06 Jul
Servicios Esenciales de un Sistema de Gestión de Seguridad de la Información (SGSI)
- Confidencialidad: Asegura que la información solo sea accesible por personal autorizado.
- Autenticación: Verifica la identidad de usuarios o procesos.
- Integridad: Garantiza que la información no ha sido alterada de forma no autorizada.
- Disponibilidad: Asegura que los sistemas y la información estén accesibles cuando se necesiten.
- No Repudio: Impide que una parte niegue haber realizado una acción.
- Autorización: Controla los permisos de acceso a recursos.
- Auditoría o Trazabilidad: Permite el seguimiento de las acciones realizadas.
- Reclamación de Propiedad: Establece la titularidad de la información.
- Reclamación de Origen: Verifica la procedencia de la información.
- Anonimato: Permite la ocultación de la identidad del usuario.
- Protección contra Réplicas: Evita la duplicación no autorizada de datos o mensajes.
- Confirmación de Operaciones: Proporciona evidencia de que una transacción se ha completado.
Técnicas Clave de Seguridad Informática
- Copias de Seguridad y Centros de Respaldo: Para la recuperación de datos y continuidad del negocio.
- Protocolos Criptográficos: Para asegurar la comunicación y el almacenamiento de datos.
- Identificación de Usuarios y Control de Acceso a Recursos: Para gestionar quién puede acceder a qué.
- Huella Digital de Mensajes y Sellado de Mensajes: Para verificar la integridad y autenticidad.
- Antivirus y Sistemas de Detección de Intrusos (IDS/IPS): Para proteger contra malware y actividades maliciosas.
- Uso de Proxies y Cortafuegos: Para controlar el tráfico de red y proteger el perímetro.
Marco Legal de la Ciberseguridad en España y Europa
- Reglamento General de Protección de Datos (RGPD): Normativa europea sobre protección de datos personales.
- Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI-CE): Regula los servicios de la sociedad de la información y las comunicaciones comerciales por medios electrónicos.
- Reglamento de Identificación Electrónica y Servicios de Confianza para las Transacciones Electrónicas (eIDAS): Marco para la identificación electrónica y los servicios de confianza en el mercado interior de la UE.
- Ley de Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP): Establece el procedimiento común para la actuación de las administraciones públicas.
- Ley de Medidas de Impulso para la Sociedad de la Información (LISI): Fomenta el desarrollo de la sociedad de la información.
- Ley de Protección de las Infraestructuras Críticas (LPIC): Protege las infraestructuras esenciales para el funcionamiento de la sociedad.
- Real Decreto-Ley de la Seguridad de las Redes y Sistemas de Información (RDL SRSI): Transpone la Directiva NIS sobre seguridad de las redes y sistemas de información.
Derechos Fundamentales del Interesado bajo el RGPD
- Derecho de Información: Al recabar datos personales, el responsable debe informar al interesado sobre el tratamiento.
- Derecho de Acceso: El interesado tendrá acceso a sus datos personales y a la información sobre su tratamiento.
- Derecho de Rectificación: El interesado podrá corregir los datos inexactos o incompletos.
- Derecho de Supresión (Derecho al Olvido): El interesado, en ciertas circunstancias, puede solicitar la supresión de sus datos.
- Derecho a la Limitación del Tratamiento: El interesado puede solicitar la limitación del tratamiento de sus datos en determinadas situaciones.
- Derecho a la Portabilidad: Puede transferir sus datos de un responsable a otro en un formato estructurado, de uso común y lectura mecánica.
- Derecho de Oposición: Puede oponerse al tratamiento de sus datos personales en determinadas circunstancias.
- Derecho a No Ser Objeto de Decisiones Individuales Automatizadas: No debe ser objeto de decisiones tomadas automáticamente con efectos jurídicos que le afecten significativamente.
Serie de Estándares ISO 27000 para la Seguridad de la Información
- ISO/IEC 27000: Proporciona una introducción a la serie de estándares ISO 27xxx, incluyendo un glosario, introducción y visión general.
- ISO/IEC 27001: Contiene los requisitos generales del SGSI, sobre el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora continua del SGSI.
- ISO/IEC 27002: Ofrece un código de buenas prácticas para la gestión de la seguridad de la información.
- ISO/IEC 27003: Proporciona directrices para la implementación de un SGSI.
- ISO/IEC 27004: Ofrece directrices para usar métricas y técnicas de medición de la eficacia de un SGSI.
- ISO/IEC 27005: Proporciona directrices para gestionar riesgos de seguridad de la información.
- ISO/IEC 27006: Establece los requisitos para la acreditación de los organismos que auditan y certifican SGSI.
- ISO/IEC 27007: Proporciona directrices para la auditoría de los controles seleccionados en la implementación de un SGSI.
Principios de Defensa en Ciberseguridad
- Cifrado de Datos: Protección de la información mediante algoritmos criptográficos.
- Gestión de Usuarios: Control y administración de las identidades y permisos de los usuarios.
- Configuración Robusta de Equipos: Aseguramiento de sistemas y dispositivos mediante configuraciones seguras.
- Separación de Redes (VLANs): Segmentación de la red para limitar la propagación de ataques.
- Seguridad Perimetral (Cortafuegos, Proxies): Protección de los límites de la red contra amenazas externas.
Jerarquía Documental en la Seguridad de la Información (N-P-D)
La relación entre Normas, Políticas y Procedimientos en seguridad de la información sigue una estructura jerárquica:
- Norma Internacional y Leyes/Reglamentos: Establecen el marco general y los requisitos legales.
- Política: Define la postura y los objetivos de seguridad de la organización, derivando de las normas y leyes.
- Normas y Directrices: Desarrollan la política, proporcionando reglas y recomendaciones más específicas.
- Procedimientos: Detallan los pasos exactos para llevar a cabo las acciones de seguridad, asegurando el cumplimiento de las directrices y políticas.
Clasificación de Políticas de Seguridad
- Política de Confidencialidad: Se centra exclusivamente en la protección de la confidencialidad de la información.
- Política de Integridad: Se enfoca únicamente en asegurar la integridad de los datos.
- Política Militar o Gubernamental: Diseñada principalmente para proporcionar confidencialidad, con un alto nivel de control de acceso.
- Política Comercial: Desarrollada principalmente para proporcionar integridad, asegurando la exactitud y completitud de los datos en entornos empresariales.
Estructura de Políticas de Seguridad según ISO
Una política de seguridad, siguiendo las directrices ISO, debe incluir los siguientes elementos:
- Resumen de la Política: Una visión general concisa en una o dos oraciones.
- Introducción: Una breve explicación del propósito y la importancia de la política.
- Alcance: Describe las partes, sistemas o actividades de una organización a las que aplica la política.
- Objetivos: Describe el propósito general y los resultados deseados de la política.
- Principios: Describe las reglas fundamentales o directrices para alcanzar los objetivos.
- Responsabilidad: Describe quién es responsable de las acciones para cumplir la política.
- Resultados Clave: Describe los resultados empresariales esperados si se cumplen los objetivos.
- Políticas Relacionadas: Describe otras políticas pertinentes para el logro de los objetivos de seguridad.
Ciclo PDCA en ISO 27001 para el SGSI
La implementación y mejora continua de un SGSI bajo ISO 27001 sigue el ciclo de Deming (Plan-Do-Check-Act):
- PLAN (Establecer el SGSI): Fase de planificación donde se definen los objetivos, procesos y recursos necesarios para el SGSI.
- DO (Implementar y Operar el SGSI): Fase de ejecución donde se implementan los controles y procesos definidos.
- CHECK (Monitorizar y Revisar el SGSI): Fase de verificación donde se monitoriza el rendimiento del SGSI y se revisa su eficacia.
- ACT (Mantener y Mejorar el SGSI): Fase de actuación donde se toman acciones correctivas y preventivas para mejorar continuamente el SGSI.
Este ciclo es circular, lo que implica una mejora continua del sistema.
Clasificación de Riesgos en Seguridad de la Información
- Riesgo Inherente:
- Estimado sin tener en cuenta las medidas de protección existentes. Representa el nivel de riesgo bruto.
- Riesgo Actual:
- Estimado teniendo en cuenta las medidas de protección existentes. Es el riesgo que la organización enfrenta en el momento presente.
- Riesgo Residual:
- Estimado teniendo en cuenta las medidas de protección existentes y las nuevas medidas planificadas. Es el riesgo que permanece después de implementar controles adicionales.
Nota sobre la representación gráfica del Riesgo Residual: En un gráfico, el eje Y representa el nivel de riesgo y el eje X el esfuerzo técnico-económico de las medidas implementadas. Una curva cóncava desde el eje Y hacia el eje X ilustra cómo el riesgo residual disminuye a medida que aumenta el esfuerzo en medidas de seguridad. La distancia desde el eje X hasta la curva representa el riesgo residual.
Métodos de Codificación de Certificados Digitales
- BER (Basic Encoding Rules):
- Mecanismos de auto-descripción y auto-delimitación de los datos. Cada elemento codificado incluye:
- Type: Codifica el tipo de dato (ej., Boolean, Integer, Enumerated).
- Length: Codifica la longitud en bytes del valor. Puede ser de forma definida o indefinida.
- Values: Codifica el valor real del dato.
- End-of-Contents: Marca el final del contenido en codificaciones de longitud indefinida.
- CER (Canonical Encoding Rules):
- Solo permite una de las codificaciones BER. Utiliza la forma indefinida para algunos casos especificados con precisión. Es apropiado si los datos no caben completamente en memoria.
- DER (Distinguished Encoding Rules):
- Solo permite una de las codificaciones BER. Siempre usa la forma definida, empleando la codificación más corta posible. Es apropiado si los datos caben en memoria y se requiere una representación única y determinista.
- Base64:
- Consiste en codificar el certificado en un sistema de numeración posicional en base 64. La codificación se encapsula entre dos cadenas (
BEGIN
yEND
). La codificación se organiza en líneas de 64 caracteres separadas por CR-LF (retorno de carro y salto de línea), excepto la última línea.
Estándares PKCS para Criptografía
PKCS#7 (Cryptographic Message Syntax – CMS)
Describe la sintaxis para representar datos (mensajes) relacionados con operaciones criptográficas, como firmas digitales y cifrado. La descripción de los mensajes se basa en ASN.1 (Abstract Syntax Notation One). Los valores generados por este estándar serán codificados en BER.
PKCS#12 (Personal Information Exchange Syntax)
Define una sintaxis para el intercambio de información personal que permite guardar múltiples objetos criptográficos (como claves privadas, certificados y otros secretos) en un mismo archivo protegido por contraseña.
Protocolo OCSP para Verificación de Certificados
El Protocolo de Estado de Certificado en Línea (OCSP) permite a las aplicaciones determinar el estado de revocación de un certificado digital. El respondedor OCSP puede devolver un código de error si el mensaje no está bien formado, si el respondedor no está preparado para el servicio solicitado o si falta información necesaria para el servicio solicitado.
Respuestas comunes del OCSP:
- Good: Indica que no hay un certificado con el número de serie enviado que esté en las listas de revocados utilizadas por el respondedor.
- Revoked: Indica que el certificado con el número de serie enviado ha sido revocado o que ese número de serie nunca ha sido emitido por la autoridad certificadora.
- Unknown: Indica que el respondedor no conoce el número de serie del certificado enviado, lo que significa que no puede proporcionar información sobre su estado.
Clasificación del Impacto de Riesgos en Ciberseguridad
- Impacto Alto:
- Implica una pérdida o destrucción de activos críticos no reparables, interrupción prolongada de los procesos de negocio, o daños significativos e irreparables en la imagen y reputación de la organización.
- Impacto Medio:
- Se refiere a la pérdida o destrucción de activos críticos que, aunque no disponen de respaldos inmediatos, son recuperables; o el robo o revelación de información confidencial con consecuencias moderadas.
- Impacto Bajo:
- Corresponde a la pérdida o inhabilitación de activos secundarios, una disminución moderada del rendimiento de los procesos de negocio, o el robo o revelación de información no publicada con consecuencias limitadas.
Esquema Nacional de Seguridad (ENS)
El Esquema Nacional de Seguridad (ENS) establece los principios básicos y requisitos mínimos para una protección adecuada de la información tratada y los servicios prestados por las administraciones públicas.
Principios Básicos del ENS:
- Seguridad como Proceso Integral: La seguridad debe ser considerada en todas las fases del ciclo de vida de los sistemas.
- Gestión Basada en los Riesgos: Las decisiones de seguridad deben basarse en una evaluación y gestión de riesgos.
- Prevención, Detección, Respuesta y Conservación: Se deben establecer mecanismos para prevenir incidentes, detectarlos, responder a ellos y preservar la evidencia.
- Líneas de Defensa: Implementación de múltiples capas de seguridad para proteger los activos.
- Vigilancia Continua: Monitorización constante de la seguridad de los sistemas.
- Reevaluación Periódica: Revisión y actualización regular de las medidas de seguridad.
- Diferenciación de Responsabilidades: Clara asignación de roles y responsabilidades en materia de seguridad.
Requisitos Mínimos del ENS:
- Organización e Implementación del Proceso de Seguridad: Establecimiento de una estructura y procesos para la gestión de la seguridad.
- Análisis y Gestión de los Riesgos: Identificación, evaluación y tratamiento de los riesgos de seguridad.
- Gestión de Personal: Formación y concienciación del personal en seguridad.
- Profesionalidad: Asegurar que el personal con responsabilidades de seguridad tenga la cualificación adecuada.
- Autorización y Control de los Accesos: Gestión de identidades y permisos de acceso a los sistemas y la información.
- Protección de las Instalaciones: Seguridad física de los centros de procesamiento de datos y equipos.
- Adquisición de Productos de Seguridad: Uso de productos y servicios de seguridad certificados o cualificados.
- Mínimo Privilegio: Asignación de los permisos estrictamente necesarios para cada función.
- Integridad y Actualización del Sistema: Mantenimiento de la integridad de los sistemas y su actualización constante.
- Protección de la Información Almacenada y en Tránsito: Medidas para proteger la información en reposo y en movimiento.
- Prevención ante Otros Sistemas de Información Interconectados: Protección en las interconexiones con sistemas externos.
- Registro de Actividad y Detección de Código Dañino: Monitorización de eventos y protección contra malware.
- Incidentes de Seguridad: Gestión y respuesta a los incidentes de seguridad.
- Continuidad de la Actividad: Planificación para asegurar la continuidad de los servicios ante interrupciones.
- Mejora Continua del Proceso de Seguridad: Revisión y optimización constante de las medidas de seguridad.
Deja un comentario