Niveles-Seguridad-Informatica

Vista previa del material en texto

1 
 
 
 
 
 
 
 
 
 
 
 
NIVELES DE SEGURIDAD INFORMÁTICA 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Integrantes: 
 Byron Araya 
 Jessica Supanta 
Asignatura: 
Tecnologías de la 
Información y 
Comunicación 
Fecha: 26/05/2014 
2 
 
 
 
ÍNDICE 
 
Páginas 
 
INTRODUCCIÓN…………………………………………………………….….….…...3 
CAPÍTULO I: Concepto niveles de seguridad informática…………………… 3 
1. Concepto niveles de seguridad informática…………………………. 3 
1.1 ¿Qué Son?....................................………………………………………. 4 
CAPÍTULO II: Marco Teórico………………………………………………………… 5 
2. Marco Teórico ……………………………………………………………………… 5 
2.1 Niveles de seguridad Informática………………………………………. 5 
2.2 La importancia de los niveles de seguridad informática en empresas.. 5 
2.3 Niveles de seguridad informática en el reglamento…………………... 6 
2.4 Medidas aplicables a los diferentes niveles de seguridad…………... 7 
CAPÍTULO III:Referencia TCSEC Orange Book……………………………….. 8 
3. Referencia TCSEC Orange Book ……………………………………………….. 8 
CAPÍTULO IV: Niveles de Seguridad Informática………………………………. 8 
4. Niveles de Seguridad Informática……………………………………………… 8 
4.1 Nivel D……………………………………………………………………… 8 
4.2 Nivel C1:Protección Discrecional……………………………………….. 8 
4.3 Nivel B1: Seguridad Etiquetada…………………………………………. 9 
4.4 Nivel B2: Protección Estructurada………………………………………. 9 
4.5 Nivel B3: Dominios de Seguridad……………………………………….. 10 
4.6 Nivel A: Protección Verificada…………………………………………… 10 
CAPÍTULOV: ¿QUÉ EMPRESAS LO APLICAN?…………………………………. 11 
CAPÍTULO VI: CONCLUSIONES…………………………………………………… 12 
CAPÍTULO VII: REFERENCIAS BIBLIOGRÁFICAS……………………………… 13 
 
 
 
3 
 
 
Introduccio n 
Actualmente los niveles de seguridad informática han tomado gran auge, dadas 
las cambiantes condiciones y nuevas plataformas de computación disponibles. La 
posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes 
para explorar más allá de las fronteras nacionales. 
 
El presente trabajo de investigación sobre el tema de niveles de seguridad 
informática, se divide en cinco capítulos de la siguiente manera: 
 
En el Capítulo I, concepto niveles de seguridad informática. 
 
En el Capítulo II, se trata el Marco Teórico que envuelve la situación de las 
empresas frente a los niveles de seguridad informática. 
 
En el Capítulo III, se describe la referencia: TCSEC Orange. 
 
En el Capítulo IV, se analizan los niveles de seguridad informática y sus 
características. 
 
En el Capítulo V, empresas que lo aplican. 
 
En el Capítulo VI, se establecen algunas conclusiones. 
 
 
 
 
 
 
 
 
 
 
 
 
4 
 
 
1. Niveles de Seguridad Informática 
1.1 ¿Qué son? 
El estándar de niveles de seguridad más utilizado internacionalmente es el TCSEC 
Orange Book, desarrollado en 1983 de acuerdo a las normas de seguridad en 
computadoras del Departamento de Defensa de los Estados Unidos. 
Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se 
enumeran desde el mínimo grado de seguridad al máximo. 
Estos niveles han sido la base de desarrollo de estándares europeos 
(ITSEC/ITSEM) y luego internacionales (ISO/IEC). 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
5 
 
 
2. Marco teo rico 
2.1 Niveles de seguridad informática 
Los niveles de seguridad informática son distribuidos de acuerdo con el sistema 
operativo que se esté utilizando sobre la red de la empresa o institución ya sea 
pública, privada, gubernamental o no gubernamental, entre estos se tiene los 
siguientes: 
 
2.2 La importancia de los niveles de seguridad informática en las empresas 
El activo más importante en las organizaciones públicas, privadas y de cualquier 
índole, es la información que tienen. Entre más grande es la organización más 
grande es el interés de mantener la seguridad en la red, por lo tanto, es de suma 
importancia el asegurar la seguridad de la información .La seguridad no es 
solamente el implementar usuarios y contraseñas, es el implementar políticas que 
garanticen la seguridad tanto física como lógica de la información. Dentro del 
entorno de la red se debe asegurar la privacidad de la información y de proteger 
las operaciones de daños no intencionados como deliberados. 
La planificación de la seguridad en el diseño de la red es de suma importancia ya 
que, de esto depende el buen desempeño de la red y nos evita trabajo posterior y 
pérdida de datos y posibles daños a la red. 
 
 
1.1.1. Nivel D El sistema entero no es confiable 
1.1.2. Nivel C1 Protección Discrecional 
1.1.4. Nivel B1 Protección de Seguridad Etiquetada 
1.1.5. Nivel B2 Protección Estructurada 
1.1.6. Nivel B3 Dominios de Seguridad 
1.1.7. Nivel A Protección Verificada 
6 
 
 
Ejemplo: 
Un banco deberá de tener un nivel muy alto de seguridad por las transacciones 
que maneja, una red casera no tendrá la misma importancia, solo se orientará a 
los accesos de los familiares a ciertos puntos de las computadoras que la formen. 
Las empresas se apoyan cada día más en las tecnologías para sus negocios y la 
mayoría desarrollan gran parte de su actividad conectadas a Internet o haciendo 
uso de servicios que utilizan Internet como pasarela de comunicaciones, factor 
que conduce a la implantación de medidas de seguridad cada vez más exigentes 
dado el riesgo que ello implica. La seguridad debe establecerse mediante normas 
de funcionamiento y uso, perfiles de usuarios, perfiles de grupos o departamentos, 
restricciones, autorizaciones, denegaciones, protocolos y todo lo necesario para 
poder obtener un buen nivel de seguridad informática siempre evaluando antes el 
impacto en el desempeño diario por parte de los usuarios y de la misma empresa. 
2.3 Niveles de seguridad informática en el Reglamento. 
Cada uno de los niveles de seguridad establecidos en el Reglamento tienen la 
consideración de mínimos legales exigibles, por lo que cada Empresa podrá 
incrementarlas de acuerdo a otros criterios de Seguridad Informática, ofreciendo 
de esta forma mayores garantías, tanto para el tratamiento de sus ficheros como 
para el resto de la información corporativa. 
El Reglamento establece los niveles de seguridad de forma acumulativa; así, en 
caso de tratamiento de ficheros de nivel medio, deberán implantarse todas y cada 
una de las medidas de seguridad descritas para el nivel básico y las del medio. 
Igualmente sucederá con los ficheros de nivel alto, que deberán implantar las 
medidas descritas para el nivel básico, el medio y el alto. 
En resumen: 
 Nivel Básico: Para todos los ficheros de datos de carácter personal. 
 Nivel Medio: Serán adoptadas para: 
 
a) Ficheros que contengan datos relativos a la comisión de infracciones 
administrativas o penales. 
b) Ficheros que contengan datos sobre Hacienda Pública. 
c) Ficheros que contengan datos sobre Servicios Financieros. 
d) Ficheros que contengan datos sobre solvencia patrimonial y crédito. 
e) Ficheros que contengan un conjunto de datos suficientes que permitan 
elaborar un perfil del afectado (se les aplican las medidas descritas en los 
art.17 a 20). 
7 
 
 
 
 Nivel Alto: Aquellos que contengan datos de ideología, religión, creencias, 
origen racial, salud. 
 
2.4 Medidas aplicables a los diferentes Niveles de Seguridad.1 
El Reglamento establece en los arts.5, 6 y 7 medidas de seguridad que se aplican 
independientemente del nivel de seguridad de los ficheros tratados. Estas medidas 
son las siguientes: 
a) Acceso a través de redes de telecomunicaciones (art.5). 
El Reglamento establece que las medidas de seguridad exigibles para el acceso a 
través de redes de telecomunicaciones deberá garantizar un nivel equivalente al 
correspondiente a los accesos en modo local. 
Así, en función del nivel de seguridad, deberán adoptarse medidas de seguridad 
que garanticen la disponibilidad de la información (cifrado de información) así 
como medidas de identificación y autenticación inequívocay personalizada para 
los accesos que realicen los usuarios a través de redes de telecomunicaciones. 
b) Régimen de trabajo fuera de los locales de la ubicación del fichero (art.6). 
Establece el Reglamento que deberá estar expresamente autorizado por el 
responsable del fichero la ejecución de tratamientos de los datos fuera de la 
ubicación principal, garantizándose en todo momento el mismo nivel de seguridad. 
c) Ficheros Temporales (art.7). 
Se establece que los ficheros temporales deberán cumplir el mismo nivel de 
seguridad que el fichero del tienen origen, procediéndose a su destrucción o 
borrado seguro cuando haya dejado de ser necesario para la finalidad que motivó 
su creación. 
Para la LOPD, tendrán la consideración de ficheros temporales las extracciones 
puntuales de datos que se realicen de los ficheros de datos de carácter personal 
para atender o dar cumplimiento a determinadas finalidades concretas y comunes 
de gestión y administración autorizadas por el responsable del fichero. 
 
1
 
Niveles seguridad. (2008). Tecnologías y seguridad.Recuperado el 22 de mayo del 2014. Obtenido 
de http://www.tgnsystems.com/sistemas/seguridad-informatica/ 
 
8 
 
 
 
3. Referencia: TCSEC Orange Book 
El estándar de niveles de seguridad más utilizado internacionalmente es el TCSEC 
Orange Book(2), desarrollado en 1983 de acuerdo a las normas de seguridad en 
computadoras del Departamento de Defensa de los Estados Unidos. 
Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se 
enumeran desde el mínimo grado de seguridad al máximo. 
Estos niveles han sido la base de desarrollo de estándares europeos 
(ITSEC/ITSEM) y luego internacionales (ISO/IEC). 
Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: así 
el subnivel B2 abarca los subniveles B1, C2, C1 y el D. 
 
4. Niveles de Seguridad Informa tica 
4.1 Nivel D 
Este nivel contiene sólo una división y está reservada para sistemas que han sido 
evaluados y no cumplen con ninguna especificación de seguridad. 
Sin sistemas no confiables, no hay protección para el hardware, el sistema 
operativo es inestable y no hay autentificación con respecto a los usuarios y sus 
derechos en el acceso a la información. Los sistemas operativos que responden a 
este nivel son MS-DOS y System 7.0 de Macintosh. 
4.2 Nivel C1: Protección Discrecional 
Se requiere identificación de usuarios que permite el acceso a distinta información. 
Cada usuario puede manejar su información privada y se hace la distinción entre 
los usuarios y el administrador del sistema, quien tiene control total de acceso. 
Muchas de las tareas cotidianas de administración del sistema sólo pueden ser 
realizadas por este "super usuario" quien tiene gran responsabilidad en la 
seguridad del mismo. Con la actual descentralización de los sistemas de 
cómputos, no es raro que en una organización encontremos dos o tres personas 
cumpliendo este rol. Esto es un problema, pues no hay forma de distinguir entre 
los cambios que hizo cada usuario. 
9 
 
 
 A continuación se enumeran los requerimientos mínimos que debe cumplir la 
clase C1: 
 Acceso de control discrecional: distinción entre usuarios y recursos. 
Se podrán definir grupos de usuarios (con los mismos privilegios) y 
grupos de objetos (archivos, directorios, disco) sobre los cuales podrán 
actuar usuarios o grupos de ellos. 
 
 Identificación y Autentificación: se requiere que un usuario se 
identifique antes de comenzar a ejecutar acciones sobre el sistema. El 
dato de un usuario no podrá ser accedido por un usuario sin autorización 
o identificación. 
 
4.3 Nivel B1: Seguridad Etiquetada 
Este subnivel, es el primero de los tres con que cuenta el nivel B. Soporta 
seguridad multinivel, como la secreta y ultrasecreta. Se establece que el dueño del 
archivo no puede modificar los permisos de un objeto que está bajo control de 
acceso obligatorio. 
A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un 
nivel de seguridad jerárquico (alto secreto, secreto, reservado, etc.) y con unas 
categorías (contabilidad, nóminas, ventas, etc.). 
Cada usuario que accede a un objeto debe poseer un permiso expreso para 
hacerlo y viceversa. Es decir que cada usuario tiene sus objetos asociados. 
También se establecen controles para limitar la propagación de derecho de 
accesos a los distintos objetos. 
4.4 Nivel B2: Protección Estructurada 
Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto 
inferior. 
La Protección Estructurada es la primera que empieza a referirse al problema de 
un objeto a un nivel mas elevado de seguridad en comunicación con otro objeto a 
un nivel inferior. 
Así, un disco rígido será etiquetado por almacenar archivos que son accedidos por 
distintos usuarios. 
1
0 
 
 
El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y 
seguridad son modificadas; y el administrador es el encargado de fijar los canales 
de almacenamiento y ancho de banda a utilizar por los demás usuarios. 
4.5 Nivel B3: Dominios de Seguridad 
Refuerza a los dominios con la instalación de hardware: por ejemplo el hardware 
de administración de memoria se usa para proteger el dominio de seguridad de 
acceso no autorizado a la modificación de objetos de diferentes dominios de 
seguridad. 
Existe un monitor de referencia que recibe las peticiones de acceso de cada 
usuario y las permite o las deniega según las políticas de acceso que se hayan 
definido. 
Todas las estructuras de seguridad deben ser lo suficientemente pequeñas como 
para permitir análisis y testeos ante posibles violaciones. 
Este nivel requiere que la terminal del usuario se conecte al sistema por medio de 
una conexión segura. 
Además, cada usuario tiene asignado los lugares y objetos a los que puede 
acceder. 
4.6 Nivel A: Protección Verificada 
Es el nivel más elevado, incluye un proceso de diseño, control y verificación, 
mediante métodos formales (matemáticos) para asegurar todos los procesos que 
realiza un usuario sobre el sistema. 
Para llegar a este nivel de seguridad, todos los componentes de los niveles 
inferiores deben incluirse. El diseño requiere ser verificado de forma matemática y 
también se deben realizar análisis de canales encubiertos y de distribución 
confiable. El software y el hardware son protegidos para evitar infiltraciones ante 
traslados o movimientos del equipamiento. 
 
 
 
 
 
1
1 
 
 
5. ¿Que empresas los aplican? 
 TGN Systems: 
 Amplia gama de servicios especializados en materia de niveles de seguridad 
informática, con la finalidad de garantizar y adaptarse a cualquier tipo de 
cliente final. 
 
 Isbor: 
Proveedor de servicios y soluciones avanzadas y personalizadas de: 
 Adecuación, Implantación, Mantenimiento, Auditorías y Asesoramiento 
jurídico y técnico en materia de PROTECCIÓN DE DATOS (LOPD) y 
Seguridad de la Información (ISO 27001). 
 Digitalización normal y certificada de facturas (software “HEIMDALL” 
homologado por la AEAT) y e-facturación (facturación electrónica). 
 Implantación de la Ventanilla Única de Servicios y del e-Colegio. 
 Gestión documental: archivo, destrucción, digitalización, almacenamiento, 
etc. 
 Formación en todas estas materias. 
 
 GlobalSecure: 
 
Somos una empresa orientada 100% a Seguridad Informática 
 
Nuestras Líneas de Negocio son las siguientes: 
 
 Representación, Comercialización y Soporte de Soluciones de Seguridad 
Informática y Auditoria. 
 Servicio de Datacenter, Servicios Gestionados de Seguridad y Servicios 
Avanzados 
 Servicios Profesionales, Consultoría y Auditoría en Ciber Seguridad 
 Entrenamiento y Capacitación en Ciber Seguridad & Ciber Defensa 
 
 
1
2 
 
 
 
6. conclusiones 
Esta investigación da mucha importanciaal uso que se le puede dar a los niveles 
de seguridad informática y al grado de alineación tecnológica respecto a las 
empresas actualmente. 
El punto destacable de esta investigación, es de adoptar a la información como un 
activo intangible, es decir, tratar que las organizaciones lo empleen ya sea a 
través en el servicio, en la toma de decisiones y en los procesos de administración 
para lograr el éxito competitivo-empresarial. 
Las pequeñas empresas hacen uso de la información sin una metodología o de 
manera sistémica, simplemente están respondiendo a las necesidades del 
mercado y de la competencia, y afortunadamente para ellas les ha permitido 
obtener un mayor nivel de Competitividad. Mas sin embargo, los responsables de 
generar las estrategias deben hacer una mejor administración los niveles de 
seguridad para el éxito futuro de la organización. 
Esta investigación, propone analizar lo que está pasando con los niveles de 
seguridad de informática hoy en día y la importancia que significa para las 
empresas llevar a cabo un nivel de seguridad para proteger su información. 
 
 
 
 
 
 
 
 
 
 
 
1
3 
 
 
 
7. Referencias Bibliogra ficas 
GlobalSecure. (2012). Soluciones Informáticas.Recuperado el 22 de mayo del 2014. Obtenido de 
http://www.globalsecure.cl/ 
Niveles de Seguridad. (2012). Soluciones empresas. Obtenido de http://www.isbor.es/index.php? 
Niveles de Seguridad Informática. (2010). Recursos Empresariales.Recuperado el 22 de mayo del 
2014. Obtenido de http://www.microsoft.com/business/es-
es/Content/Paginas/article.aspx?cbcid=323 
Niveles seguridad. (2008). Tecnologías y seguridad.Recuperado el 22 de mayo del 2014. Obtenido 
de http://www.tgnsystems.com/sistemas/seguridad-informatica/