v 0esl|r de |a lrlo(rac|r pa(a |a Adr|r|sl(ac|r Puo||ca
Gobierno en Lnea Polticas de Seguridad Informtica
Para optimizar la seguridad de un sistema de informacin se deben realizar los siguientes procesos:
1. Anlisis de riesgos
El anlisis de riesgos, como su nombre lo indica, consiste en analizar el sistema de informacin y su entorno para detectar todos los riesgos que amenazan su estabilidad y su seguridad.
2. Anlisis de requerimientos y establecimiento de polticas de seguridad informtica
El anlisis de requerimientos de seguridad informtica consiste en estudiar la organizacin, su sistema de informacin (y todos sus componentes) y los riesgos que lo amenazan, y definir el nivel de seguridad informtica necesario para el adecuado funcionamiento de la organizacin. A partir de dicho anlisis, se define una serie de requerimientos que se deben satisfacer para alcanzar el nivel de seguridad deseado. El proceso de anlisis tambin debe usarse para modelar el documento de polticas de seguridad informtica, que debe reflejar el estado ptimo de seguridad informtica que desea obtener la organizacin, y las polticas que se deben seguir para obtenerlo.
3. Aseguramiento de Componentes de Datos
La seguridad de datos busca garantizar que la informacin del sistema de informacin est siempre disponible (disponibilidad), que se mantenga ntegra (integridad), y que solamente pueda ser accesada por personas autorizadas (confidencialidad).
4. Aseguramiento de Componentes de Software
La seguridad de software busca optimizar los sistemas operativos y las aplicaciones que trabajan en el sistema de informacin, de manera que sean configurados de manera segura y solo permitan su utilizacin dentro de parmetros de funcionamiento predefinidos y aceptados (aseguramiento), que funcionen de manera continua y estable (disponibilidad), que ofrezcan un servicio con un nivel de calidad aceptable (calidad del servicio), que no permitan su utilizacin por personas no autorizadas (control de acceso), y que permitan establecer las responsabilidad de uso (accountability).
5. Aseguramiento de Componentes de Hardware
La seguridad de software busca optimizar los componentes de hardware del sistema de informacin (equipos de cmputo, perifricos, medios de almacenamiento removibles, etc.), de manera que sean configurados de manera segura y solo permitan su utilizacin dentro de parmetros de funcionamiento predefinidos y aceptados (aseguramiento), que funcionen de manera continua y estable (disponibilidad), que ofrezcan un servicio con un nivel de calidad aceptable (calidad del servicio), que no permitan su utilizacin por personas no autorizadas (control de acceso), y que permitan establecer las responsabilidad de uso (accountability).
6. Aseguramiento de Componente Humano
La seguridad humana busca optimizar el componente humano del sistema de informacin (usuarios, administradores, auditores, etc.) para que su interaccin entre ellos y con terceros sea
Borrador para discusin - 08/11/2004 2 de 4 Cor|s|r lrle(seclo(|a| de Po|il|cas v 0esl|r de |a lrlo(rac|r pa(a |a Adr|r|sl(ac|r Puo||ca segura, no filtre informacin que pueda permitir la vulneracin del sistema de informacin, y permita detectar ataques de ingeniera social en su contra.
7. Aseguramiento de Componentes de Interconectividad
La seguridad del componente de interconectividad busca optimizar el componente de comunicaciones del sistema de informacin (cableado, dispositivos de interconexin hubs, switches, routers, etc.-, antenas, etc.), de manera que los canales funcionen de manera continua y estable (disponibilidad) se pueda establecer la identidad de los participantes (autenticacin), los datos transmitidos puedan ser accesados nicamente por personas autorizadas (confidencialidad), los datos no puedan ser modificados durante su transmisin (integridad) y se pueda establecer el origen de toda comunicacin (no repudio).
8. Aseguramiento de Infraestructura Fsica
La seguridad de la infraestructura fsica busca optimizar el entorno fsico (las instalaciones) en las cuales opera el sistema de informacin, de manera que estas provean niveles de seguridad industrial adecuados para proteger los componentes del sistema de informacin que contiene.
9. Administracin de la seguridad informtica
La administracin de la seguridad informtica consiste en una serie de procesos que tienen como propsito mantener un nivel adecuado de seguridad informtica en el sistema de informacin a lo largo del tiempo. Los procesos no se limitan al mantenimiento y la optimizacin de la seguridad informtica en el presente, sino que incluyen tambin procesos de planeacin estratgica de seguridad informtica, que garanticen que el nivel de seguridad se mantendr en el futuro, y que le permitan al sistema de seguridad informtica anticiparse a los requerimientos de seguridad impuestos por el entorno, o por la organizacin a la cual el sistema de informacin sirve.
10. Estndares
La siguiente tabla muestra los estndares a ser adoptados:
Borrador para discusin - 08/11/2004 3 de 4 Cor|s|r lrle(seclo(|a| de Po|il|cas v 0esl|r de |a lrlo(rac|r pa(a |a Adr|r|sl(ac|r Puo||ca
(*) Los estndares mencionados se especifican brevemente a continuacin:
CSC-STD-001-83 DoD Trusted Computer System Evaluation Criteria, 1983 CSC-STD-002-85 DoD Password Management Guidelines, 1985 DoD 5220.22-M National Industrial Security Program Operating Manual, 1995 ISO/IEC 17799 Information Technology, Code of Practice for Information Security Management, February 2001 ISO/IEC DTR 13335-1 Information technology -- Guidelines for the management of IT security ISO/IEC 15408 Common Criteria for Information Technology Security Evaluation, August 1999 ISO/IEC DIS 14980 Information technology -- Code of practice for information security management NSA Security Guidelines Handbook NSA/CSS Manual 130-2 Media Declassification and Destruction Manual NACSIM 5000 TEMPEST Fundamentals NSTISSI 7000 Tempest Countermeasures for Facilities, September 1993. NSTISSI 4011 National Training Standard for Information Systems Professionals, June 1994. NSTISSD 500 Information Systems Security Education, Training and Awareness, February 1993 NSTISSI 4013 National Training Standard for System Administration in Information Systems Security, August 1997 NSTISSI 4014 National Training Standard for Information Systems Security Officers (ISSO), August 1997 NSTISSI 4015 National Training Standard for Systems Certifiers, December 2000 IEEE P1363 Standard Specifications For Public-Key Cryptography, 2003 NIST FIPS 73 Guidelines for Security of Computer Applications, 1980 NIST SP 800-64 Security Considerations in the Information System Development Life Cycle, October 2003 NIST SP 800-61 Computer Security Incident Handling Guide NIST SP 800-50 Building an Information Technology Security Awareness and Training Program, October 2003 NIST SP 800-55 Security Metrics Guide for Information Technology Systems, July 2003 NIST SP 800-47 Security Guide for Interconnecting Information Technology Systems, September 2002 NIST SP 800-45 Guidelines on Electronic Mail Security, September 2002 NIST SP 800-44 Guidelines on Securing Public Web Servers, September 2002 NIST SP 800-42 Guideline on Network Security Testing, October 2003 NIST SP 800-41 Guidelines on Firewalls and Firewall Policy, January 2002 NIST SP 800-40 Procedures for Handling Security Patches, September 2002 NIST SP 800-36 Guide to Selecting Information Security Products, October 2003 NIST SP 800-35 Guide to Information Technology Security Services, October 2003 NIST SP 800-34 Contingency Planning Guide for Information Technology Systems, June 2002 NIST SP 800-30 Risk Management Guide for Information Technology Systems, January 2002 NIST SP 800-26 Security Self-Assessment Guide for Information Technology Systems, November 2001 NIST SP 800-25 Federal Agency Use of Public Key Technology for Digital Signatures and Authentication, October 2000 NIST SP 800-21 Guideline for Implementing Cryptography in the Federal Government, November 1999 NIST SP 800-18 Guide for Developing Security Plans for Information Technology Systems, December 1998 NIST SP 800-16 Information Technology Security Training Requirements: A Role- and Performance-Based Model, April 1998 NIST SP 800-14 Generally Accepted Principles and Practices for Securing Information Technology Systems, September 1996 NIST SP 800-13 Telecommunications Security Guidelines for Telecommunications Management Network, October 1995 NIST SP 800-12 An Introduction to Computer Security: The NIST Handbook, October 1995 NIST SP 800-6 Automated Tools for Testing Computer System Vulnerability, December 1992 NIST SP 800-5 A Guide to the Selection of Anti-Virus Tools and Techniques, December 1992
11. Dnde obtener los estndares
Todos los estndares se pueden obtener de manera gratuita de sitios Web en la Internet, excepto los estndares de la ISO/IEC que slo pueden ser bajados al comprarlos en el sitio Web de la ISO. Si alguna de las direcciones no lo lleva al estndar buscado, realice una bsqueda en algn motor de bsqueda como Google (www.google.com) con la referencia del estndar.