NORMATIVIDAD INTERNACIONAL


El Estándar RFC2196 es un estándar usado en la práctica de la seguridad de la información. Entre las características de la seguridad de la información, según el RFC2196, se tienen las siguientes:

    • Se debe poder poner en práctica mediante procedimientos descritos de administración de sistemas, publicación de guías sobre el uso aceptable de los recursos informáticos o por medio de otros métodos prácticos apropiados

    • Debe poder implantarse

    • Debe obligar al cumplimiento de las acciones relacionadas mediante herramientas de seguridad

    • Tiene que detectar fugas o errores; debe definir claramente las áreas de responsabilidad de los usuarios, administradores y dirección, y tener un uso responsable para toda situación posible.

El RFC 2196, llamado “Site Security Handbook” es un manual de seguridad que puede ser utilizado como estándar para establecer Políticas de Seguridad. Este manual fue escrito por varios autores y fue publicado en Septiembre de 1997, y a pesar de tener varios años, por sus contenidos y la temática que trata es un documento vigente y valido en el área de la Seguridad Informática.

Este documento trata entre otros, los siguientes temas:

  • Políticas de Seguridad


  1. Que es una Política de Seguridad y porque es necesaria.
  2. Que es lo que hace que una Política de Seguridad sea buena.

  3. Manteniendo la Política Flexible.

  • Arquitectura de Red y de Servicios

  1. Configuración de Red y de Servicios.

  2. Firewalls.

  • Servicios y Procedimientos de Seguridad

  1. Autentificación
  2. Confidencialidad.
  3. Integridad.
  4. Autorización.
  5. Acceso
  6. Auditoria

  • Gestión de Incidentes de Seguridad

  1. Notificación y puntos de contacto
  2. Identificando un Incidente
  3. Gestión de un Incidente
  4. Consecuencias de un Incidente
  5. Responsabilidades.

El IT Baseline Protection Manual presenta un conjunto de recomendaciones de seguridad, establecidas por la Agencia Federal Alemana para la Seguridad en Tecnología de la Información.


Este estándar plantea en forma detallada aspectos de seguridad en ámbitos relacionados con aspectos generales (organizacionales, gestión humana, criptografía, manejo de virus, entre otros); infraestructura, (edificaciones, redes wifi); sistemas (Windows, novell, unix); redes (cortafuegos, módems), y aplicaciones (correo electrónico, manejo de la web, bases de datos, aplicativos)

Este es el nuevo estándar oficial. Su título completo en realidad es BS 7799-2:2005 (ISO/IEC 27001:2005). También fue preparado por el JTC 1 y en el subcomité SC 27, IT Security Techniques. La versión que se considerará es la primera edición, de fecha 15 de octubre de 2005.

El conjunto de estándares que aportan información de la familia ISO-2700x que se puede tener en cuenta son:

• ISO/IEC 27000 Fundamentals and vocabulary.ISO_27001.gif

• ISO/IEC 27001 ISMS - Requirements (revised BS 7799 Part 2:2005).

Publicado el 15 de octubre del 2005.

• ISO/IEC 27002 Code of practice for information security management.

Actualmente ISO/IEC 17799:2005, publicado el 15 de junio del 2005.

• ISO/IEC 27003 ISMS implementation guidance (en desarrollo).

• ISO/IEC 27004 Information security management measurement (en desarrollo).

• ISO/IEC 27005 Information security risk management (basado en ISO/IEC 13335

MICTS Part 2 e incorporado a éste; en desarrollo).

El ISO-27001:2005 es aceptado internacionalmente para la administración de la seguridad de la información y aplica a todo tipo de organizaciones, tanto por su tamaño como por su actividad. Presentar al ISO-27001:2005 como estándar de facto genera la posibilidad de tener un estándar mejorado y más robusto en el trayecto de la historia; los entes que aplican estos procedimientos para garantizar la seguridad e integridad de la información mejorarán considerablemente el estándar, luego de haber hecho las pruebas y haber tenido la experiencia.

Los demás estándares establecidos, como el alemán, basado en el IT Baseline Protection Manual, y las recomendaciones de la IEFT con su RFC2196, constituyen orientaciones y guías para usuarios que deseen implementar gestión en la seguridad de la información; sin embargo, queda demostrado que el estándar de ISO es el más adoptado por las empresas porque es más flexible y se acopla mejor a los procesos que normalmente se llevan a cabo en las organizaciones; ISO es el estándar de facto en la gerencia de la integridad de la información.

Proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información. La seguridad de la información se define en el estándar como "la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran)".

La versión de 2005 del estándar incluye las siguientes once secciones principales:

ISO_27002.gif

  1. Política de Seguridad de la Información.

  2. Organización de la Seguridad de la Información.

  3. Gestión de Activos de Información.

  4. Seguridad de los Recursos Humanos.

  5. Seguridad Física y Ambiental.

  6. Gestión de las Comunicaciones y Operaciones.

  7. Control de Accesos.

  8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.

  9. Gestión de Incidentes en la Seguridad de la Información.

  10. Cumplimiento

  11. Gestión de Continuidad del Negocio.

Es parte de una familia en crecimiento de Estándares para Sistemas de Administración de Seguridad de la información (ISMS), las “series ISO/IEC 27000”

ISO/IEC 27000 es un estándar internacional titulado “Tecnología de la Información – Técnicas de Seguridad – Sistemas de Administracion de la Seguridad de la Información – Visión general y Vocabulario”

El estándar fue desarrollado por el sub-comité 27 (SC27) del primer Comité Técnico Conunto (JTC1), de la ISO (International Organization for Standardization) y el IEC (International Electrotechnical Commission)

ISO/IEC 27000 provee:ISO_27000.gif

  • Una vista general a la introducción de los estándares de la familia ISO/IEC 27000

  • Un glosario o vocabulario de términos fundamentales usados a lo largo de toda la familia ISO/IEC 27000

La Seguridad de la Información, como muchos otros temas técnicos, está desarrollando una compleja red de terminología. Relativamente pocos autores se toman el trabajo de definir con precisión lo que ellos quieren decir, un enfoque que es inaceptable en el campo de los estándares, porque puede potencialmente llevar a la confusión y a la devaluación de la evaluación formal y la certificación.

El alcance de ISO/IEC 27000 es “especificar los principios fundamentales, conceptos y vocabulario para la serie de documentos ISO/IEC 27000”

ISO/IEC 27000 contiene, en otras palabras:

  • Una vista general de los estándares ISO/IEC 27000, mostrando cómo son usados colectivamente para planear, implementar, certificar, y operar un Sistema de Administración de Seguridad de la información, con una introducción básica a la Seguridad de la Información, administración de riesgos, y sistemas de gestión

  • Definiciones cuidadosamente redactadas para temas relacionados con seguridad de la información.

ISO/IEC 27000 es similar a otros vocabularios y definiciones y con suerte se convertirá en una referencia generalmente aceptada para términos relacionados con seguridad de la información entre ésta profesión.

ISO/IEC 18028-2:2006 define una arquitectura de seguridad para red, ofreciendo seguridad a redes de extremo a extremo. La arquitectura puede ser aplicada a varias clases de redes donde la seguridad extremo a extremo es una preocupación independiente de la tecnología subyacente de la red

El objetivo de ISO/IEC 18028-2:2006 es servir como base para el desarrollo de recomendaciones detalladas para la seguridad en redes extremo a extremo.



  • COMMON CRITERIA

El Criterio Común para la Evaluación de la Seguridad en Tecnologías de la Información (abreviado como Criterio Común o CC), es un estándar internacional (ISO/IEC 15408), para la certificación de la seguridad en computadores. Está actualmente en la versión 3.1.


El Criterio Común es un marco de trabajo en el cual los usuarios de sistemas computacionales pueden especificar sus requerimientos funcionales de seguridad y de garantía, para que los vendedores puedan implementar y/o hacer reclamaciones acerca de los atributos de seguridad de sus productos, y los laboratorios de prueba pueden evaluar los productos para determinar si en realidad satisfacen las reclamaciones.


En otras palabras, el Criterio Común provee garantía de que los procesos de especificación, implementación y evaluación de la seguridad de un producto de cómputo hayan sido conducidos en una forma rigurosa y estandarizada. Consta de tres partes:

common-criteria-2.png

PARTE 1: Introducción y modelo general


PARTE 2: Componentes funcionales de la Seguridad


PARTE 3: Componentes para la garantía de la Seguridad

  • Estándar ISO/IEC 21827:2008: INFORMATION TECHNOLOGY- SECURITY TECHNIQUES- SYSTEMS SECURITY ENGINEERING- CAPABILITY MATURITY MODEL (SSE-CMM)

ISO/IEC 21827 (SSE-CMM – ISO/IEC 21827) es un estándar internacional basado en el Modelo de Madurez de Capacidades en la Ingeniería de Seguridad de Sistemas, desarrollado por la Asociación Internacional de Ingeniería de Seguridad de la Información (ISSEA)

ISO/IEC 21827 especifica el SSE-CMM que describe las características esenciales para el éxito del proceso de ingeniería de la seguridad de una organización, y es aplicable a todas las organizaciones de ingeniería de la seguridad, incluyendo gubernamentales, comerciales y académicas. ISO/IEC 21827 no prescribe una secuencia o proceso particular, pero si captura las prácticas que se observan en la industria. El modelo es una métrica estándar para las prácticas de la ingeniería de seguridad, que cubre lo siguiente:

  • Ciclos de vida del proyecto, incluyendo actividades de desarrollo,nivelesCMM.gif


    operación, mantenimiento y desmantelamiento

  • Cubre todos los ámbitos de la organización, incluyendo actividades


    de gestión, organizacionales y de ingeniería.

  • Interacciones concurrentes con otras disciplinas, como software y


    hardware de sistemas, recurso humano, pruebas de ingeniería,


    gestión de sistemas, operación y mantenimiento


NORMATIVIDAD DE ÁMBITO NACIONAL

El 5 de enero de 2009, el Congreso de la República de Colombia promulgó la Ley 1273 “Por medio del cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado – denominado “De la Protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones”. Dicha ley decreta:

CAPITULO I:

De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos

- Artículo 269A: ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO. El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático

- Artículo 269B: OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA INFORMÁTICO O RED DE TELECOMUNICACIÓN. El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informático.


- Artículo 269C: INTERCEPTACIÓN DE DATOS INFORMÁTICOS. El que, sin orden judicial previa intercepte datos informáticos en su origen, destino o en el interior de un sistema informático.


- Artículo 269D: DAÑO INFORMÁTICO. El que, sin estar facultado para ello, destruya, dañe, borre, deteriore, altere o suprima datos informáticos.


- Artículo 269E: USO DE SOFTWARE MALICIOSO. El que, sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del territorio nacional software malicioso u otros programas de computación de efectos dañinos.


- Artículo 269F: VIOLACIÓN DE DATOS PERSONALES. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes


- Artículo 269G: SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES. El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes.

Un punto importante a considerar es que el artículo 269H agrega como circunstancias de agravación punitiva de los tipos penales descritos anteriormente el aumento de la pena de la mitad a las tres cuartas partes si la conducta se cometiere:

  1. Sobre redes o sistemas informáticos o de comunicaciones estatales u oficiales o del sector financiero, nacionales o extranjeros.

  2. Por servidor público en ejercicio de sus funciones

  3. Aprovechando la confianza depositada por el poseedor de la información o por quien tuviere un vínculo contractual con este.

  4. Revelando o dando a conocer el contenido de la información en perjuicio de otro.

  5. Obteniendo provecho para sí o para un tercero.

  6. Con fines terroristas o generando riesgo para la seguridad o defensa nacional.

  7. Utilizando como instrumento a un tercero de buena fe.

  8. Si quien incurre en estas conductas es el responsable de la administración, manejo o control de dicha información, además se le impondrá hasta por tres años, la pena de inhabilitación para el ejercicio de profesión relacionada con sistemas de información procesada con equipos computacionales.

CAPITULO II:

De los atentados informáticos y otras infracciones

- Artículo 269I: HURTO POR MEDIOS INFORMÁTICOS Y SEMEJANTES. El que, superando medidas de seguridad informáticas, realice la conducta señalada en el artículo 239 manipulando un sistema informático, una red de sistema electrónico, telemático u otro medio semejante.

- Artículo 269J: TRANSFERENCIA NO CONSENTIDA DE ACTIVOS. El que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consiga la transferencia no consentida de cualquier activo en perjuicio de un tercero.

En Colombia, las normas internacionales en seguridad de la información, han sido adoptadas por el Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC y el Gobierno Colombiano ha generado normativas de control interno como el MECI1000 y de calidad como la NTCGP1000 apoyado por estándares internacionales (COSO, ISO9001 respectivamente).
La norma NTC ISO/IEC 27001 fue liberada por el Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC en el año 2006 y es una copia idéntica por traducción de la norma ISO/IEC 27001. Esta norma permite diseñar una herramienta para la implementación del sistema de gestión de seguridad de la información teniendo en cuenta la política, la estructura organizativa, los procedimientos y los recursos. La norma adopta el modelo de procesos “Planificar-Hacer-Verificar-Actuar” (PHVA) para estructurar los procesos del Sistema de Gestión de Seguridad de la Información, SGSI.