Professional Documents
Culture Documents
Historia SI
Uploaded by
diefercoCopyright
Available Formats
Share this document
Did you find this document useful?
Is this content inappropriate?
Report this DocumentCopyright:
Available Formats
Historia SI
Uploaded by
diefercoCopyright:
Available Formats
INSTITUTO TECNOLGICO NACIONAL ARGENTINA
ESPECIALIDAD: COMPUTACIN
E INFORMTICA
CURSO: TEMA:
Seguridad Informtica Enfoque de la seguridad de la informacin
PROFESOR: ALUMNOS: Contreras Chaves Nataly
Godoy.. La Rosa Aguilar Carlos
Mayo 2011
Enfoque de la seguridad de la informacin
Introduccin
Se entiende por seguridad de la informacin a todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnolgicos que permitan resguardar y proteger la informacin buscando mantener la confidencialidad, la disponibilidad e Integridad de la misma. El concepto de seguridad de la informacin no debe ser confundido con el de seguridad informtica, ya que este ltimo slo se encarga de la seguridad en el medio informtico, pudiendo encontrar informacin en diferentes medios o formas. Para el hombre como individuo, la seguridad de la informacin tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo. El campo de la seguridad de la informacin ha crecido y evolucionado considerablemente a partir de la Segunda Guerra Mundial, convirtindose en una carrera acreditada a nivel mundial. Esta ofrece muchas reas de especializacin, incluidos la auditora de sistemas de informacin, Planificacin de la continuidad del negocio, Ciencia Forense Digital y Administracin de Sistemas de Gestin de Seguridad por nombrar algunos. Historia de la seguridad de la informacin
HISTORIA DE LA SEGURIDAD DE LA INFORMACIN
Desde tiempos inmemorables el hombre ha resguardado y protegido con celo sus conocimientos debido a la ventaja y poder que ste le produca sobre otros hombres o sociedades. En la antigedad surgen las bibliotecas, lugares donde se poda resguardar la informacin para trasmitirla y para evitar que otros la obtuvieran, dando as algunas de las primeras muestras de proteccin de la informacin. Sun Tzu en El arte de la guerra y Nicols Maquiavelo en El Prncipe sealan la importancia de la informacin sobre los adversarios y el cabal conocimiento de sus propsitos para la toma de decisiones. Durante la Segunda Guerra Mundial se crean la mayora de los servicios de inteligencia del mundo con el fin de obtener informacin valiosa e influyente, crendose grandes redes de espionaje. Como forma de proteccin surge la contrainteligencia. Con el devenir de los aos al incrementarse el alcance de la tecnologa, el cuidado de la informacin se ha vuelto crucial para los hombres, las organizaciones y las sociedades Pero por donde empez el asunto? Por dnde comenzar a deshilvanar el ovillo? Sin dudas uno de los pioneros en el tema fue James P. Anderson, quien all por 1980 y a pedido de un ente gubernamental produjo uno de los primeros escritos relacionados con el tema, y es all donde se sientan tambin las bases de palabras que hoy suenan como naturales, pero que por aquella poca parecan ciencia ficcin.
El documento se llamo: Computer Security Threat Monitoring and Surveillance, describe ah la importancia del comportamiento enfocado hacia la seguridad en materia de informtica. Encontramos en ese documento los primeros atisbos de definiciones casi profticas, las siguientes definiciones son usadas en este documento:
Amenaza: la posibilidad de un intento deliberado y no autorizado de:
Acceder a informacin Manipular informacin Convertir un sistema en no-confiable o inutilizable
Riesgo: Exposicin accidental e impredecible de informacin, o violacin de la
integridad de operaciones debido al malfuncionamiento de hardware o diseo incorrecto o incompleto de software. Vulnerabilidad: una falla conocida o su sospecha tanto en hardware como en el diseo de software, o la operacin de un sistema que se expone a la penetracin de su informacin con exposicin accidental. Ataque: Una formulacin especifica o ejecucin de un plan para levar a cabo una amenaza. Penetracin: Un ataque exitoso; la habilidad de obtener acceso no-autorizado (indetectable) a archivos y programas o el control de un sistema computarizado." Pensemos que estas definiciones fueron vistas y planteadas en 1980. La definicin de Vulnerabilidad fue tan acertada por aquella poca que hoy en da se derivan extensiones donde entre otras cosas se determina que una vulnerabilidad no conocida por nadie no tiene la entidad de tal ya que es inexplotable hasta tanto sea descubierta. De lo que podemos inferir que el descubrimiento de la vulnerabilidad la convierte en tal. James dejo el asunto difuso al incorporar la palabra "sospecha". Sin dudas este documento formara parte de la historia de la informtica.
SISTEMA DE INFORMACIN
Sistema de informacin' (SI) es un conjunto de elementos orientados al tratamiento y administracin de datos e informacin, organizados y listos para su posterior uso, generados para cubrir una necesidad (objetivo). Dichos elementos formarn parte de alguna de estas categoras: Elementos de un sistema de informacin. Personas. Datos. Recursos materiales en general (tpicamente recursos informticos y de comunicacin, aunque no tienen por qu ser de este tipo obligatoriamente). Actividades o tcnicas de trabajo. Todos estos elementos interactan entre s para procesar los datos (incluyendo procesos manuales y automticos) dando lugar a informacin ms elaborada y
distribuyndola de la manera ms adecuada posible en una determinada organizacin en funcin de sus objetivos.
Normalmente el trmino es usado de manera errnea como sinnimo de sistema de informacin informtico, en parte porque en la mayora de los casos los recursos materiales de un sistema de informacin estn constituidos casi en su totalidad por sistemas informticos, pero siendo estrictos, un sistema de informacin no tiene por qu disponer de dichos recursos (aunque en la prctica esto no suela ocurrir). Se podra decir entonces que los sistemas de informacin informticos son una subclase o un subconjunto de los sistemas de informacin en general.
a) Actividades que realiza un Sistema de Informacin: Entradas:
Datos generales del cliente: nombre, direccin, tipo de cliente, etc. Polticas de crditos: lmite de crdito, plazo de pago, etc. Facturas (interfase automtico). Pagos, depuraciones, etc. Proceso: Clculo de antigedad de saldos. Clculo de intereses moratorios. Clculo del saldo de un cliente. Almacenamiento: Movimientos del mes (pagos, depuraciones). Catlogo de clientes. Facturas. Salidas: Reporte de pagos. Estados de cuenta. Plizas contables (interfase automtica) Consultas de saldos en pantalla de una terminal. Las diferentes actividades que realiza un Sistema de Informacin se pueden observar en el diseo conceptual ilustrado en la en la figura:
ENTRADA DE DATOS PROCESO Interface Automtica de entrada
REPORTES E INFORMES
ALMACENAMIENTO
Interface Automtica de salida
b) Tipos y Usos de los Sistemas de Informacin
Durante los prximos aos, los Sistemas de Informacin cumplirn tres objetivos bsicos dentro de las organizaciones:
Automatizacin de procesos operativos.
Proporcionar informacin que sirva de apoyo al proceso de toma de decisiones. Lograr ventajas competitivas a travs de su implantacin y uso. Los Sistemas de Informacin que logran la automatizacin de procesos operativos dentro de una organizacin, son llamados frecuentemente Sistemas Transaccionales, ya que su funcin primordial consiste en procesar transacciones tales como pagos, cobros, plizas, entradas, salidas, etc. Por otra parte, los Sistemas de Informacin que apoyan el proceso de toma de decisiones son los Sistemas de Soporte a la Toma de Decisiones, Sistemas para la Toma de Decisin de Grupo, Sistemas Expertos de Soporte a la Toma de Decisiones y Sistema de Informacin para Ejecutivos. El tercer tipo de sistema, de acuerdo con su uso u objetivos que cumplen, es el de los Sistemas Estratgicos, los cuales se desarrollan en las organizaciones con el fin de lograr ventajas competitivas, a travs del uso de la tecnologa de informacin. Los tipos y usos de los Sistemas de Informacin se muestran en la figura:
Clientes
SISTEMAS
Sistemas de Apoyo de Decisin
Clientes
SISTEMAS
Nivel gerencial Sistemas transaccionales a los ejecutivos Nivel Operativo Sistemas Estratgicos
ESTRATEGIAS
ESTRATEGIAS
Competencia
A continuacin se mencionan las principales caractersticas de estos tipos de Sistemas de Informacin.
Sistemas Transaccionales. Sus principales caractersticas son:
A travs de stos suelen lograrse ahorros significativos de mano de obra, debido a que automatizan tareas operativas de la organizacin. o Con frecuencia son el primer tipo de Sistemas de Informacin que se implanta en las organizaciones. Se empieza apoyando las tareas a nivel operativo de la organizacin. o Son intensivos en entrada y salida de informacin; sus clculos y procesos suelen ser simples y poco sofisticados. o
o o
Tienen la propiedad de ser recolectores de informacin, es decir, a travs de estos sistemas se cargan las grandes bases de informacin para su explotacin posterior. Son fciles de justificar ante la direccin general, ya que sus beneficios son visibles y palpables.
Sistemas de Apoyo de las Decisiones. Las principales caractersticas son: o Suelen introducirse despus de haber implantado los Sistemas
o Transaccionales ms relevantes de la empresa, ya que estos ltimos constituyen su plataforma de informacin. La informacin que generan sirve de apoyo a los mandos intermedios y a la alta administracin en el proceso de toma de decisiones. Suelen ser intensivos en clculos y escasos en entradas y salidas de informacin. As, por ejemplo, un modelo de planeacin financiera requiere poca informacin de entrada, genera poca informacin como resultado, pero puede realizar muchos clculos durante su proceso. No suelen ahorrar mano de obra. Debido a ello, la justificacin econmica para el desarrollo de estos sistemas es difcil, ya que no se conocen los ingresos del proyecto de inversin. Suelen ser Sistemas de Informacin interactivos y amigables, con altos estndares de diseo grfico y visual, ya que estn dirigidos al usuario final. Apoyan la toma de decisiones que, por su misma naturaleza son repetitivos y de decisiones no estructuradas que no suelen repetirse. Por ejemplo, un Sistema de Compra de Materiales que indique cundo debe hacerse un pedido al proveedor o un Sistema de Simulacin de Negocios que apoye la decisin de introducir un nuevo producto al mercado. Estos sistemas pueden ser desarrollados directamente por el usuario final sin la participacin operativa de los analistas y programadores del rea de informtica. Este tipo de sistemas puede incluir la programacin de la produccin, compra de materiales, flujo de fondos, proyecciones financieras, modelos de simulacin de negocios, modelos de inventarios, etc.
o
o
o Sistemas Estratgicos. Sus principales caractersticas son: Su funcin primordial no es apoyar la automatizacin de procesos operativos ni proporcionar informacin para apoyar la toma de decisiones. o Suelen desarrollarse in house, es decir, dentro de la organizacin, por lo tanto no pueden adaptarse fcilmente a paquetes disponibles en el mercado. o Tpicamente su forma de desarrollo es a base de incrementos y a travs de su evolucin dentro de la organizacin. Se inicia con un proceso o funcin en particular y a partir de ah se van agregando nuevas funciones o procesos. o Su funcin es lograr ventajas que los competidores no posean, tales como ventajas en costos y servicios diferenciados con clientes y proveedores. En este contexto, los Sistema Estratgicos son creadores de barreras de entrada al negocio. Por ejemplo, el uso de cajeros automticos en los bancos en un Sistema Estratgico, ya que brinda o
ventaja sobre un banco que no posee tal servicio. Si un banco nuevo decide abrir sus puerta al pblico, tendr que dar este servicio para tener un nivel similar al de sus competidores. o Apoyan el proceso de innovacin de productos y proceso dentro de la empresa debido a que buscan ventajas respecto a los competidores y una forma de hacerlo en innovando o creando productos y procesos. o Un ejemplo de estos Sistemas de Informacin dentro de la empresa puede ser un sistema MRP (Manufacturing Resoure Planning) enfocado a reducir sustancialmente el desperdicio en el proceso productivo, o bien, un Centro de Informacin que proporcione todo tipo de informacin; como situacin de crditos, embarques, tiempos de entrega, etc. En este contexto los ejemplos anteriores constituyen un Sistema de Informacin Estratgico si y slo s, apoyan o dan forma a la estructura competitiva de la empresa. o Por ltimo, es importante aclarar que algunos autores consideran un cuarto tipo de sistemas de informacin denominado Sistemas Personales de Informacin, el cual est enfocado a incrementar la productividad de sus usuarios.
c) Evolucin de los Sistemas de Informacin
De la seccin anterior se desprende la evolucin que tienen los Sistemas de Informacin en las organizaciones. Con frecuencia se implantan en forma inicial los Sistemas Transaccionales y, posteriormente, se introducen los Sistemas de Apoyo a las Decisiones. Por ltimo, se desarrollan los Sistemas Estratgicos que dan forma a la estructura competitiva de la empresa. En la dcada de los setenta, Richard Nolan, un conocido autor y profesor de la Escuela de Negocios de Harvard, desarroll una teora que impact el proceso de planeacin de los recursos y las actividades de la informtica. Segn Nolan, la funcin de la Informtica en las organizaciones evoluciona a travs de ciertas etapas de crecimiento, las cuales se explican a continuacin:
Comienza con la adquisicin de la primera computadora y normalmente se
justifica por el ahorro de mano de obra y el exceso de papeles. Las aplicaciones tpicas que se implantan son los Sistemas Transaccionales tales como nminas o contabilidad. El pequeo Departamento de Sistemas depende en la mayora de los casos del rea de contabilidad. El tipo de administracin empleada es escaso y la funcin de los sistemas suele ser manejada por un administrador que no posee una preparacin formal en el rea de computacin. El personal que labora en este pequeo departamento consta a lo sumo de un operador y/o un programador. Este ltimo podr estar bajo el rgimen de honorarios, o bien, puede recibirse el soporte de algn fabricante local de programas de aplicacin. En esta etapa es importante estar consciente de la resistencia al cambio del personal y usuario (ciberfobia) que estn involucrados en los primeros sistemas que se desarrollan, ya que estos sistemas son importantes en el ahorro de mano de obra. Esta etapa termina con la implantacin exitosa del primer Sistema de Informacin. Cabe recalcar que algunas organizaciones pueden vivir varias etapas de inicio en las que la resistencia al cambio por parte de los primeros usuarios involucrados aborta el intento de introducir la computadora a la empresa.
Etapa de contagio o expansin. Los aspectos sobresalientes que permiten
diagnosticar rpido que una empresa se encuentra en esta etapa son: Se inicia con la implantacin exitosa del primer Sistema de Informacin en la organizacin. Como consecuencia de lo anterior, el primer ejecutivo usuario se transforma en el paradigma o persona que se habr que imitar. Las aplicaciones que con frecuencia se implantan en esta etapa son el resto de los Sistemas Transaccionales no desarrollados en la etapa de inicio, tales como facturacin, inventarios, control de pedidos de clientes y proveedores, cheques, etc. El pequeo departamento es promovido a una categora superior, donde depende de la Gerencia Administrativa o Contralora. El tipo de administracin empleado est orientado hacia la venta de aplicaciones a todos los usuarios de la organizacin; en este punto suele contratarse a un especialista de la funcin con preparacin acadmica en el rea de sistemas. Se inicia la contratacin de personal especializado y nacen puestos tales como analista de sistemas, analista-programador, programador de sistemas, jefe de desarrollo, jefe de soporte tcnico, etc. Las aplicaciones desarrolladas carecen de interfases automticas entre ellas, de tal forma que las salidas que produce un sistema se tienen que alimentar en forma manual a otro sistema, con la consecuente irritacin de los usuarios. Los gastos por concepto de sistemas empiezan a crecer en forma importante, lo que marca la pauta para iniciar la racionalizacin en el uso de los recursos computacionales dentro de la empresa. Este problema y el inicio de su solucin marcan el paso a la siguiente etapa. Etapa de control o formalizacin. Para identificar a una empresa que transita por esta etapa es necesario considerar los siguientes elementos: Esta etapa de evolucin de la Informtica dentro de las empresas se inicia con la necesidad de controlar el uso de los recursos computacionales a travs de las tcnicas de presupuestacin base cero (partiendo de que no se tienen nada) y la implantacin de sistemas de cargos a usuarios (por el servicio que se presta). Las aplicaciones estn orientadas a facilitar el control de las operaciones del negocio para hacerlas ms eficaces, tales como sistemas para control de flujo de fondos, control de rdenes de compra a proveedores, control de inventarios, control y manejo de proyectos, etc. El departamento de sistemas de la empresa suele ubicarse en una posicin gerencial, dependiendo del organigrama de la Direccin de Administracin o Finanzas. El tipo de administracin empleado dentro del rea de Informtica se orienta al control administrativo y a la justificacin econmica de las aplicaciones a desarrollar. Nace la necesidad de establecer criterios para las prioridades en el desarrollo de nuevas aplicaciones. La cartera de aplicaciones pendientes por desarrollar empieza a crecer. En esta etapa se inician el desarrollo y la implantacin de estndares de trabajo dentro del departamento, tales como: estndares de documentacin, control de proyectos, desarrollo y diseo de sistemas, auditora de sistemas y programacin. Se integra a la organizacin del departamento de sistemas, personal con habilidades administrativas y preparadas tcnicamente. Se inicia el desarrollo de interfases automticas entre los diferentes sistemas. Etapa de integracin. Las caractersticas de esta etapa son las siguientes:
La integracin de los datos y de los sistemas surge como un resultado directo de la centralizacin del departamento de sistemas bajo una sola estructura administrativa. Las nuevas tecnologas relacionadas con base de datos, sistemas administradores de bases de datos y lenguajes de cuarta generacin, hicieron posible la integracin. En esta etapa surge la primera hoja electrnica de clculo comercial y los usuarios inician haciendo sus propias aplicaciones. Esta herramienta ayud mucho a que los usuarios hicieran su propio trabajo y no tuvieran que esperar a que sus propuestas de sistemas fueran cumplidas. El costo del equipo y del software disminuy por lo cual estuvo al alcance de ms usuarios. En forma paralela a los cambios tecnolgicos, cambi el rol del usuario y del departamento de Sistemas de Informacin. El departamento de sistemas evolucion hacia una estructura descentralizada, permitiendo al usuario utilizar herramientas para el desarrollo de sistemas. Los usuarios y el departamento de sistema iniciaron el desarrollo de nuevos sistemas, reemplazando los sistemas antiguos, en beneficio de la organizacin. Etapa de administracin de datos. Entre las caractersticas que destacan en esta etapa estn las siguientes: El departamento de Sistemas de Informacin reconoce que la informacin es un recurso muy valioso que debe estar accesible para todos los usuarios. Para poder cumplir con lo anterior resulta necesario administrar los datos en forma apropiada, es decir, almacenarlos y mantenerlos en forma adecuada para que los usuarios puedan utilizar y compartir este recurso. El usuario de la informacin adquiere la responsabilidad de la integridad de la misma y debe manejar niveles de acceso diferentes. Etapa de madurez. Entre los aspectos sobresalientes que indican que una empresa se encuentra en esta etapa, se incluyen los siguientes: Al llegar a esta etapa, la Informtica dentro de la organizacin se encuentra definida como una funcin bsica y se ubica en los primeros niveles del organigrama (direccin). Los sistemas que se desarrollan son Sistemas de Manufactura Integrados por Computadora, Sistemas Basados en el Conocimiento y Sistemas Expertos, Sistemas de Soporte a las Decisiones, Sistemas Estratgicos y, en general, aplicaciones que proporcionan informacin para las decisiones de alta administracin y aplicaciones de carcter estratgico. En esta etapa se tienen las aplicaciones desarrolladas en la tecnologa de base de datos y se logra la integracin de redes de comunicaciones con terminales en lugares remotos, a travs del uso de recursos computacionales.
Principales estndares para la seguridad de la informacin IT Alcances y consideraciones esenciales de los estndares ISO-IEC BS7799-IT, RFC2196, IT BASELINE, SSE-CMM y, ISO 27001
El actual entorno econmico y de competencia en el que se desenvuelven las empresas se caracteriza por el uso intensivo de la informacin y el conocimiento en las compaas, situacin que enmarca un nuevo contexto empresarial donde la realidad propicia la incorporacin de nuevas tecnologas de informacin y comunicaciones
(TIC), lo que representa un cambio significativo para la organizacin. Dicho cambio hace necesaria una adecuada gestin de la informacin y el conocimiento, con el propsito de facilitar procesos asociados con la innovacin, el desarrollo de productos o servicios, la eficiencia en el uso de los recursos, la calidad y la toma de decisiones acertadas. Sin embargo, en el afn de ingresar en el nuevo entorno, las empresas se ven enfrentadas a mayores riesgos que son cada vez ms difciles de controlar. Por tanto, se han iniciado planes que garantizan una adecuada gestin de la informacin, por considerarse que sta forma parte de los activos fundamentales de las organizaciones, y se toma como base para disear la estrategia comercial y de competitividad en esta sociedad globalizada. Para garantizar el xito en la gestin de la informacin, se toman en cuenta los referentes que brindan los estndares para su seguridad. Con esto se espera que la informacin se proteja celosamente y se garantice la implantacin de las estrategias que propician la integridad, la confidencialidad y la disponibilidad de sta hacia los clientes. Por lo anterior, en este artculo se realiza un estudio sobre los cinco principales estndares de seguridad de la informacin adoptados por las empresas, teniendo presente que stos cobijan todo tipo de organizacin (empresas, instituciones gubernamentales, organizaciones sin nimo de lucro, etc.). Entre otros aspectos, se describen el alcance de cada uno de los estndares, las consideraciones esenciales, la forma como facilitan la administracin, el apoyo en la definicin de polticas, la facilitacin para la adopcin de modelos de gestin y la ingeniera de seguridad que se debe contemplar para la gestin de los procesos de seguridad. Finalmente, se describir en una matriz la relacin que hay entre los cinco estndares tratados, con lo cual los directivos tendrn un parmetro ms para tomar decisiones de inversin alrededor del estndar que se va a implantar en los sistemas de gestin de seguridad de la informacin para la organizacin. Palabras claves: estndar, recomendacin, sistema de seguridad de informacin, sistema de gestin de seguridad, seguridad de la informacin. La seguridad de la informacin se considera como la herramienta fundamental para implantar nuevas mejoras en las empresas, razn por la cual stas deben realizar un esfuerzo cada da mayor para optimizar su nivel de seguridad en este aspecto. La organizacin debe mejorar continuamente la eficacia del Sistema de Gestin del Sistema de Informacin (SGSI), mediante el establecimiento de polticas y objetivos de seguridad de la informacin, tomando en cuenta los resultados de las auditoras, anlisis de eventos, y acciones correctivas y preventivas de los mismos. De igual manera, deben establecer procedimientos argumentados para identificar documentos que ya no se requieran porque se actualizaron o porque se remplazaron por otros. En todo caso, entre las prioridades que hay que considerar en la seguridad de la informacin se cuentan la confidencialidad y la proteccin de los datos. Por la importancia que tiene la seguridad de la informacin en las organizaciones, y con el propsito de contrarrestar los intrusos maliciosos que ingresan en ella para hacer dao, se han identificado las mejores prcticas alrededor de la implantacin de estndares de seguridad de la informacin relacionados con ISOIEC BS7799-IT, RFC2196, IT Baseline, SSE-CMM e ISO 27001, los ms relevantes en seguridad de la informacin IT. En este artculo se abordarn los temas relacionados con el alcance de los cinco estndares mencionados anteriormente, considerados los ms usados para la gestin
de la seguridad de la informacin, al igual que algunas observaciones esenciales sobre stos, las formas de administracin, cmo definir polticas y adoptar modelos de gestin, y cul es la ingeniera de seguridad que se debe contemplar para la gestin de los procesos. Adicionalmente, se describir en una matriz la relacin que hay entre ellos. Necesidad de la seguridad de la informacin Seguridad de informacin es mucho ms que establecer firewalls, aplicar parches para corregir nuevas vulnerabilidades en el sistema de software, o guardar en la bveda los backups. Seguridad de informacin es determinar qu hay que proteger y por qu, de qu se debe proteger y cmo protegerlo. Antes de empezar a profundizar en los estndares de seguridad en la informacin, es muy importante establecer qu es la seguridad en la informacin; se escogi el anterior texto porque envuelve en una forma muy sencilla dicho concepto. La informacin de la empresa es uno de los activos ms valiosos y debe protegerse al mximo usando los estndares de seguridad de la informacin que existen y son pertinentes. Los riesgos de prdidas, hurtos o uso inadecuado de los datos pueden ocasionar daos representativos; dichos riesgos son latentes no slo desde medios externos sino que internamente pueden ser an ms vulnerables. Para esto se han definido estndares que ayudan a la seguridad, minimizan el riesgo de fugas, fraudes, uso indebido de informacin, etc. Segn la Citel1, el 35% de las empresas mencionan que el principal fraude detectado es el interno, el cual est directamente relacionado con la fuga de informacin. El escenario que se tena anteriormente, en el cual los sistemas operaban de manera aislada o en redes privadas, ha sido sustituido por computadores personales que cada vez tienen mayor capacidad de procesamiento y almacenamiento de informacin; de la misma manera, las tecnologas convergentes y la difusin masiva del uso de internet incrementan los riesgos. Hoy en da el mundo se encuentra cada vez ms interconectado, y esta interconexin se extiende a mayor escala a ritmos acelerados. Al mismo tiempo, internet forma parte de la infraestructura operativa de sectores estratgicos como energa, transportes y finanzas, y desempea un papel fundamental de modo tal que las empresas realizan sus transacciones comerciales, el gobierno proporciona servicios en lnea a los ciudadanos y a las empresas, y la manera en que los ciudadanos se comunican e intercambian informacin individualmente tambin contribuye a la generacin de riesgos reales y latentes. La naturaleza y el tipo de tecnologas que constituyen la infraestructura de la informacin y comunicaciones tambin han cambiado de manera significativa; el nmero y el tipo de dispositivos que integran la infraestructura de acceso se han multiplicado, incluyendo elementos de tecnologa fija, inalmbrica y mvil, as como tambin una proporcin creciente de accesos que estn conectados permanentemente. A consecuencia de todos estos cambios, la naturaleza, el volumen y la sensibilidad de la informacin que se intercambia a travs de esta infraestructura han incrementado de modo significativo la forma de pensar, en cuanto a la gestin de riesgos se refiere. Por lo anterior, se hace necesario el surgimiento de nuevos retos en materia de seguridad, motivo por el cual las empresas comienzan a aplican estndares de seguridad sobre la informacin orientados a todos los participantes de la nueva sociedad de la informacin, donde es inminente tener una mayor conciencia y entendimiento de los aspectos de seguridad, as como de la necesidad de desarrollar una cultura en torno a sta.
Las siguientes razones han dado muestra a las empresas de la necesidad de contar con un estndar de seguridad: Establecer un reglamento de prcticas favorables para la gestin de la seguridad. Establecer las especificaciones para la adopcin de un Sistema de Gestin de la Seguridad de la Informacin. Establecer un estndar de facto a nivel global, que se implemente en las entidades que administran la seguridad de la informacin Establecer un conjunto de normas que se apliquen en cualquier entorno y sector, y que utilicen tecnologas de la informacin para lograr los objetivos propuestos. Mejorar los niveles de competitividad, optimizando la seguridad y el funcionamiento de la empresa. Promover servicios para que la empresa se incorpore ms fcil y eficientemente a la sociedad de la informacin. Todas estas razones hacen indispensable contar con un sistema de gestin para garantizar la seguridad de la informacin en la empresa que quiera ser competitiva en el mercado, ya que los usuarios demandan que sus datos estn en un lugar seguro y, a su vez, que sean transferidos o difundidos por medios que garanticen el uso correcto para el cual estn hechos; cabe resaltar tambin que es importante generar un estndar de facto sobre el cual la empresa pueda converger y comunicarse en forma globalizada; el mundo podr hablar un mismo protocolo y la implementacin de estos procesos se mejorar cada vez ms con el aporte que puedan hacer las empresas de los sectores involucrados.
Alcances y aspectos esenciales de cada estndar tratado Estndar Britnico ISO-IEC BS7799-IT [3]
El Estndar Britnico ISO-IEC BS7799-IT es un cdigo aceptado internacionalmente en la prctica de la seguridad de la informacin. El estndar aplica un mtodo de cuatro fases para implementar una solucin de sistemas de administracin de seguridad de la informacin. Fase 1: evaluacin. Determinar la situacin de la seguridad actual y definir los requisitos para la seguridad de la informacin basada en un riesgo de negocio aceptable (deseada). Fase 2: diseo. Desarrollar un diseo de solucin de sistemas de administracin de seguridad de la informacin con recomendaciones especficas y un plan detallado para implementarla. Fase 3: implementacin. Probar el diseo y desarrollar una configuracin de produccin estndar. Definir y documentar las directrices, estndares y procedimientos necesarios para implementar y administrar la solucin de una manera efectiva. Fase 4: administracin. Establecer una arquitectura bsica que sea posible de ampliar para proporcionar una plataforma de administracin con todas las caractersticas.
Adicionalmente, hay que tener en cuenta los parmetros que establece el estndar para desarrollar una directiva de seguridad de TI y garantizar que la seguridad se implementa y mantiene en toda la organizacin; para esto se deben incluir los objetivos de seguridad globales, un esquema del nivel global de la seguridad requerida, los estndares de seguridad, incluidas las estrategias de auditora y supervisin, y las definiciones de formacin y procesos para mantener la seguridad. El primer parmetro establecido por el estndar es desarrollar la directiva de seguridad de TI, en la cual se describen y analizan los objetivos que sobre seguridad de TI tiene explcitos la empresa. Entre los ejemplos de objetivos de seguridad que se pueden utilizar estn maximizar la confiabilidad, la calidad y la confidencialidad de la informacin; garantizar que la reputacin de la empresa no se ponga nunca en tela de juicio; mantener el valor de los recursos de tecnologa, la propiedad intelectual y la informacin; evitar y prevenir los daos a la informacin, los procesos y la propiedad, con lo que se garantizan las operaciones continuas en toda la empresa. Estos objetivos de seguridad generales se pueden aplicar a la mayora de las organizaciones. Los objetivos de seguridad especficos se deben crear de acuerdo con la estrategia de la organizacin y el equipo de administracin debe comunicarlos, junto con la importancia de la seguridad, a todos los miembros de sta. Para lograr el xito en la implantacin de la directiva de seguridad de IT, debe existir un comit de seguridad de TI, que como mnimo incluya las responsabilidades relacionadas con desarrollar, optimizar y crear el documento de directiva de seguridad; trabajar con el responsable de seguridad de la empresa; crear procesos para garantizar que se cumplen los objetivos de seguridad de TI; generar un proceso y un plan para implementar los estndares descritos en el documento de directiva de seguridad; promover la cultura de la seguridad; determinar el presupuesto y las necesidades de recursos. Otro parmetro que hay que tomar en cuenta dentro del estndar es definir el cargo de responsable de seguridad de la empresa, que se ocupa de garantizar que dicha seguridad tiene el nivel adecuado de respaldo ejecutivo, que la directiva se comprende claramente en todos los niveles de la organizacin y que se articula a stos. Hay que definir las necesidades de personal y, asegurarse de que todos los miembros de la organizacin adquieran el compromiso y la capacitacin necesarios para asumir la cultura de la seguridad. Muchas incursiones de seguridad se producen como consecuencia directa de una falta de formacin o una deficiencia en el proceso de implantacin.
Estndar RFC2196 [4] El Estndar RFC2196 es otro de los estndares usados en la prctica de la seguridad de la informacin. A continuacin se mencionan sus caractersticas y sus aspectos ms relevantes.
Entre las caractersticas de la seguridad de la informacin, segn el RFC2196, se tienen las siguientes: se debe poder poner en prctica mediante procedimientos descritos de administracin de sistemas, publicacin de guas sobre el uso aceptable de los recursos informticos o por medio de otros mtodos
prcticos apropiados; debe poder implantarse; debe obligar al cumplimiento de las acciones relacionadas mediante herramientas de seguridad; tiene que detectar fugas o errores; debe definir claramente las reas de responsabilidad de los usuarios, administradores y direccin, y tener un responsable para toda situacin posible. Por otro lado, el RFC-2196 establece una serie de componentes incluidos en las polticas de seguridad. stos son: Guas de compras de tecnologa de la informacin. Especifica funciones de seguridad requeridas o preferidas. Estas polticas deben complementar cualquier otra poltica de compra de la organizacin. Poltica de privacidad. Determina las expectativas razonables de privacidad sobre temas relacionados con monitoreo de correos electrnicos, acceso a archivos y registro de teclados. Podra incluir tambin polticas acerca de registro, escucha y control de llamadas telefnicas, control de accesos a sitios web, uso de herramientas de mensajera instantnea, etc. Poltica de acceso. Define derechos o privilegios de acceso a activos o recursos de informacin protegidos. Especifica comportamientos aceptables para usuarios, empleados soporte y directivos. Debe incluir reglas respecto a las conexiones y accesos externos, as como reglas acerca de la comunicacin de datos, conexiones de dispositivos a las redes e inclusin de nuevas aplicaciones informticas en los sistemas existentes. Poltica de responsabilidad. Define las responsabilidades de usuarios, personal de mantenimiento y directivos. Debe especificar la capacidad de realizar auditoras y sus caractersticas, y proveer las guas para el registro y manejo de incidentes de seguridad. Poltica de autenticacin. Debe establecer los mecanismos de confianza mediante el uso de una poltica de contraseas apropiadas. Debe considerar, si aplica, polticas de autenticacin local y de acceso remoto. Declaracin de disponibilidad. Determina las expectativas de disponibilidad de los recursos de los sistemas e informacin. Con base en la disponibilidad necesaria, podrn establecerse mecanismos de redundancia y procedimientos de recuperacin. Poltica de mantenimiento de los sistemas relacionados con la tecnologa de la informacin. Describe cmo deber hacerse el mantenimiento realizado tanto por personal interno como externo a la organizacin. Debe establecerse si se admite o no algn tipo de mantenimiento remoto (por ejemplo, por internet o por mdem), y las reglas que aplican, as como los mecanismos inter-nos de control. Poltica de informes de incidentes o violaciones de seguridad. Establece qu tipo de incidentes o violaciones de seguridad deben reportarse y a quin reportar. Para no generar un ambiente amenazante, puede considerarse la inclusin de reportes annimos, lo que seguramente redundar en una mayor probabilidad de que los incidentes sean efectivamente reportados. Informacin de apoyo. Proveer a los usuarios, empleados y directivos con informacin de contacto y de referencia para usarla ante incidentes de seguridad. En todos los casos, los aspectos legales deben tomarse en cuenta.
Estndar IT Baseline Protection Manual
El IT Baseline Protection Manual presenta un conjunto de recomendaciones de seguridad, establecidas por la Agencia Federal Alemana para la Seguridad en Tecnologa de la Informacin.
Este estndar plantea en forma detallada aspectos de seguridad en mbitos relacionados con aspectos generales (organizacionales, gestin humana, criptografa, manejo de virus, entre otros); infraestructura, (edificaciones, redes wifi); sistemas (Windows, novell, unix); redes (cortafuegos, mdems), y aplicaciones (correo electrnico, manejo de la web, bases de datos, aplicativos)2.
Estndar SSE-CMM [6]
Se fundamenta en la presentacin de una serie de actividades para desarrollar productos de software confiables y alcanzar un ciclo de vida para sistemas seguros. La propuesta se hace considerando que la ingeniera de seguridad no es una actividad que pueda desarrollarse de manera aislada de otras especialidades de la ingeniera, en especial de la ingeniera de sistemas y de software. De todos los modelos presentados, ste es el que mayor relacin y adecuacin tiene respecto al desarrollo de productos de software seguros. SSE-CMM divide la ingeniera de seguridad en tres reas bsicas: riesgo, ingeniera y aseguramiento. Riesgo: busca identificar y priorizar los peligros asociados al desarrollo de productos o sistemas. Ingeniera: trabaja con otras disciplinas para implantar soluciones sobre los peligros identificados. En este caso, se relaciona con la ingeniera de software. Aseguramiento: tiene como objetivo certificar que las soluciones implementadas sean confiables. El modelo se estructura en dos dimensiones: Dominios: conjunto de prcticas bsicas que definen la ingeniera de seguridad. Capacidades: se refiere a las prcticas genricas que determinan la administracin del proceso e institucionalizan la capacidad.
Estndar ISO 27001[7]
Este es el nuevo estndar oficial. Su ttulo completo en realidad es BS 77992:2005 (ISO/IEC 27001:2005). Tambin fue preparado por el JTC31 y en el subcomit SC 27, IT Security Techniques. La versin que se considerar en este texto es la primera edicin, de fecha 15 de octubre de 2005. Cerca de 1.870 organizaciones en 57 pases han reconocido la importancia y los beneficios de esta nueva norma. A fines de marzo de 2006, seis empresas espaolas poseen esta certificacin declarada. El conjunto de estndares que aportan informacin de la familia ISO-2700x que se puede tener en cuenta son: ISO/IEC 27000 Fundamentals and vocabulary. ISO/IEC 27001 ISMS - Requirements (revised BS 7799 Part 2:2005). Publicado el 15 de octubre del 2005. ISO/IEC 27002 Code of practice for information security management. Actualmente ISO/IEC 17799:2005, publicado el 15 de junio del 2005. ISO/IEC 27003 ISMS implementation guidance (en desarrollo). ISO/IEC 27004 Information security management measurement (en desarrollo). ISO/IEC 27005 Information security risk management (basado en ISO/IEC
13335 MICTS Part 2 e incorporado a ste; en desarrollo). El ISO-27001:2005 es el nico estndar aceptado internacionalmente para la administracin de la seguridad de la informacin y aplica a todo tipo de organizaciones, tanto por su tamao como por su actividad. Presentar al ISO-27001:2005 como estndar de facto genera la posibilidad de tener un estndar mejorado y ms robusto en el trayecto de la historia; los entes que aplican estos procedimientos para garantizar la seguridad e integridad de la informacin mejorarn considerablemente el estndar, luego de haber hecho las pruebas y haber tenido la experiencia. Los dems estndares establecidos, como el alemn, basado en el IT Baseline Protection Manual, y las recomendaciones de la IEFT con su RFC2196, constituyen solamente orientaciones y guas para usuarios que deseen implementar gestin en la seguridad de la informacin; sin embargo, queda demostrado que el estndar de ISO es el ms adoptado por las empresas porque es ms flexible y se acopla mejor a los procesos que normalmente se llevan a cabo en las organizaciones; ISO es el estndar de facto en la gerencia de la integridad de la informacin. Estndares, administracin de seguridad de informacin y definicin de polticas RFC2196 - Site Security Handbook La recomendacin del IETF4 conocida como la RFC2196 Site Security Handbook se estructur y compendi en el ao 1997. Esta recomendacin es un esfuerzo por dar cuerpo a las iniciativas de seguridad en el entorno de sistemas de cmputo y sistemas de informacin, y se enfoca en generar un marco conceptual para definir de manera integrada un esquema de seguridad basado en polticas a todo nivel en los temas referentes al manejo de la informacin, entre los que se destacan hardware, software, datos, personal involucrado, documentacin y consumibles [8]. De acuerdo con este enfoque es importante sealar que todo parte de la conceptualizacin del anlisis de riesgo, donde es vital identificar dos aspectos: assets (activos). Hardware, software, red, informacin y personal, y riesgos (vulnerabilidades, debilidades). Los activos y los riesgos van de la mano a la hora de implantar las polticas de seguridad, ya que cada uno de los activos presentar sus propios riesgos, con lo cual estructurar un plan de seguridad tendr como base el estudio de las vulnerabilidades para cada uno de ellos. Al analizar el riesgo es importante tener una visin sistmica de los componentes de la infraestructura de informacin, para as poder articular una poltica coherente que lleve a la organizacin a plasmar un sistema de seguridad a la medida de sus actividades. Debe ser lo bastante consistente para responder a las necesidades y al mismo tiempo liviano para que no sea un obstculo en el normal desarrollo de las actividades de la empresa o institucin. La RFC2196 parte de esta premisa para que los responsables de las polticas de seguridad, en lo que respecta a las tecnologas de informacin (TI), tengan claro el alcance de la implantacin, con la estructura lgica que se presentar a continuacin. Definicin de objetivo. Se enfoca en la identificacin del plan de seguridad, partiendo de un esquema en el cual, identificadas las amenazas, se procede a asegurar el
sistema. La respuesta a incidentes ser la parte fundamental, y separar los servicios a los cuales pueden o deben acceder los usuarios e identificar las necesidades para cada uno de ellos ayudarn a la estructuracin de los objetivos del sistema Configuracin de servicios y red. La informacin es uno de los activos ms valiosos de las empresas. De tal manera que tener control y seguridad sobre sta se ha vuelto una necesidad imperativa en las organizaciones actuales. Investigaciones, procesos, documentos, listas de precios y dems informaciones relacionadas con la operacin de la empresa hacen que stas se diferencien en los mercados actuales, cada vez ms competitivos. Para ser ms competitivas, las empresas han tenido que integrarse y compenetrarse en un mundo globalizado, donde la informacin es el eje fundamental de las operaciones. Pero cmo integrarse y cmo tomar ventaja de la globalizacin? Un componente importante para tomar ventaja de esta realidad conlleva la integracin de operaciones a ese mundo globalizado a travs de las tecnologas de informacin y comunicacin. Dicho escenario plantea numerosos retos y es all donde la seguridad, al entrar en ese mundo virtual, toma relevancia especial ya que presupone exponer la informacin interna al mundo externo. La RFC2196 hace hincapi en los siguientes puntos con respecto a la conexin hacia redes externas [9]: proteger la infraestructura (hosts, servidores, equipos de comunicaciones, personal) y proteger los servicios (DNS, password key servers, mail, WWW Servers, FTP). Proteger la infraestructura conduce a que el encargado de implantar el esquema de seguridad se imponga el reto de definir los componentes necesarios para conseguir el aseguramiento en estos dos frentes. Proteger, en este contexto, es asegurar la operatividad de los componentes en caso de que algn evento o incidencia conduzca a su mal funcionamiento. Este tema es particular a cada organizacin, puesto que el analista de seguridad debe tomar en cuenta los costos asociados de tener elementos redundantes. Firewalls. Es comn encontrar falencias en lo que respecta a procesos de seguridad informtica (seguridad lgica) en las organizaciones. La mencionada recomendacin hace alusin a este punto cuando enfatiza en que la seguridad no puede finalmente circunscribirse a los elementos hardware dispuestos en la red para Permitir o no el acceso a los recursos e informacin de las organizaciones. Los firewalls, entendidos como la infraestructura de red que garantiza un entorno de seguridad al interconectar redes, plasmarn las polticas que cada entorno en especfico requiera, de acuerdo con las necesidades. El manejo de la seguridad no puede recaer slo en estos elementos hardware/software y sus administradores. Los esquemas de seguridad soportados en firewalls estarn articulados dentro del sistema completo de seguridad. Sin perder de vista el objetivo general del sistema de seguridad, las polticas toman relevancia nuevamente en este sentido. No es slo el administrador de seguridad el responsable de mantener un ambiente seguro para la infraestructura tecnolgica en lo que atae al manejo de informacin. ste ser un esfuerzo continuo con todos los involucrados e interesados (stakeholders), esto es, mantener un ambiente seguro respetando las polticas que a nivel tcnico se implanten en la organizacin. Procedimientos y seguridad en servicios. La infraestructura de seguridad y el
personal que hace uso de ella al acceder a la informacin dan forma a un esquema seguro cuando se articulan siguiendo procedimientos y procesos. Equipos, personal, polticas, procedimientos y procesos forman en s un sistema integrado de seguridad. El acceso de la informacin debe tener un esquema donde se puedan seguir ciertos procedimientos que han de estructurarse tomando como base las necesidades de la organizacin. Por otro lado, la RFC2196 hace hincapi en los siguientes procesos al momento de estructurar los procedimientos, teniendo como base los elementos que componen el sistema de informacin [10]: Autenticacin [11]. Este proceso est orientado a determinar si el solicitante del servicio o informacin es, de hecho, quien tiene derecho a usarla. Es decir, identificar que quien utilice las plataformas o los recursos sea quien dice ser. Autorizacin [12]. En este proceso se da permiso al solicitante de realizar o no acciones dentro de un sistema Integridad y confidencialidad. Procesos que se encargan de asegurar que la informacin no sea alterada y que va a mantenerse en un entorno controlado para no difundir su contenido, en este orden. Acceso. Establecer los mecanismos por los cuales los solicitantes van a acceder a los recursos de informacin de la organizacin, ya sea desde el interior o desde el exterior. Auditora. Los procesos anteriores deben cobijarse mediante un procedimiento de auditora. Saber quin, en qu momento y cul fue la labor realizada sobre la informacin o sobre los sistemas, deber registrarse en algn sitio para tener control sobre los incidentes. La RFC2196 contina con la descripcin de la estructura lgica, tratando el tema relacionado con la identificacin de incidentes. Cmo identificar que una situacin anmala es un incidente? Esta pregunta es importante, ya que dependiendo de los sntomas presentados en los subsistemas y en el entorno de la organizacin se puede determinar si el fenmeno presentado clasifica como incidente de seguridad. La recomendacin establece ciertos criterios para enmarcar los incidentes y as tener un plan de accin en caso de que ocurra [13]. As mismo, aconseja utilizar herramientas software especializadas para la deteccin de conductas anmalas de los usuarios de la red, ya sean internos o externos (Intrusion Detection Systems, IDS). Circunscribir el fenmeno e identificar su espectro de accin sern de gran ayuda para identificar si la situacin empeora o no, evaluar sus alcances y, sobre todo, seguir el plan de accin. Muchas veces los incidentes tienen una reaccin en cadena que a partir de una situacin anmala se convierten en verdaderos problemas que afectan a toda la organizacin. Manejo de incidentes. El esquema de seguridad se implanta con un objetivo primordial: evitar los problemas de seguridad de la informacin a travs de la implantacin de un sistema que incluya todos los activos involucrados en la organizacin. En caso de falla, el esquema deber responder de la mejor manera frente a los incidentes que afecten la informacin, minimizando su impacto. Teniendo como base esta premisa, el manejo de incidentes se debe preparar y planear para cumplir este objetivo. El manejo de incidentes de acuerdo con la RFC2196 presupone una etapa de
preparacin y planeacin de incidentes. Prepararse en este contexto es orientar los esfuerzos de seguridad a implementar y fijar niveles de proteccin que involucren las polticas de seguridad establecidas, personal, infraestructura y procedimientos para evitar al mximo que los incidentes ocurran [14]. Conocer de antemano las vulnerabilidades del sistema ayudar a su correccin, retroalimentacin que resulta importante para mantener actualizados los procesos de seguridad y su continuidad en el tiempo. De igual manera, se recomienda priorizar las acciones que hay que tomar cuando se presenten incidentes que vulneren la seguridad [15]. Adicionalmente, en el momento de actuar se debe tener en cuenta seguir una secuencia de pasos lgicos que ayuden a restablecer las condiciones normales de operacin de la organizacin; para ello es importante, de acuerdo con la recomendacin, tener documentado el proceso que se debe seguir. ISO-IEC 17799. Cdigo de Prcticas para el Manejo de Seguridad en Informacin Esta norma se estableci inicialmente en el entorno britnico. Sus comienzos se remontan al ao 1992 y su primera versin compendiada se public en 1995; en 1999 se hizo una revisin, producto de la cual la versin original se dividi en dos partes: la primera, denominada Code of Practice for Information Security Management, y la segunda, Especification for Information Security Management Systems. En este trabajo slo se hablar del primer documento, ya que ste sirvi como base para la norma ISO 1799. La norma britnica fue propuesta en el ao 2000 ante la ISO con algunos cambios y se present como la ISO/IEC 17799:2000. Este cdigo apunta a crear un marco de buenas prcticas para el manejo de seguridad de la informacin y su interoperatividad con los sistemas La ltima versin del BS7799:2005 se enfoca en tener un esquema estructurado, conocido como el PDCA (Plan-Do-Check-Act: Planear-Hacer-Chequear-Actuar). Este acercamiento a la realidad en los entornos institucionales y empresariales permite tener un enfoque estructurado a la hora de implantar un sistema de manejo de seguridad en la informacin. Esquema PDCA. Planear (plan) en este entorno significa definir polticas de seguridad y su alcance. Las polticas no podrn ser efectivas si no se articulan en torno a riesgos que deben evaluarse en la organizacin. Identificar y evaluar opciones para tratar esos riesgos y seleccionar para cada riesgo la mejor opcin de tratamiento son aspectos importantes durante la fase de planeacin sugerida por el estndar [17]. Ya en la parte de implementacin (DO) se deben formular los planes de tratamiento de riesgos y su implantacin. De igual manera, se ha de implementar el esquema de procedimiento de deteccin y respuesta a los incidentes, teniendo previamente un personal capacitado. Verificar y auditar (Check- Audit). Monitorear, revisar, probar y auditar cierran el ciclo de estructuracin de polticas contenidas dentro del manejo de incidencias de seguridad de informacin. En este esquema se requiere tener dentro de la organizacin personal responsable del esquema de seguridad, ya sea de tiempo completo o parcial. Ellos estarn a cargo de la implementacin y seguimiento de las polticas y procedimientos de seguridad. Sin una cabeza visible, la implementacin del sistema puede quedar a medias, ya que debe haber una visin general que tenga en cuenta los objetivos y el alcance de la implantacin del estndar. Estructura del estndar. Este estndar se enfoca en la identificacin de riesgo y
su tratamiento para asegurar la confidencialidad, disponibilidad e integridad de la informacin. A partir de este objetivo se organiza la estructura del estndar, enfatizando en tener un marco conceptual que debe, en la medida de lo posible, llevarse a la prctica. De acuerdo con Rene Saint-Germain, en el Information Management Journal [18], las polticas de seguridad y su aplicabilidad entro de la organizacin deben ir de un nivel organizacional a un nivel operacional. All enmarca el estndar en diez (10) esferas de accin (dominios), que estn estrechamente ligados a la organizacin donde ste se implante. Es importante la distribucin piramidal, pues depende de los directivos concientizarse sobre los potenciales efectos de las fallas en la seguridad de informacin. Partir de un enfoque gerencial donde se planean estrategias de seguridad e irlas traduciendo en temas a nivel tctico (operacionales) dar consistencia al modelo. Cabe destacar la importancia de las polticas de seguridad, que si bien es cierto estn en la cumbre, son los lineamientos que a nivel semntico deben quedar claros para llevarlos a la prctica a travs de toda la organizacin. La IEC17799 desarrolla estos temas con mayor amplitud para poder llevarlos a un entorno prctico
Dominios del IEC17799 Otro enfoque del estndar propuesto por Saad Haj Bakry en el International Journal of Network Management plantea integrar las diez reas donde trabaja la IEC 17799 con base en el enfoque Stope [19], el cual agrupa en las categoras de estrategia, tecnologa, organizacin, personal y entorno (Strategy, Technology, Organization, People, Environment) las reas de accin del estndar. Esta iniciativa se apoya en el esquema Stope para darle ms aplicabilidad a nivel prctico y poder definir las fronteras de accin de cada una de las reas.
Enfoque Stope de la IEC17799 Este enfoque pretende, a partir de las categoras, generar puntos de control para cada una de las actividades. Esto llevar, de acuerdo con el autor, a generar un checklist que pueda certificar que se cumplieron las metas de la implantacin del estndar. Para esto se apoya en una herramienta conceptual denominada Six-SigmaBased [20]5, la cual bsicamente consiste en seguir un proceso lgico para la implantacin de la norma desde el punto de vista prctico.
System Security Engineering Capability Maturity Model (SSE-CMM)
El SSE-CMM es, ms que un estndar, un modelo de referencia que no dicta normas estticas en lo que concierne a la seguridad en los ambientes de informacin y tecnologa (IT) que quiere enmarcar su radio de accin [21]. Este modelo es un esfuerzo multilateral dirigido por la Universidad de Carnegie Mellon en Estados Unidos. Debido a que su alcance no restringe a una prctica especifica en la implantacin de seguridad de la informacin, se manejan conceptos generales para entender el modelo. ste se basa en la definicin de conceptos como organizacin, proyecto, sistema, producto de trabajo, cliente, proceso, institucionalizacin, gerencia de proceso y capacidad de madurez del modelo (capability maturity model). Este ltimo concepto sirve para describir cmo, a travs del proceso de planeacin, implantacin y mejoras, el modelo se ajusta a cada situacin particular; es tratar de identificar qu tan maduro se encuentra el esquema planteado para la seguridad de informacin en la organizacin. El modelo se enfoca en la ingeniera de seguridad como marco para desarrollar un esquema confiable alrededor de la temtica de aseguramiento en entornos de informacin y tecnologa (IT). Por ello es importante mencionar el ciclo de vida de ingeniera de seguridad, de acuerdo con el modelo [22].
Concepto, desarrollo, produccin, utilizacin, soporte y retiro son etapas inherentes a las actividades que soportan el modelo mencionado. Como tal, la arquitectura del sistema se basa en tres macroprocesos: evaluacin de riesgo, ingeniera de seguridad y aseguramiento. Con ello se da forma a una matriz que pretende realizar un diagnstico y establecer qu grado de madurez tiene la estrategia de seguridad en una organizacin. En el eje X se analizan todas las actividades inherentes a ingeniera de seguridad, conocidas como las prcticas base (base practice). El modelo considera 129 prcticas que engloban el ejercicio de la ingeniera de seguridad y las divide en 22 procesos que agrupan las actividades (security engineering processes), siendo los primeros once procesos (security engineering processes) los ms relevantes y los que comnmente se analizan en este eje En el eje Y se agrupan actividades que se pueden aplicar a cada uno de los procesos de ingeniera, llamadas prcticas genricas (generic practices). En este eje se articulan cinco niveles que son los que clasificaran la capacidad en cada uno de los aspectos de ingeniera de seguridad y gradan la manera como se llevan a cabo los procesos. La vista genrica de la matriz sera de la siguiente manera, de acuerdo con el documento que describe el modelo
Matriz de evaluacin de procesos.
Determinacin de la capacidad del sistema Vale la pena destacar que este modelo, a diferencia de los dems, trata de graduar cada uno de los aspectos importantes a la hora de implantar un esquema de seguridad en una organizacin. Describir, o tratar de medir en lo referente a madurez cada uno de los procesos, ayuda al diagnstico y al mejoramiento continuo del esquema elegido igualmente, como lo anota John P. Hopkinson [25], la manera en la
cual una organizacin lleva a cabo, controla, soporta y monitorea un proceso, determina qu tan maduro es el proceso y qu tan bien se va a llevar a cabo; por consiguiente, qu tan buenos y repetibles sern los resultados de ese proceso.
IT Baseline Protection Manual (Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin)
Los objetivos del estndar son asistir en forma rpida soluciones a problemas comunes en seguridad e identificar los riesgos de seguridad de TI. De la misma manera, define su alcance aduciendo que el IT Protection Manual contiene estndares de proteccin de seguridad de tecnologas de informacin e implanta conceptos de seguridad de IT, simplificando y economizando los recursos requeridos. El anlisis de la estructura de IT [26] provee los medios para la realizacin de un estudio preliminar, apuntando a la recoleccin de informacin que se necesitar despus, para preparar el concepto del IT baseline protection security. Esto se divide en las siguientes subtareas: preparar el plan de red, reducir la complejidad identificando recursos similares, recolectar informacin sobre los sistemas de IT, y captar informacin sobre las aplicaciones de IT y relacionarla con sta. Procesos de seguridad IT. La funcin primaria de la administracin de seguridad IT es preparar los conceptos de seguridad, los cuales son indispensables para la implantacin de los procesos. El procedimiento general se describe a continuacin:
Descripcin del procedimiento de seguridad IT Baseline Protection Manual Evaluacin de requerimientos de proteccin. Para evaluar modelos de proteccin de la estructura de IT se requieren cuatro pasos por separado. El primero de todos es definir las categoras de requerimientos de proteccin. Comnmente, los escenarios de dao se emplean para determinar los requerimientos de proteccin de varias aplicaciones de IT. Modelo de proteccin IT Baseline. Se enfoca de acuerdo con un orden descendente, as: activos de IT, anlisis de la estructura de IT, evaluacin de los requerimientos de proteccin y modelamiento. De este ltimo se desprenden dos actividades: ejecutar el plan sobre los activos IT en uso y desarrollar el plan sobre los
activos de IT planificados. Chequeo de seguridad bsica. El mdulo de proteccin de IT se utiliza como un plan de prueba para establecer, usando un objetivo frente a la actual comparacin, cul estndar para salvaguardar la seguridad ha sido efectivo y cul no se ha implementado efectivamente. Anlisis de seguridad suplementario. Un anlisis de seguridad de IT suplementario se debe entregar para puntos sensibles de la organizacin Pueden emplear varios mtodos, que incluyan anlisis del riesgo, pruebas de penetracin y anlisis diferencial de seguridad. Implementacin de modelo de proteccin de seguridad IT. Se destacan los siguientes pasos: examinar los resultados de la investigacin, consolidar los salvaguardas, preparar un estimado de costos y esfuerzos requeridos, determinar la secuencia de implementacin, asignar responsabilidades e implantar medidas de acompaamiento.
ISO 27001
Entre los objetivos primordiales del estndar se considera presentar un anlisis ISO/IEC para cualquier empresa que desee planificar e implementar una poltica de seguridad orientada a obtener una futura certificacin dentro de este estndar y conseguir como resultado final la evaluacin del riesgo (anlisis y valoracin) sobre las polticas empresariales de una organizacin. El alcance se concibe hasta proveer un modelo para el establecimiento, implementacin, operacin, monitorizacin, revisin, Mantenimiento y mejora del SGSI. La adopcin del modelo SGSI obedece a una decisin estratgica de la organizacin, pues el modelo est influenciado por sus necesidades y objetivos, as como por los requerimientos de seguridad, los procesos, el tamao y la estructura de la empresa. La dinmica que implica su aplicacin ocasionar en muchos casos la escala del modelo, por lo que se necesita una misma dinmica para las soluciones [27]. Los requerimientos de la ISO 27001 son aplicables a todas las organizaciones. Modelo PHCA. Adoptado por la ISO/IEC 27001 [28]. Planear (establece el SGSI). Fija la poltica, objetivos, procesos y procedimientos del SGSI pertinentes para gestionar el riesgo y mejorar la seguridad de la informacin, con el fin de entregar resultados conforme a las polticas y objetivos generales de la organizacin Hacer (implementar y operar el SGSI). Implementar y operar la poltica, controles, procesos y procedimientos del SGSI
PHCA aplicado a los procesos de SGSI (Sistemas de Gestin de Seguridad de la Informacin) Comprobar (monitorear y revisar el SGSI). Evaluar y, donde corresponda, medir el desempeo del proceso segn la poltica, objetivos y experiencia prctica del SGSI, e informar los resultados a la gerencia para su examen. Actuar (mantener y mejorar el SGSI). Tomar medidas correctivas y preventivas, basado en los resultados de la auditora interna del SGSI y el examen de la gerencia u otra informacin pertinente, para lograr el mejoramiento continuo del SGSI. El modelo PHCA establece para el SGSI un procedimiento que tenga en cuenta la definicin del alcance de un enfoque sistemtico para identificar y evaluar el riesgo, definir poltica SGSI, identificar y evaluar opciones para el tratamiento del riesgo, seleccionar objetivos de control y controles, preparar un enunciado de aplicabilidad y obtener aprobacin de la gerencia. De la misma manera, para la implantacin y operacin del SGSI considera tener en cuenta el formular e implementar un plan de tratamiento del riesgo, aplicar todos los objetivos de control y los controles seleccionados, poner en prctica programas de entrenamiento y toma de conciencia, al igual que gestionar operaciones y recursos. Para monitorear y revisar el SGSI se recomienda ejecutar procedimientos de monitoreo, efectuar revisiones regulares de la eficacia del SGSI, revisar el nivel de riesgo residual y del riesgo aceptable, conducir las auditoras internas del SGSI y registrar todos los eventos que tienen un efecto en el desempeo del SGSI. Para mantener y mejorar el SGSI, se necesita implantar las mejoras identificadas, tomar apropiadas acciones correctivas y preventivas, comunicar los resultados a todas las partes interesadas y asegurar que las mejoras alcancen los objetivos deseados. En cuanto a documentacin, sta deber incluir los registros de las decisiones de la gerencia, asegurar que las acciones se deriven de las decisiones y polticas de los directivos, y que los resultados registrados sean reproducibles. Es importante poder demostrar que los controles seleccionados se relacionan con los resultados del proceso de evaluacin y tratamiento de riesgos, y con la poltica y objetivos del SGSI. Auditora interna del SGSI. La organizacin realizar auditoras internas al SGSI con
intervalos planeados para determinar si los controles, sus objetivos, los procesos y procedimientos continan de conformidad con esta norma y para analizar y planificar acciones de mejora. Ninguna persona podr auditar su propio trabajo, ni cualquier otro que guarde relacin con l. La responsabilidad y los requerimientos para el planeamiento y la conduccin de las actividades de auditora, los informes resultantes y el mantenimiento de los registros se definirn en un procedimiento. Administracin de las revisiones del SGSI. Las revisiones mencionadas en el punto anterior debern llevarse a cabo al menos una vez al ao para asegurar su vigencia, adecuacin y efectividad. Estas revisiones incluirn valoracin de oportunidades para mejorar o cambiar el SGSI, incluyendo la poltica de seguridad de la informacin y sus objetivos Esta actividad est constituida por la revisin de entradas y salidas, y dar como resultado el documento correspondiente. Mejoras al SGSI. La organizacin deber mejorar continuamente la eficiencia del SGSI a travs del empleo de la poltica de seguridad de la informacin, sus objetivos, el resultado de las auditoras, el anlisis y la monitorizacin de eventos, las acciones preventivas y correctivas, y las revisiones de administracin. Acciones correctivas. La organizacin llevar a cabo acciones orientadas a eliminar las causas que no estn de conformidad con los requerimientos del SGSI para evitar la recurrencia de stos. Cada una de estas acciones correctivas se deber documentar [29]. Implantacin [30]. La implantacin considera seis fases, las cuales forman parte del plan concebido por el estndar de seguridad 27001. Para la elaboracin de comienzo a fin de la implantacin se requiere la participacin activa de diferentes reas de la empresa, entre las que se destacan: aseguramiento de ingresos, control y prevencin del fraude, seguridad de IT y facturacin. Despus de la definicin del alcance del sistema de gestin de seguridad de la informacin, se deben analizar los riesgos que involucran las posibles amenazas y vulnerabilidades de los sistemas de informacin y procesamiento. Es importante gestionar el riesgo desde el punto de vista organizacional, obteniendo en esta forma un fraude de aseguramiento requerido. Objetivos de control y controles [31]. Los objetivos de control, adems de la formulacin, requieren contemplar la poltica de seguridad identificada para ste, la organizacin relacionada con la seguridad de la informacin tanto interna como aquella que involucre terceros y la gestin del riesgo, con el propsito de tomar las acciones correspondientes en el momento indicado. As mismo, se debe contemplar la seguridad de los recursos humanos, la seguridad fsica y ambiental, y la gestin de comunicaciones y operaciones. Certificaciones [32]. La estructura de una entidad certificadora est regida fundamentalmente por el Foro Internacional de la Acreditacin (IAF)6, por la Cooperacin Europea para la Acreditacin (EA)7 y por las entidades de acreditacin (de Espaa y de Reino Unido). El principal objetivo es aplicar el sistema de certificacin a las empresas, mediante los procedimientos de validacin contemplados para ello; con este sistema se da constancia, por un perodo de tiempo determinado, de la conformidad de un producto respecto a los requisitos establecidos o previamente especificados. El certificado constituye una seal de aceptabilidad, que evita la necesidad de tener que demostrar constantemente las normas de seguridad de la empresa ante los clientes [33], y el modelo PHCA aplicado a los procesos de SGSI
(Sistemas de Gestin de Seguridad de la Informacin) apoya el logro de los resultados de certificacin en las organizaciones. Ingeniera de seguridad e implantacin en las empresas [34] La implantacin de un sistema de seguridad de la informacin se basa en la metodologa ESA8, cuyo marco general establece el diseo de polticas, normas y procedimientos de seguridad con el fin de tener un posterior desarrollo de controles sobre la informacin de la empresa. Para el diseo de la ingeniera de seguridad de la informacin se deben desarrollar las siguientes etapas: Evaluacin de riesgos, amenazas y vulnerabilidades. En esta etapa se hace una identificacin cuidadosa de las amenazas frente a la vulnerabilidad y de los riesgos frente a las amenazas. Seguidamente se definen las razones por las cuales se debe aplicar un plan de seguridad y por ltimo se determina el estndar o medida de seguridad que se va a adoptar. Polticas de seguridad de la informacin. Con el objetivo de contar con una gua para la proteccin de la informacin de la empresa, se elaboran las polticas y estndares de seguridad de la informacin tomando en cuenta el estndar de seguridad de informacin ISO 17799, los requerimientos sobre riesgos de tecnologa de informacin y las normas establecidas en la compaa. Diseo de arquitectura de seguridad de red. Con el objetivo de controlar las conexiones de la red de la empresa y monitorear la actividad realizada con otras entidades externas a las cuales deba comunicarse, se elaborar una propuesta de arquitectura de red, la cual incluye dispositivos de monitoreo de intrusos y herramientas de inspeccin de contenido. Plan de implementacin. De la identificacin de riesgos, amenazas y vulnerabilidades relacionadas con la seguridad de la informacin de la empresa, se logran identificar las actividades ms importantes que realizar la entidad, con el propsito de alinear las medidas de seguridad implantadas para proteger la informacin de la compaa, con las polticas de seguridad y estndares elaborados. Este plan de alto nivel incluye una descripcin de la actividad que se va a llevar a cabo, las etapas incluidas en su desarrollo y el tiempo estimado de ejecucin. Matriz de comparacin de los estndares estudiados En la siguiente matriz se recogen los aspectos esenciales de cada uno de los estndares tratados en este artculo: De acuerdo con la consolidacin de los aspectos esenciales estudiados y resumidos en la matriz de comparacin, puede asegurarse que la implantacin de cualquiera de los cinco estndares garantiza la seguridad de la informacin, para lo cual se concibieron Tabla 1 Matriz de comparacin de aspectos esenciales entre los estndares estudiados . ISO-IEC RFC2196 IT BASE LINE SSE-CMM ISO 27001 BS7799IT Estndar Recomendacin Estndar No certificado Certificado No certificado Certificado Internacional
Identifica activos informticos y vulnerabilidad Identifica recurso humano Se debe documentar Define claramente responsabilidades Establece, implanta, monitorea y mantiene sistemas de administracin de seguridad IT
You might also like
- Seguridad en Bases de Datos y Aplicaciones Web - 2º EdiciónFrom EverandSeguridad en Bases de Datos y Aplicaciones Web - 2º EdiciónNo ratings yet
- Seguridad Informática Completo - OdtDocument63 pagesSeguridad Informática Completo - OdtJonathan CéspedesNo ratings yet
- Unidad 5Document24 pagesUnidad 5Sindy Guzman100% (1)
- Ensayo Argumentativo Mod 2 VLTDocument8 pagesEnsayo Argumentativo Mod 2 VLTVerónica LambertNo ratings yet
- Examen Identidad de La PersonaDocument3 pagesExamen Identidad de La PersonaCarlos Miguel La Rosa63% (8)
- Protección legal sistemas informáticosDocument18 pagesProtección legal sistemas informáticosJuan Javier Diaz100% (1)
- Sistemas y Tecnología de Información.Document15 pagesSistemas y Tecnología de Información.Diego Armando Espinosa Lastra100% (1)
- SEGURIDAD Y PROTECCIÓN - 01 - Seguridad InformaticaDocument16 pagesSEGURIDAD Y PROTECCIÓN - 01 - Seguridad InformaticaRodrigo BerdasqueraNo ratings yet
- MonografiaDocument13 pagesMonografiacristhianNo ratings yet
- Tarea 4Document30 pagesTarea 4Artículos Multimarcas YasminNo ratings yet
- Actividad de Aprendizaje Unidad 1 T.G.IDocument7 pagesActividad de Aprendizaje Unidad 1 T.G.IJeiner AnayaNo ratings yet
- Sistemas Información EmpresasDocument40 pagesSistemas Información EmpresastreyciNo ratings yet
- Casos RelevantesDocument6 pagesCasos RelevantesUyir PiḻaittavarNo ratings yet
- Informe Técnico Fredy Jose Gil LlorenteDocument13 pagesInforme Técnico Fredy Jose Gil LlorenteFredy José GilNo ratings yet
- Unidad 1 PDFDocument38 pagesUnidad 1 PDFBárbara MolineroNo ratings yet
- Practica de 26 PreguntasDocument9 pagesPractica de 26 PreguntasMîğüeł Erasmo LaureanoNo ratings yet
- Sistemas de gestión de bases de datos: nociones clásicas de información y cualidadesDocument26 pagesSistemas de gestión de bases de datos: nociones clásicas de información y cualidadescigorellaNo ratings yet
- Sistemas de InformaciónDocument10 pagesSistemas de InformaciónJeffrey JesúsNo ratings yet
- Trabajo Colaborativo Contextualizado de Seguridad de SoftwareDocument12 pagesTrabajo Colaborativo Contextualizado de Seguridad de Softwaregervis pajaroNo ratings yet
- Impacto de La Tecnología y Sistemas de Información. Las TIC en La AdministraciónDocument11 pagesImpacto de La Tecnología y Sistemas de Información. Las TIC en La AdministraciónALEX BENJHY PIAMBA GUACANo ratings yet
- Investigacion Unidad 1 Seguridad InformaticaDocument18 pagesInvestigacion Unidad 1 Seguridad InformaticaCuervos NegrosNo ratings yet
- Seguridad informática universitariaDocument12 pagesSeguridad informática universitariaGabylupi MoninaNo ratings yet
- Trabajo de La Herramienta Del Auditor FinancieroDocument28 pagesTrabajo de La Herramienta Del Auditor FinancieroGotita LindaNo ratings yet
- Universidad Cristiana Evangélica Nuevo Milenio: UcenmDocument4 pagesUniversidad Cristiana Evangélica Nuevo Milenio: UcenmCristo ArtHNNo ratings yet
- Informatica 2Document14 pagesInformatica 2solymar romeroNo ratings yet
- Asignación#3 Tecnologia de La InformacionDocument5 pagesAsignación#3 Tecnologia de La InformaciondanelNo ratings yet
- Sistemas de Informacion y Toma de Decisiones Perez Chacon, Carlos Odell 26934820 Ingenieria en SistemasDocument3 pagesSistemas de Informacion y Toma de Decisiones Perez Chacon, Carlos Odell 26934820 Ingenieria en SistemasOdell ChaconNo ratings yet
- OFIMÁTICADocument12 pagesOFIMÁTICAMARCOS ALEXANDERNo ratings yet
- Info organizaDocument7 pagesInfo organizaJorge Luis ShNo ratings yet
- Seguridad y Auditoria 1Document38 pagesSeguridad y Auditoria 1vinicioNo ratings yet
- Trabajo de Evaluación No.1 Grupo06Document16 pagesTrabajo de Evaluación No.1 Grupo06Alexis FernándezNo ratings yet
- SistemasSoporteInformacion-CuestionarioTema1Document12 pagesSistemasSoporteInformacion-CuestionarioTema1Leidy FelizNo ratings yet
- ResumenDocument16 pagesResumendarrell huamaniNo ratings yet
- 1.1. Hoja de Informacion S1Document4 pages1.1. Hoja de Informacion S1roger neyraNo ratings yet
- Actividad #1Document6 pagesActividad #1Paola EspinalNo ratings yet
- Sistema de InformaciónDocument9 pagesSistema de InformaciónLuis Hernandez VillalobosNo ratings yet
- Desarrollo Del SoftwareDocument8 pagesDesarrollo Del SoftwareOscar NaviNo ratings yet
- 1ra ACTIVIDADDocument3 pages1ra ACTIVIDADYury Moreno CabezasNo ratings yet
- Guia de EstudioDocument5 pagesGuia de EstudioMario ReyesNo ratings yet
- Análisis de sistemas de informaciónDocument6 pagesAnálisis de sistemas de informaciónSantiago MartinezNo ratings yet
- Aplicacion de Software de Sistemas EmpresarialesDocument11 pagesAplicacion de Software de Sistemas EmpresarialesEvelyn Lisbeth Castro ChoezNo ratings yet
- Segur InformDocument48 pagesSegur InformfjccandelarioNo ratings yet
- 1.1 Investigación DocumentalDocument11 pages1.1 Investigación DocumentalRodrigo Maldonado SorianoNo ratings yet
- Sistema de InformaciónDocument10 pagesSistema de InformaciónROGELIO ALEXANDER BARCENA CHECCANo ratings yet
- Introducción de Sistema de Información y Cadena de Suministro. Primera Parte 1.1Document10 pagesIntroducción de Sistema de Información y Cadena de Suministro. Primera Parte 1.1MagdalenaNo ratings yet
- Apuntes Sistemas InformacionDocument10 pagesApuntes Sistemas InformacionAlfonso TuquerNo ratings yet
- Principios de Seguridad Informátca Ágil V1.0 Mayo2022Document315 pagesPrincipios de Seguridad Informátca Ágil V1.0 Mayo2022SidodiNo ratings yet
- Cuestionario Tema I Sistemas Soportes Basados InformacionDocument46 pagesCuestionario Tema I Sistemas Soportes Basados InformacionFiorella Echavarria PeraltaNo ratings yet
- Universidad Nacional Mayor de San Marcos Facultad de Ciencias ContablesDocument25 pagesUniversidad Nacional Mayor de San Marcos Facultad de Ciencias Contablesmiguel angelNo ratings yet
- 2sistemas de Informacion en Las Organizaciones ActualesDocument8 pages2sistemas de Informacion en Las Organizaciones ActualesJasir SanchezNo ratings yet
- Buenas Prácticas de Ciberseguridad y Protección de La InformaciónDocument160 pagesBuenas Prácticas de Ciberseguridad y Protección de La InformacióntsilvapusicNo ratings yet
- Actividad 1 Sistema de Informacion GeneralDocument10 pagesActividad 1 Sistema de Informacion Generalgervis pajaroNo ratings yet
- SI Gerenciales Universidad Nacional de EducaciónDocument46 pagesSI Gerenciales Universidad Nacional de EducaciónJorge Cruz ArandaNo ratings yet
- Resumen Seguridad Informática José GonzálezDocument5 pagesResumen Seguridad Informática José GonzálezJosé GonzálezNo ratings yet
- Analisis de Los Riesgos InformaticosDocument4 pagesAnalisis de Los Riesgos InformaticosValeria PeñaNo ratings yet
- Principios de La Seguridad de La InformaciónDocument9 pagesPrincipios de La Seguridad de La InformaciónCesar VillavicencioNo ratings yet
- Semana 4Document15 pagesSemana 4Alfredo MartiNo ratings yet
- Metodologia TerminadaDocument22 pagesMetodologia TerminadaFausto ValenzuelaNo ratings yet
- Unidad 1 Sistema de Informacion.Document10 pagesUnidad 1 Sistema de Informacion.Buho Creations StoreNo ratings yet
- Castillo Jasmin Elizabeth Tarea 1.2Document3 pagesCastillo Jasmin Elizabeth Tarea 1.2ELIZABETH CASTILLONo ratings yet
- FunciónDocument1 pageFunciónCarlos Miguel La RosaNo ratings yet
- Cancionero para Cuaresma Semana Santa y Pascua 2011Document2 pagesCancionero para Cuaresma Semana Santa y Pascua 2011Carlos Miguel La RosaNo ratings yet
- PlantasDocument20 pagesPlantasYuvitza RojasNo ratings yet
