Normativa, tecnología y política para la seguridad informática



Descargar 1.15 Mb.
Página1/14
Fecha de conversión22.09.2018
Tamaño1.15 Mb.
Vistas322
Descargas0
  1   2   3   4   5   6   7   8   9   ...   14

Cibercomercio y riesgo: seguridad técnica, confianza psicológica, normativa tecnojurídica


1 Confianza y seguridad en la información 5

1.1 Rasgos de la sociedad de la información 5

1.2 El paradigma del negocio electrónico 6

1.3 Seguridad para proteger la organización 7

1.4 Seguridad frente a las intenciones delictivas 7

1.5 Seguridad y cumplimiento de la Ley 8

1.6 El coste de la no-seguridad 9

1.7 Confianza en el Negocio electrónico 9

1.8 Aspectos complementarios de la seguridad 10

2 Medida del riesgo y gestión de la seguridad 12

2.1 Comunicación y seguridad 12

2.2 Seguridad para controlar las tecnologías digitales 13

2.3 Un ejemplo trivial de Análisis de Riesgos 14

2.4 Riesgos y su análisis en un sistema de información 15

2.9 Escalón 3: Análisis de los riesgos y su Gestión global 21



3 MAGERIT en la gestión de seguridad de los SI 24

3.1 Objetivos de MAGERIT 24

3.2 Directorio de MAGERIT 24

3.3 Estructura de la Fase de Análisis y Gestión de Riesgos 25

3.4 Submodelo de Entidades 26

3.4.1 Activos 26

3.4.2. Amenazas 28

3.4.3. Vulnerabilidades 29

3.4.4 Impactos 29

3.4.5 Riesgo 30

3.4.6 Funciones, Servicios y Mecanismos de salvaguarda 32

3.5 Submodelo de Procesos de MAGERIT 33



3.5.1 Estructura del Submodelo de Procesos de MAGERIT 33

3.5.2 Esquema de Etapas y Actividades del Submodelo 34

3.5.3 Técnicas y herramientas usadas en MAGERIT 35

3.6. Criterios de clasificación de proyectos MAGERIT 35



4 Salvaguardas generales para la información 37

4.1 La seguridad del activo “información” 37

4.2 Métricas de los subestados del activo Información 37

4.3 Mecanismos de salvaguarda 38

4.3 Subestados de seguridad de la información y arquitecturas 39

4.4 Gestión de la seguridad en las Organizaciones 40

4.5 El factor humano en la seguridad de la información 41

5 Mecanismos de control de accesos e intrusiones 42

5.1 Dividir, restringir, inquirir 42



5.1.1 Proceso de identificación y autenticación 42

5.1.2 Políticas de acceso 43

5.1.3 Modelos y mecanismos de acceso 44

5.2 Salvaguardas lógicas y organizativas contra los virus 44



5.2.1 Diagnóstico de presencia de un virus 44

5.2.2 Clasificación de los virus 45

5.2.3 Mecanismos de salvaguarda preventivos 45

5.2.4 Mecanismos de salvaguarda curativos 46

5.3 Filtros y cortafuegos 46



5.3.1 Definición de Cortafuegos 46

5.3.2 Funciones del cortafuegos 47

5.3.3 Niveles de trabajo del Cortafuegos 47

5.3.4 Políticas de seguridad y arquitecturas de cortafuegos 48

5.4 Sistemas de patrullaje y detección de intrusiones 48



6 Mecanismos de cifrado y negocio electrónico 49

6.1 Cifrado y subestados de seguridad 49

6.2 Subestados de seguridad y funciones de información 49

6.3 Cifrado de clave secreta 50



6.3.1 Técnicas de Cifrado históricas por permutación y sustitución 50

6.3.2 Técnicas de sustitución homofónica 51

6.3.3 Técnicas de Sustitución polialfabeto 52

6.3.4 Técnica actual de transformación continua y operaciones binarias 53

6.3.5 Cifrado con clave secreta por bloques: el algoritmo DES 54

6.3.6 Uso e implementación de mecanismos de cifrado de clave secreta 55

6.3.7 Distribución de claves secretas 57

6.4 Cifrado de Clave Pública 57



6.4.1 Algoritmos basados en Funciones unidireccionales 58

6.4.2 Funcionamiento del algoritmo RSA 59

6.4.3 Ejercicio manual 60

7 Firma digital 61

7.1 Funcionamiento de la firma digital 61

7.2 Autenticidad y Confidencialidad 62

7.2.1 Autenticación por firma digital simple 62

7.2.2 Autenticación por firma digital reforzada 62

7.3 La organización necesaria para el cibernegocio abierto 63



7.3.1 Reconocimiento de la firma digital arbitrada 64

7.3.2 Gestión e Intercambio de claves 64

7.3.3 Problemas en la Generación de las claves 65

7.4 Integridad con Funciones ‘resumen’ 65

7.5 Transporte protegido de claves en tarjeta inteligente 66

8 Infraestructura de clave pública 67

8.1 El problema teórico de los Directorios 67

8.2 Los certificados de la identidad electrónica 67

8.2.1 Certificados para personas 67

8.2.2 Certificados para máquinas 69

8.3 Servicios de directorio 69

8.4 Prestadores de servicios de certificación 69

Referencias 70




1 Confianza y seguridad en la información


La utilización creciente de la tecnología de la información en virtualmente todos los ámbitos de la actividad económica, pública o privada, parece mostrar que es merecedora de confianza. Basta la experiencia común para percibir la dependencia de las organizaciones (y la sociedad en su conjunto) de una tecnología que se ha desarrollado en cinco décadas a un ritmo desconocido en la historia de las invenciones.

Tampoco es infrecuente encontrar recelos, por ejemplo cuando el público se plantea si es sensato confiar en los ordenadores. Ciertamente fundados, a juzgar por las noticias que con creciente asuidad aparecen en los medios de comunicación

Los profesionales de la informática que se ocupan de la seguridad alertan acerca de riesgos que pudieran no estar controlados. Y también desde el ámbito político. Por ejemplo la preocupación por la Seguridad de los Sistemas de información se puede rastrear en los máximos niveles mundiales, europeos y nacionales. En el ámbito europeo esta preocupación culmina en la ‘Cumbre’ del Consejo de la Unión Europea en Lisboa (marzo de 2000), una de cuyas conclusiones reconoce que "la confianza del consumidor es un factor clave en el desarrollo del negocio electrónico”. Para desarrollar la construcción de esa confianza, la ‘Cumbre’ portuguesa de Jefes de Estado y Gobierno europeos de Santa María de Feira (junio de 2000) ha establecido un Plan de Acción que fija tres líneas de actuación:


  • Aumento de las soluciones disponibles para conseguir la seguridad en Internet.

  • Mejora de la coordinación para combatir la ‘ciberdelincuencia’

  • Aumento de la seguridad en el acceso a los servicios electrónicos fomentando el uso de las tarjetas inteligentes en todas sus formas.

En la realización del Plan, los actores son el Sector privado, la Comisión Europea y los Estados miembros. Esto es, la seguridad como medio de ganar la confianza, y actuaciones que combinan a amplios agentes sociales y económicos.

Es cierto que la generación y la permanencia de la confianza es un fenómenos complejo, que tiene más que ver con la percepción del usuario de la seguridad que con la protección rigurosamente demostrable. Pero parece intuitivamente evidente que la utilización segura de la tecnología de la información es condición suficiente para favorecer la confianza que lo contrario.

La dependencia respecto de la tecnología de la información, y la necesidad de un desarrollo sostenido de la Sociedad de la Información reclama fundamentos sólidos de esa confianza. Lo que significa aplicar salvaguardas o defensas (técnicas y administrativas) para controlar el riesgo; así como disponer de legislación que sirva para marcar las reglas del juego, dirimir las discrepancias y castigar el delito. Se trata de actuaciones complejas en sí mismas y en sus relaciones.



Compartir con tus amigos:
  1   2   3   4   5   6   7   8   9   ...   14


La base de datos está protegida por derechos de autor ©psicolog.org 2019
enviar mensaje

enter | registro
    Página principal


subir archivos