componentes claves 6- Evaluación de componentes
riesgo. seleccionados 7.-Análisis de riesgos de los recursos críticos 8- Desarrollo de
estrategias de protección

ESQUEMA DE SEGURIDAD BASADO EN CRITERIOS COMUNES: PERFILES DE

PROTECCIÓN
Los criterios comunes no necesariamente deben quedarse como una referencia para
la evaluación de la seguridad; también es posible crear sistemas o productos IT
basados en las propiedades de seguridad estandarizados por los criterios comunes,
para ello es primero necesario desarrollar un perfil de protección.

CRITERIO DESCRIPCION
Definición y define un conjunto de objetivos y requisitos de seguridad,
propósito independiente de la implantación, para una categoría de productos
que cubre las
necesidades de seguridad comunes a varios usuarios. Los perfiles
de protección son reutilizables. El perfil de protección permite la
elaboración de estándares funcionales y constituye una ayuda para
la formulación del pliego de condiciones de un producto.

CRITERIO DESCRIPCION
Estructura Un perfil de protección es un documento formal con contenido
específico, formato y sintaxis requeridos.
Toda la información contenida en un perfil de protección debe ser
colocada en la sección apropiada donde pueda ser encontrada,
leída y evaluada.
Introducción Aquí se identifica la naturaleza, alcance y estado del perfil de
protección. Está sección se divide en dos subsecciones,
identificación y descripción.
La subsección de identificación provee los datos generales del
perfil de protección, tales como nombre del perfil de protección,
versión y fecha (esto permite distintas versiones de un perfila para
un mismo sistema), así como una serie de palabras clave que
 permiten asociar el perfil de protección con el tipo de tecnología,
categoría de producto, fabricante, usuarios, marcas, etc.
Descripción del Está dividido en dos subsecciones: Funcionamiento general y
objeto de límites del objeto de evaluación.
evaluación Funcionamiento general: provee una descripción general del
funcionamiento del producto o sistema, el uso que se le da y el
entorno de operación en que normalmente trabaja.
Límites del objeto de evaluación: uno de los primeros pasos para
definir los requerimientos de seguridad es definir los límites del
sistema.
Entorno de El tercer requerimiento de un perfil de protección, el entorno de
seguridad seguridad, define la naturaleza y alcance de la seguridad del
objeto de evaluación. Está se divide en tres subsecciones,
hipótesis, amenazas y políticas de la organización.

Hipótesis Proporciona información importante a los administradores para

ayudarlos a entender en que panorama de trabajo debe
desarrollarse el objeto de evaluación, en otras palabras, es un
informe de hipótesis que el objeto de evaluación debe cumplir
para que pueda considerarse seguro.
Amenazas Esta subsección caracteriza amenazas potenciales contra el
objeto de evaluación para las cuales se requiere protección. La
valoración de amenazas abarca eventos accidentales y maliciosos
que intenten esquivar, deshabilitar y comprometer aspectos de
seguridad, funciones y procedimientos del objeto de evaluación.
Políticas de la Las políticas de seguridad incluyen reglas, procedimientos y
organización prácticas que la organización impone en un sistema IT para
protegerlo. Las políticas de seguridad proveen una guía a los
administradores, programadores y asistentes en la formulación de
objetivos de seguridad en la sección 4 del perfil de protección.
Nivel de Está parte está destinada a los desarrolladores IT ya que define el
Garantía criterio de confiabilidad que los evaluadores usan para verificar el
general desempeño de los desarrolladores y sus productos. Introduce
requerido siete niveles de evaluación de garantía (Evaluation Assurance
Level EAL) que define la escala de los Criterios Comunes para
clasificar la evaluación obtenida por los productos.
Objetivos de Provee un informe conciso en respuesta al entorno a todos los
Seguridad requerimientos de seguridad identificados. El objetivo de esta
sección es dividir responsabilidades entre el objeto de evaluación
y su entorno.
Los objetivos de seguridad están clasificados en preventivos,
detectivos y correctivos.
Requerimientos Requerimientos funcionales de seguridad, implementan los
Funcionales y objetivos de seguridad establecidos en la sección 4 de un perfil de
de Garantía protección. Cada requerimiento funcional de protección cubre uno
o más objetivos de seguridad.
. La selección de un requerimiento funcional, o el tipo de
protección requerida es influenciada por tres factores clave:
- Sensibilidad y valor de las características que se van a proteger.
- Importancia del trabajo que el sistema realiza.
- Consecuencias de lo que pasaría si el sistema se perdiera,
corrompiera, fuera destruido, inoperable o no disponible por un
extenso periodo de tiempo.
 SERVICIOS DE SEGURIDAD
Para hacer frente a las amenazas a la seguridad del sistema, se define una serie de
servicios de seguridad, los cuales están encargados de proteger los sistemas de
información, sus procesos, el tráfico de datos y el contenido de la información que se
maneja dentro de una organización. Estos servicios hacen uso de uno o varios
mecanismos de seguridad.
SERVICIO DE DESCRIPCION
SEGURIDAD
Confidencialidad Es cuando se requiere que la información solamente sea
accesible a las entidades autorizadas, esto es porque la
información es un recurso valioso de una organización y debe
mantenerse en secreto para toda entidad no autorizada que en
potencia le puede dar mal uso.
• Confidencialidad de contenido: se encarga de que la
información no pueda ser descubierta, leída o modificada
sin autorización.
• Confidencialidad de flujo de mensaje: encargado de que
la información no sea interceptada durante la
comunicación de entidades.
Autenticación Se encarga de la identificación correcta del origen del mensaje,
asegurando que la entidad no es falsa. Se distinguen dos tipos
autenticación:
Autenticación de entidad: se asegura que la identidad de las
entidades participantes en la comunicación sea correcta.
Autenticación de origen de información: se asegura que las
unidades de información provengan de la entidad que dicen ser.

Integridad La integridad de datos asegura que los datos recibidos no han

sido modificados por entidades no autorizadas y que la secuencia
de datos se mantenga durante la transmisión. La modificación
incluye escritura, cambio, borrado, creación, inserción y
supresión de los mensajes transmitidos. La integridad de
secuencia de datos asegura que la secuencia de los bloques o
unidades de datos recibidas no ha sido alterada y que no hay
unidades repetidas o pérdidas

No repudio Los servicios de no repudio presentan pruebas a una tercera

entidad de que se realizó una comunicación entre entidades, esté
servicio se efectúa por medio de una colección de evidencias
irrefutables que permitirán la resolución de cualquier disputa.
Los siguientes servicios son los que pueden ser proporcionados:
• No repudio de origen
• No repudio de envió
• No repudio de presentación
• No repudio de transporte
• No repudio de recepción
Control de Este servicio se presenta cuando se tiene la necesidad de
Acceso restringir y limitar el acceso a recursos y sistemas internos a
usuarios no autorizados. Los componentes básicos de un
mecanismo de control de acceso son las entidades de red, los
recursos de la red y los derechos de acceso.
 Disponibilidad La disponibilidad se refiere al tiempo para obtener la información
sin asegurar que la información transmitida es correcta o no. La
falta de disponibilidad se manifiesta principalmente de dos
formas: La denegación, o repudio, del servicio debido a la falta de
garantías de la prestación del mismo, tanto por parte del
prestador del servicio como del solicitante o tomador (controles
de identificación fehaciente, falta de prestaciones de los equipos,
congestión de líneas, etc.). La pérdida de servicios de los
recursos de información por causa de catástrofes naturales o por
fallos de equipos, averías, acción de virus, etc.
Amenazas y Para aplicar controles adecuados de seguridad, es preciso
vulnerabilidades comprender primero quién o qué es lo que amenaza dicho
entorno, así como conocer los riesgos asociados a dichas
situaciones si llegan a materializarse. Los problemas de
seguridad se dividen principalmente en amenazas y
vulnerabilidades.

BIBLIOGRAFÍA
ANONYMOUS Maximun Security 4rd. Edition U.S.A. Sams Publishing, 2003.

LOPEZ, Jaquelina y QUEZADA, Cintia Apuntes de Seguridad Informática México Facultad de

Ingeniería – UNAM, 2005

DAVID AUZUBEL,Informatica Mención Análisis de Sistemas, seguridades informáticas-Instituto

Superior Tecnologico,2013.