Í NDÍCE

SISTEMA DE SEGURIDAD EN WINDOWS ______________________________________________ 1

ALMACENAMIENTO DE CONTRASEÑAS EN LA BASE DE DATOS DE CUENTAS ________________ 1

PROTOCOLO NETBIOS __________________________________________________________ 2

MODELO BELL-LAPADULA _________________________________________________________ 2

MODELO CLARK-WILSON _________________________________________________________ 3

REGLAS DE INTEGRIDAD _________________________________________________________ 4

REQUERIMIENTOS PARA SERVICIOS DE SEGURIDAD INFORMÁTICA _______________________ 5

MODELO TAKE-GRANT ___________________________________________________________ 6

DESCRIPCIÓN DEL MODELO DE TAKE-GRANT ________________________________________ 6

MODELO GOGUEN-MESEGUER _____________________________________________________ 7

VIRTUALIZACIÓN ______________________________________________________________ 8

EL MODELO – LA SEMÁNTICA DEL LENGUAJE ________________________________________ 9

MODELO DE MATRICES DE ACCESO _________________________________________________ 9

ELEMENTOS EN GRAHAM-DENNING ______________________________________________ 10

DERECHOS ESPECIALES EN EL MODELO DE GRAHAM-DENNING _________________________ 10

OCHO COMANDOS EN EL MODELO DE GRAHAM-DENNING ____________________________ 10

OBJETIVOS DEL TRABAJO DE HRU ________________________________________________ 11

SISTEMAS DE PROTECCIÓN _____________________________________________________ 12

EL ESTADO DE UN SISTEMA DE PROTECCIÓN _______________________________________ 12

COMANDOS: EJEMPLOS ________________________________________________________ 12

CRITERIO DE EVALUACION TCSEC __________________________________________________ 13

OBJETIVOS Y REQUISITOS FUNDAMENTALES _______________________________________ 13

POLÍTICA ____________________________________________________________________ 13

RESPONSABILIDAD ____________________________________________________________ 13

GARANTÍA ___________________________________________________________________ 14

DOCUMENTACIÓN ____________________________________________________________ 14

DIVISIONES Y CLASES __________________________________________________________ 14

D - La protección mínima _____________________________________________________ 15

C - Protección Discrecional ___________________________________________________ 15

B - Protección obligatoria ____________________________________________________ 15

A - Protección Verified _______________________________________________________ 16

CLASES DE JUEGO A LOS REQUISITOS AMBIENTALES _________________________________ 16

CRITERIO DE EVALUACION ITSEC _________________________________________________ 16

OBJETIVOS DE LA NORMA ______________________________________________________ 17

QUE ES LO QUE BUSCA LOGRAR _________________________________________________ 17

POSIBILIDADES DE IMPLEMENTACION ____________________________________________ 18

CRITERIOS DE EVALUACION CC ____________________________________________________ 18

FUNCIONAMIENTO ____________________________________________________________ 18

PERFILES DE PROTECCION ______________________________________________________ 19

LA NORMA ISO 17799 (27001) ____________________________________________________ 19

¿QUÉ ES LA ISO/IEC 27000? _______________________________________________________ 20

NORMAS Y LEGISLACIÓN INFORMÁTICA INTERNACIONAL ______________________________ 21

NORMAS DE EVALUACIÓN Y CERTIFICACIÓN ________________________________________ 21

NORMAS Y LEGISLACIÓN INFORMÁTICA NACIONALES ________________________________ 21

PROTECCIÓN DE DATOS PERSONALES: ____________________________________________ 22

PROPUESTAS EN POLÍTICA INFORMÁTICA NACIONAL - SECTORES SOCIAL Y PRIVADO: _______ 22

1

SISTEMA DE SEGURIDAD EN WINDOWS

ALMACENAMIENTO DE CONTRASEÑAS EN LA BASE DE DATOS DE CUENTAS

Los registros de usuario se almacenan en la base de security accounts manager

(SAM) o en la base de datos de Active Directory. Cada cuenta de usuario está

asociado con dos contraseñas: la contraseña compatible con LAN Manager y la

contraseña de Windows. Así cada contraseña estará cifrada y almacenada en la

base de datos SAM o en la base de datos de Active Directory.

La contraseña LAN Manager se basa en el juego de caracteres de fabricante de

equipos originales (OEM). Este tipo de contraseña no distingue mayúsculas de

minúsculas y puede tener hasta 14 caracteres. La versión OWF de esta

contraseña es también conocida como la versión OWF LAN Manager o ESTD.

Esta contraseña se calcula mediante el uso de cifrado DES para cifrar una

constante con la contraseña de texto sin cifrar. La contraseña de LAN Manager

OWF tiene la característica de longitud de 16 bytes. Los primeros 7 bytes de la

contraseña de texto sin cifrar se utilizan para calcular los 8 primeros bytes de la

contraseña de LAN Manager OWF. Los otros 7 bits restantes de la contraseña de

texto sin cifrar se utilizan para los segundo 8 bytes de la contraseña de LAN

Manager OWF del equipo. La contraseña de Windows se basa en el juego de

caracteres Unicode. Dentro de los conocidos service pack existen las

actualizaciones y o mejoras de los mismos como ejemplo tenemos a Windows

2000 con su Service Pack 2 aunque también se encuentra en versiones

posteriores de Windows, es aquí donde se encuentra disponible una configuración

que le permite impedir que Windows almacene un hash de LAN Manager de su

contraseña.

Un dato importante es que Windows utiliza la API LsaLogonUser para todos los

tipos de autenticaciones de usuario, esto se debe a que LsaLogonUser tiene la

función principal de seguridad para autenticar datos de inicio de sesión mediante

el uso de la información almacenada en las credenciales.

Si la autenticación es correcta, esta función crea una nueva sesión de inicio de

sesión y devuelve un token de usuario. Internamente, el paquete de autenticación

MSV se divide en dos partes.

LsaLogonUser admite inicios de sesión interactivos, los inicios de sesión de

servicio y los inicios de sesión de red. Cuando se inicia una sesión interactiva, los

inicios de sesión por lotes y los inicios de sesión del servicio, el cliente de inicio de

2

sesión es en el equipo que está ejecutando la primera parte del paquete de

autenticación MSV.

La primera parte del paquete de autenticación MSV convierte la contraseña de

texto sin cifrar para una contraseña de LAN Manager OWF y una contraseña de

Windows NT OWF. (Soporte, 2014)

PROTOCOLO NETBIOS

Una de las características principales de las redes Windows, es el protocolo NetBios, algunos lo llaman bug, pero realmente, estan equivocados. NetBios es el protocolo de redes Microsoft, que aporta opciones como resolución de Nombres de máquinas en una misma red, sin necesidad de DNS, es lo que podriamos llamar equipos próximos. Funciona a través del puerto TCP 139, y permite mostrar los recursos compartidos de una máquina.

El principal problema de este protocolo, es que no esté filtrado hacia Internet, es decir, que utilizarlo en la red local es totalmente seguro, no obstante los sistemas Windows, por defecto aplican el protocolo NetBIOS a todas las conexiones de red, tanto de acceso telefónico como de red local.

Principalmente, el sistema operativo más vulnerable es Windows95-98-ME, y también el más extendido en el mundo. Lo que convierte a cualquier usuario con unos conocimientos mínimos de informática, en un peligroso enemigo, pues puede hacerse con toda la información que tengamos en nuestra máquina, sin necesidad de ningún software especial, solamente necesitan una máquina con Windows y conexión a Internet.

MODELO BELL-LAPADULA

Su objetivo de este modelo es la confidencialidad de los datos, es decir, prevenir

el acceso no autorizado a la información de la organización y sobre todo su

modificación de esta misma, para así poder controlar el flujo de información. Este

tipo de modelo, se ha ocupado en sistemas militares, los cuales lo dividen en 4

niveles de seguridad: alto secreto, secreta, confidencial, no clasificado.

Como este modelo solo se encarga de la confidencialidad y no de su integridad

por los datos, existen 2 tipos de entidades, que son sujeto y objeto, los cuales en

base a ellos, se puede decir que un sistema puede estar en estado seguro si uno

de ellos, ya sea sujeto u objeto, tienen concordancia con la política de seguridad.

Podemos decir que ante un requerimiento, el sistema dará acceso o no, teniendo

en cuenta la habilitación del sujeto y la clasificación del objeto.

3

Este modelo tiene dos principios o reglas:

Read down, que es cuando una persona puede leer si tiene permiso.

Write up, que es en caso de que una persona quiera escribir, si tiene el

permiso.

El modelo define 2 reglas de control de acceso mandatorio (MAC) y una regla de control de acceso discrecional (DAC) con 3 propiedades:

1) Propiedad de seguridad simple: Un sujeto de un determinado nivel de seguridad no puede leer un objeto perteneciente a un nivel de seguridad más alto.

2) Propiedad (Propiedad estrella): Un sujeto de un determinado nivel de seguridad no puede escribir un objeto perteneciente a un nivel de seguridad más bajo. (También llamada propiedad de confinamiento).

3) Propiedad de seguridad discrecional: Se utiliza una matriz de acceso para especificar el control de acceso discrecional.

Con Bell-LaPadula, los usuarios pueden crear contenido sólo en su nivel de seguridad o por encima. Inversamente, los usuarios pueden ver solamente contenido de su propio nivel o inferior.

PRINCIPIO DE LA TRANQUILIDAD

En este principio se basa en 2 formas:

Principio de la tranquilidad fuerte.

Principio de la tranquilidad débil.

MODELO CLARK-WILSON

El modelo de Clark-Wilson está orientado netamente a la integridad de la

información, buscando se mantengan los datos libres de modificaciones no

autorizadas, es decir que cada ente se encargue únicamente de sus funciones sin

interferir o realizar las de otro ente. Esto certifica de cierta manera, el correcto

entendimiento y funcionamiento de la información a nivel interno como externo.

Las transacciones correctas son las que pretenden garantizar que un usuario

pueda modificar información de manera aleatoria, es decir, que solo puedan

generarse modificaciones en registros, y/o situaciones específicas en forma

determinada, restringiendo los posibles cambios incorrectos.

El control de separación de obligaciones, trata de mantener la consistencia de la

información, separando las operaciones o acciones según el perfil al cual

4

pertenezca el sujeto que ejecutará el cambio, es decir un usuario puede iniciar una

transacción pero no está autorizado para ejecutarla o validarla.

En el modelo se representan dos grupos de datos tales como los elementos de

datos restringidos (CDIs) que son elementos u objetos cuya integridad debe

mantenerse, y los elementos de datos no restringidos (UDIs) que son elementos u

objetos que no están cubiertos por las políticas de integridad.

su vez se definen dos procedimientos que permiten mantener la consistencia

interna y externa de los datos como son los procedimientos de verificación de

integridad y los procedimientos de transformación.

Los procedimientos de verificación de integridad (IVP) tienen el propósito de

confirmar que todos los CDIs se encuentren en un estado valido con relación a la

integridad del mismo

REGLAS DE INTEGRIDAD

Las reglas a aplicar dentro del modelo permiten garantizar que la integridad sea alcanzada y preservada. Este modelo consta de nueve reglas las cuales se dividen entre: Monitoreo-Integridad (Reglas de Certificación) y Preservación-Integridad (Reglas de Ejecución). • Las Reglas de Certificación (C), envuelven el análisis humano y la decisión tomada hasta que alguna automatización sea posible. Son ejecutadas por el administrador. • Las Reglas de Ejecución (E), son de aplicación independiente, son fáciles de

implementar en el sistema. Son garantizadas por el sistema.

Se puede obtener las reglas que relacionan, la consistencia interna y externa de la información: 1. C1 (Certificación IVP): Todos los IVPs deben asegurar de manera apropiada que los CDIs se encuentren en un estado válido en el momento en el cual el IVP se encuentra en ejecución. 2. C2 (Validez): Todos los TPs deben estar certificados para ser válidos. Esto

significa que transforman un CDI a un estado final válido, si el CDI está en un

estado válido al inicio. Cada TP debe estar certificado para un conjunto específico

de CDIs.

3. E1 (Ejecución de Validez): El sistema debe mantener una lista de las relaciones

de la regla C2 y debe asegurar que cualquier manipulación de un CDI sea

mediante un TP y se encuentre autorizada por alguna relación.

Para el control de separación de obligaciones se deben tener en cuenta las siguientes reglas:

5

1. E2 (Ejecución de Separación de Obligaciones): El sistema debe mantener una lista de relaciones que enlacen al usuario, al TP y los CDIs que el TP debe manipular a favor de ese usuario. 2. C3: La lista de relaciones de E2 debe estar certificada para conocer la

separación de la obligación requerida.

1. E3 (Identidad de Usuario): Los usuarios que invocan TPs deben ser

autenticados.

2. C4 (Certificación de Bitácora): Todos los TPs deben estar certificados para que

puedan tener entrada en los Logs.

3. C5: Los TPs que transforman UDIs a CDIs deben estar certificados.

4. E4 (Iniciación): Sólo ciertos usuarios designados deben especificar las

relaciones. (Gollman, 2006)

FIGURA 1.1 Clases de acceso.

REQUERIMIENTOS PARA SERVICIOS DE SEGURIDAD INFORMÁTICA

En el modelo se identifican los siguientes requerimientos para los servicios de seguridad informática, que son: • En el cambio de registros y etiquetas de integridad, se almacenan los datos

en conjunto con la autoría, esto con el fin de soportar la política de atribución de

cambios. Por otro lado, la etiqueta deintegridad registra que los cambios fueron

certificados por el IVP y que el dominio de integridad fue utilizado, implicando que

todos los valores no nulos que contiene la base de datos para un determinado

atributo deben ser del dominio declarado para dicho atributo.

6

• Para que el soporte del acceso triple se ejecute en la política de cambio

restringido, enlaza al usuario, al programa y a los datos. Mediante esta política se

establece que usuario tiene permisos a que aplicación y por ende a cuales datos.

• Se habla de autenticaciones mejoradas cuando así la autenticación sea necesaria para la confidencialidad de los datos al momento de mantener la integridad, rigiéndose por la política de separación de obligaciones. Estas contraseñas pueden ser reveladas permitiendo realizar actividades por una misma persona que está ingresando con dos usuarios diferentes que deberían ser usados por personas diferentes, violando de esta manera las reglas de separación de obligaciones. • El control de usuarios a los cuales se les da privilegios debe ser ejecutada por las personas que mantienen los accesos triples, es decir, a aplicaciones, datos y enlace a usuarios. • En el control del programa de aplicaciones un sistema necesita herramientas

automatizadas para manejar las aplicaciones de software y asegurar su integridad

que a su vez deben ser controladas.

• En la Separación dinámica de las obligaciones relacionada a los TPs se

requiere que para cumplir con un objetivo se realice una serie de pasos por

diferentes personas, esto sirve para identificar quien ha realizado qué, y realizar la

separación de funciones sin que perturbe el funcionamiento normal de las

actividades.

MODELO TAKE-GRANT

Uno de los requisitos mínimos de seguridad del sistema informático es la presencia de control de acceso a la información. Esto significa que el sistema debe organizarse para que los usuarios sólo tengan acceso a la información que necesitan para realizar sus tareas. Para este propósito se desarrolló una serie de modelos matemáticos para control de acceso. Uno de los modelos más desarrollados a fondo-es la protección Take-Grant modelo. El concepto central de este modelo es un estado seguro. El modelo identifica criterios de los estados de seguridad. Este artículo ofrece varios métodos para determinar la seguridad del estado del sistema informático basado en el modelo de protección de Take-Grant.

DESCRIPCIÓN DEL MODELO DE TAKE-GRANT

Un sistema de ordenador en el modelo de Toma-Grant se representa como un gráfico dirigido (Llamado un gráfico protección) cuyos vértices son los sujetos y objetos del Sistema informático y los arcos son el derecho de acceso ajustado de sujetos a objetos. Adición a los derechos de acceso estándar, tales como la lectura o escritura en el Take-Grant introduce dos derechos de acceso adicional: Tome (t)

7

es el derecho de tomar cualquier derecho de acceso del sujeto, y Grant (g) es el derecho a ceder sus derechos de acceso a cualquier tema. Un análisis de la gráfica original puede determinar que es posible un tema en particular a obtener acceso a un objeto en particular para un cierto número de pasos. Esto significa que el análisis nos permite determinar la posibilidad de modificar el gráfico original, por lo que entre los dos vértices serán el arco que no existía en el gráfico original. El modelo Take-Grant usa gráficos dirigidos para especificar los derechos que un sujeto puede transferir a un objeto o que un sujeto puede tomar desde otro sujeto. Este modelo basado en grafos dirigidos, cuyos arcos son etiquetados con letras

que representan las operaciones. Dentro de este modelo se manipulan los grafos

como objetos formales, donde un vértice representa un usuario, y la etiqueta r

representa el privilegio de lectura, w escritura y c al llamado de procesos o

funciones. Basados en estas convenciones tenemos que si existe un arco de x a z,

con la etiqueta r, se puede interpretar como “x puede leer z”.

MODELO GOGUEN-MESEGUER

Este modelo también conocido como el “modelo de no interferencia”, permite

resolver el problema de la confidencialidad en sistemas de cómputo, su propósito

es que un grupo de usuarios no sepa acerca de los intereses de otro grupo de

usuarios.

Este modelo fue utilizado por primera vez por los militares, ya que ellos les

preocupaban mucho en cómo proteger los datos en sus sistemas de cómputo.

Para ello, ellos tuvieron que darles a ciertas personas con clases de acceso, que

en otras palabras podemos decir que son los niveles de seguridad que hacen dar

la autorización de ver y proteger los datos que otras personas no tienen acceso a

este tipo de información.

Se dice que este modelo, logra que un sistema multiusuario sea eficientemente

seguro, pero no es nada fácil. Podemos dar a entender, que en una organización

es importante el ser divididos en dos grupos de clases de acceso, ya sea superior

o inferior, para evitar la no confidencialidad de los datos.

El modelo de no interferencia, trabaja con dos aproximaciones:

Estático: analiza el código estático, tipos de sistemas, y compiladores que

certifican.

Dinámico: modelo subyacente que controla cada proceso para asegurar la

no interferencia.

8

La aproximación estática, es más dominante, pero la verdad es que es no es muy

eficiente o aplicables por los cual, los sistemas operativos como Linux y Windows,

no la aplican, si no que trabajan con una forma dinámica.

Para comprobar esto, se realizó un proceso llamado “Etiquetado de variables”, en

el cual como su nombre lo dice, se encarga de etiquetar una variable en un

proceso con la clase de acceso que tiene durante ese proceso, en el cual se basa

en el modelo de control de flujo de la información de Denning, pero resulta que no

es muy eficiente, ya que tiene problemas con los lenguajes máquina.

Por lo tanto, en proceso dinámico, que se basa en un proceso cuando quiere

acceder información de un nivel superior al que accede hasta ese momento, de

esta forma cada proceso accede información hasta cierto nivel. Además, todos los

procesos que se originan de esta forma comparten la entrada según el nivel que

esta tenga.

VIRTUALIZACIÓN

Decimos que el modelo se basa en virtualización porque el sistema se comporta

como si hubiera una computadora por cada nivel de seguridad.

Por ejemplo, si uno ejecuta vi secret_file public_file, el sistema crea dos procesos

para vi: uno accede a ambos archivos pero solo puede escribir en el archivo

secreto (H), en tanto que el otro accede ´únicamente al archivo público (L) pero

puede modificarlo. Además, cuando el usuario escriba algo, si la entrada es

publica, ambos procesos la recibirán.

De esta forma, parece como si cada proceso vi ejecutara en una computadora

diferente, cada una de las cuales procesa información hasta cierto nivel, pero

ambas conectadas a la misma E/S.

El modelo – La gramática del lenguaje

El modelo formal presentado en esta charla es muy abstracto y el ´único fin es

mostrar sus elementos primordiales.

Expr ::= N | V AR | V AR | &V AR | Expr Expr

BasicSentence ::=

skip | var := Expr | var := Expr | syscall(N, arg1, .

. . , argn)

ConditionalSentence ::=

if Expr then Program fi | while Expr do Program done

BasicAndConditional ::= BasicSentence | ConditionalSentence

Program ::= BasicAndConditional | Program ; Program

9

EL MODELO – LA SEMÁNTICA DEL LENGUAJE

MODELO DE MATRICES DE ACCESO

Lampson 1971 “practicas”

Graham y Denning “Principios y prácticas”

Harrison, ruzzo, y Ullman “Protección en sistemas operativos”

Las matrices de acceso están formados por un conjunto de sujetos (S), objetos

(O), y de derechos (R), en donde existe una fila para cada sujeto, una columna

para sujeto/objeto y sobre todo los elementos son derechos de un sujeto a otro, o

también en un objeto.

La base de toda matriz de acceso es uq e se centra en el control de acceso de los

sistemas operativos. Lo cual, su propósito es explorar las diversas

discrecionalidades en el control de acceso.

En esta modelo de Graham, existen 7 niveles de protección:

1) sin compartir en absoluto.

2) Intercambios de copias programas o archivos datos.

3) Compartir originales de programas o archivos de datos.

4) Compartir sistemas de programación o subsistemas.

5) Permitir la cooperación de mutuo sospechoso subsistema, por

ejemplo, la depuración del subsistema.

6) Proporcionar los sistemas de memoria-menos

7) Proporcionar subsistemas certificados.

10

ELEMENTOS EN GRAHAM-DENNING

Objetos: tienen un identificador único.

Sujeto:

Un sujeto en un par (proceso, dominio).

Forjar un identificador sujeto es imposible (autenticación).

Estado de protección:

Modelada usando una matriz de acceso (también puede

representarse como un gráfico).

No es modelado de accesos actuales (solo permisos de acceso):

Si esta es suficiente depende de las propiedades de ser estudiado.

DERECHOS ESPECIALES EN EL MODELO DE GRAHAM-DENNING

Cada derecho sujeto/objeto tiene un dueño.

Cada sujeto tiene un controlador.

Un derecho puede ser transferible o no transferible.

OCHO COMANDOS EN EL MODELO DE GRAHAM-DENNING

1. sujeto x crea objetos o

ninguna condición previa

agregar la columna para la o

colocar `propietario 'en A [x, o]

2. sujeto x crea s sujetos

ninguna condición previa

11

agregar filas y columnas para la s

colocar `control ',` propietario' en A [x, s]

3. sujeto x destruye objeto o

requisito: `propietario 'en A [x, o]

eliminar la columna o

4. sujeto x destruye s sujetos

requisito: `propietario 'en A [x, s]

eliminar filas y columnas para la s

5. sujeto x otorga un derecho r / r * en el objeto o para s sujetos

requisito: `propietario 'en A [x, o]

tiendas de r / r * en A [s, o]

6. sujeto x transfiere un derecho r / r * en el objeto o

a sujetos s

requisito: r * en A [x, o]

tiendas de r / r * en A [s, o]

7. sujeto x borra derecha r / r * en el objeto o de s sujetos

requisito: `control 'en A [x, s] o` propietario' en

A [x, o]

eliminar r / r * de A [s, o]

8. sujetas x cheques qué derechos s sujeto tiene el objeto o [w: = s leen, o]

requisito: `control 'en A [x, s] O` propietario' en

A [x, o]

copie A [s, o] para w

Esto no afecta el estado de protección. Funciones de revisión de políticas útil en el análisis de los comportamientos externos del sistema de protección, no está claro por qué se necesita en este papel.

OBJETIVOS DEL TRABAJO DE HRU

Proporciona un modelo lo suficientemente potente para codificar los métodos del control de acceso, y lo suficientemente precisas para que las propiedades de seguridad puedan ser analizadas. Esto ayuda a dar a conocer el Problema de seguridad, y demostrar dicho problema, lo cual nos lleva a que puede ser decidible en ciertos casos o indecidible de manera generar (o en ciertos casos monótona).

12

SISTEMAS DE PROTECCIÓN

Un sistema de protección tiene: Un finito conjunto de derechos genéricos R. Un conjunto finito de comandos C.

Un sistema de protección es un estado de sistema. Para modelar un sistema, especifique las siguientes constantes:

Conjunto de todos los sujetos posibles Conjunto de todos los objetos posibles

EL ESTADO DE UN SISTEMA DE PROTECCIÓN

Un conjunto de objetos O Un conjunto de sujetos que son subconjuntos de objetos. Una matriz de control de acceso:

Un fila para cada sujeto

Una columna para objeto

Cada celda contiene un derecho.

COMANDOS: EJEMPLOS

command GRANT_read(x1,x2,y) if `own’ in [x1,y] then enter `read’ into [x2,y] end command CREATE_object(x,y) create object y enter `own’ into [x,y] end

Sintaxis de un comando:

command a(X1, X2, …, Xk) if r1 in (Xs1, Xo1) and … and rm in (Xsm, Xom) then op1 … opn end

13

CRITERIO DE EVALUACION TCSEC

Trusted Computer System Criterios de evaluación es un Gobierno de los Estados Unidos Departamento de Defensa de la norma que establece los requisitos básicos para la evaluación de la eficacia de los controles de seguridad informática integrada en un sistema informático. El TCSEC se utilizó para evaluar, clasificar y seleccionar los sistemas informáticos que están siendo consideradas para la elaboración, el almacenamiento y recuperación de información sensible o clasificada.

El TCSEC, a menudo referido como el Libro Naranja, es la pieza central de la serie Rainbow publicaciones del Departamento de Defensa. Inicialmente publicado en 1983 por el Centro Nacional de Seguridad Informática, un brazo de la Agencia de Seguridad Nacional, y luego actualizó en 1985 - TCSEC fue reemplazado por el estándar internacional Common Criteria publicado originalmente en 2005.

OBJETIVOS Y REQUISITOS FUNDAMENTALES

El Libro Naranja o DODD 5200.28-STD fue cancelado por DODD 8500.1 el 24 de octubre de 2002.

POLÍTICA

La política de seguridad debe ser explícita y bien definida y ejecutada por el sistema informático. Hay dos políticas básicas de seguridad:

Política de seguridad obligatoria - Hace cumplir las normas de control de acceso basado directamente en el aclaramiento de la persona, la autorización para la información y el nivel de confidencialidad de la información que se busca. Otros factores indirectos son física y del medio ambiente. Esta política también debe reflejar con precisión las leyes, las políticas generales y otras orientaciones pertinentes de la que se derivan las reglas.

Etiquetado - Sistemas diseñados para hacer cumplir una política de seguridad obligatoria deben almacenar y conservar la integridad de las etiquetas de control de acceso y conservar las etiquetas si el objeto se exporta.

Política de Seguridad discrecional - Aplica un conjunto coherente de normas para el control y la limitación de acceso en función de los individuos identificados que se ha determinado que tienen la necesidad de conocer la información.

RESPONSABILIDAD

La responsabilidad individual, independientemente de la política debe ser aplicada. Un medio seguro debe existir para garantizar el acceso de un agente autorizado y competente que puede evaluar la información de la rendición de cuentas dentro de

14

un plazo de tiempo razonable y sin excesiva dificultad. Hay tres requisitos incluidos en el objetivo de rendición de cuentas:

Identificación - El proceso utilizado para reconocer a un usuario individual. Autenticación - La verificación de la autorización de un usuario individual a

categorías específicas de información. Auditoría - Auditoría de la información se debe mantener de manera

selectiva y protegida para que las acciones que afectan a la seguridad se remontan al individuo autenticado.

GARANTÍA

El sistema informático debe contener mecanismos de hardware/software que se pueden evaluar de forma independiente para ofrecer garantías suficientes de que el sistema hace cumplir los requisitos anteriores. Por extensión, la garantía debe incluir una garantía de que la parte de confianza de que el sistema sólo funciona según lo previsto. Para lograr estos objetivos, se necesitan dos tipos de seguridad con sus respectivos elementos:

Mecanismos de garantía Garantía de funcionamiento: Arquitectura del sistema, la integridad del

sistema, análisis de canal Covert, Facility Management confiable y recuperación de confianza

Aseguramiento del ciclo de vida: Pruebas de seguridad, características de diseño y verificación, gestión de la configuración y del sistema de distribución confiable

Garantía de protección continua - Los mecanismos de confianza que hacen cumplir estos requisitos básicos se debe proteger constantemente contra la manipulación y/o cambios no autorizados.

DOCUMENTACIÓN

Dentro de cada clase hay conjunto de documentación adicional que se ocupa del desarrollo, la implementación y la gestión del sistema en lugar de sus capacidades. Esta documentación incluye:

Características de seguridad Guía del usuario, manual de instalación confiable, documentación de prueba y documentación de diseño.

DIVISIONES Y CLASES

El TCSEC define cuatro divisiones: D, C, B y A, donde la división A tiene la más alta seguridad. Cada división representa una diferencia significativa en la confianza de un individuo u organización puede colocar en el sistema de evaluación. Además divisiones C, B y A se divide en una serie de subdivisiones jerárquicas llamadas clases: C1, C2, B1, B2, B3 y A1.

15

Cada división y de clase se expande o modifica según se indica los requisitos de la división o categoría inmediatamente anterior.

D - La protección mínima

Reservado para aquellos sistemas que han sido evaluados, pero que no cumplen con los requisitos para una división más alta

C - Protección Discrecional

C1 - Protección Seguridad discrecional o Identificación y autenticación o La separación de usuarios y los datos o Control de acceso discrecional capaz de hacer cumplir las

limitaciones de acceso de forma individual o Documentación requerida del sistema y manuales de usuario

C2 - Protección de acceso controlado o Más de grano fino DAC o La responsabilidad individual a través de procedimientos de inicio de

sesión o Las pistas de auditoría o Reutilización de objetos o Aislamiento de Recursos

B - Protección obligatoria

B1 - Protección de Seguridad Etiquetada o Declaración oficiosa del modelo de política de seguridad o Etiquetas de sensibilidad de datos o Control de acceso obligatorio sobre sujetos y objetos seleccionados o Capacidades de exportación etiquetas o Todos los defectos descubiertos deben ser retirados o mitigados de

otro modo o Especificaciones de diseño y verificación

Protección estructurado - B2 o Modelo de política de seguridad claramente definido y documentado

formalmente o DAC y ejecución MAC extenderse a todos los sujetos y objetos o Canales de almacenamiento Covert son analizados para la aparición

y el ancho de banda o Cuidadosamente estructurados en elementos de protección críticos y

no críticos protección o Diseño e implementación permiten a las pruebas más exhaustivo y

revisión o Los mecanismos de autenticación se fortalecen o Gestión de instalaciones fiables dispone de administrador y operador

de la segregación o Controles de gestión de la configuración Se imponen estrictos

B3 - Dominios de Seguridad

16

o Satisface los requisitos de monitores de referencia o Estructurado para excluir código no es esencial para la aplicación de

la política de seguridad o Ingeniería de sistemas significativo dirigido a minimizar la

complejidad o Función de administrador de seguridad define o Auditoría eventos relevantes para la seguridad o Detección automática inminente intrusión, la notificación y la

respuesta o Procedimientos de recuperación del sistema de confianza o Canales de tiempo Covert son analizados para la aparición y el

ancho de banda o Un ejemplo de tal sistema es la XTS-300, un precursor de la XTS-

400

A - Protección Verified

A1 - Diseño Verificado o Funcionalmente idéntica a B3 o Diseño formal y técnicas de verificación que incluye una

especificación formal de nivel superior o Procedimientos de gestión y distribución Formal o Un ejemplo de tal sistema es seguro del procesador de

comunicaciones SCOMP de Honeywell, un precursor de la XTS-400 Más allá de A1

o Arquitectura del sistema demuestra que los requisitos de auto-protección y la integridad de los monitores de referencia se han implementado en la base informática de confianza.

o Pruebas de seguridad genera de forma automática de casos de prueba a partir de la especificación de alto nivel formal o especificaciones de nivel inferior formales.

o Especificación y verificación es que la TCB se verifica a nivel de código fuente, utilizando métodos de verificación formal cuando sea posible.

o Entorno de diseño confiable es donde la TCB está diseñado en un centro de confianza con sólo el personal de confianza.

CLASES DE JUEGO A LOS REQUISITOS AMBIENTALES

Reglamento 380-19 del Ejército es un ejemplo de una guía para determinar qué clase de sistema se debe utilizar en una situación dada.

CRITERIO DE EVALUACION ITSEC

El ITSEC es un sistema estructurado de los criterios para la seguridad de

evaluación de la computadora dentro de productos y de sistemas.

17

El producto o el sistema que es evaluado, llamado blanco de la evaluación, se

sujeta a una examinación detallada de sus características de la seguridad que

culminan en la prueba funcional y de la penetración comprensiva e informada.

OBJETIVOS DE LA NORMA

El objetivo del proceso de evaluación es permitir al evaluador la preparación de un

informe imparcial en el que se indique si el sistema bajo estudio satisface o no su

meta de seguridad al nivel de confianza precisado por el nivel de evaluación

indicado.

Los criterios establecidos en ITSEC permiten seleccionar funciones de seguridad

arbitrarias (objetivos de seguridad que el sistema bajo estudio debe cumplir

teniendo presentes las leyes y reglamentaciones).

QUE ES LO QUE BUSCA LOGRAR

• Confidencialidad: Es decir la prevención de la declaración no autorizada de

la información.

• Integridad: Es decir la prevención a modificaciones no autorizadas de la

información

• Disponibilidad: La prevención del ocultamiento no autorizado de información

o recursos informáticos.

NIVELES DE SEGURIDAD

E0 Sistemas que no han implantado ninguna medida de seguridad

E1 Medidas discrecionales para proteger los datos de los intrusos

E2 sistemas en los que se exige palabras de acceso y se verifican con

auditorías

E3 Plan de seguridad. El control de acceso es obligatorio y un

responsable de seguridad debe decidir que cierta información sólo

pueda ser accedida por personas de confianza

E4 Sistemas más seguros. La auditoria es otra exigencia. Política de

seguridad estricta

E5 un plan detallado de procedimientos para recuperación

18

POSIBILIDADES DE IMPLEMENTACION

El proceso de evaluación incluye la certificación de que un producto software

específico verifica los siguientes aspectos:

Los requisitos del producto están definidos correctamente.

Los requisitos están implementados correctamente.

El proceso de desarrollo y documentación del producto cumple con ciertos

requisitos previamente establecidos.

CRITERIOS DE EVALUACION CC

Surgen como resultado de la armonización de los criterios sobre seguridad de

productos software ya utilizados por diferentes países con el fin de que el

resultado del proceso de evaluación pudiese ser aceptado en múltiples países.

Los CC permiten comparar los resultados entre evaluaciones de productos

independientes. Para ello, se proporcionan un conjunto común de requisitos

funcionales para los productos de TI (Tecnologías de la Información). Estos

productos pueden ser hardware, software o firmware. El proceso de evaluación

establece un nivel de confianza en el grado en el que el producto TI satisface la

funcionalidad de seguridad de estos productos y ha superado las medidas de

evaluación aplicadas. Los CC son útiles como guía para el desarrollo, evaluación o

adquisición de productos TI que incluyan alguna función de seguridad.

FUNCIONAMIENTO

Con el fin de poder certificar un producto según los Criterios Comunes se deben comprobar, por parte de uno de los laboratorios independientes aprobados, numerosos parámetros de seguridad que han sido consensuados y aceptados por 22 países de todo el mundo. El proceso de evaluación incluye la certificación de que un producto software específico verifica los siguientes aspectos:

Los requisitos del producto están definidos correctamente. Los requisitos están implementados correctamente. El proceso de desarrollo y documentación del producto cumple con ciertos

requisitos previamente establecidos.

Los Criterios Comunes establecen entonces un conjunto de requisitos para definir las funciones de seguridad de los productos y sistemas de Tecnologías de la Información y de los criterios para evaluar su seguridad. El proceso de evaluación, realizado según lo prescrito en los Criterios Comunes, garantiza que las funciones de seguridad de tales productos y sistemas reúnen los requisitos declarados. Así, los clientes pueden especificar la funcionalidad de seguridad de un producto en

19

términos de perfiles de protección estándares y de forma independiente seleccionar el nivel de confianza en la evaluación de un conjunto definido desde el EAL1 al EAL7.

PERFILES DE PROTECCION

Un conjunto de objetivos y requisitos de seguridad, independiente de la implantación, para un dominio o categoría de productos que cubre las necesidades de seguridad comunes a varios usuarios. Los perfiles de protección son reutilizables y normalmente públicos y están compuestos de:

Requisitos funcionales (SFR, Security Funcional Requirement) proporcionan mecanismos para hacer cumplir la política de seguridad. Como ejemplos de requisitos funcionales mencionar la protección de datos de usuario, el soporte criptográfico, la autenticación, la privacidad o el control de acceso.

Requisitos de confianza o aseguramiento (SAR, Security Assurance Requirement) proporcionan la base para la confianza en que un producto verifica sus objetivos de seguridad.

Los requisitos de confianza se han agrupado en niveles de confianza en la evaluación (EAL, Evaluation Assurance Levels) que contienen requisitos de confianza construidos específicamente en cada nivel. Los EALs proporcionan una escala incremental que equilibra el nivel de confianza obtenido con el coste y la viabilidad de adquisición de ese grado de confianza. El incremento de confianza de un EAL a otro se obtiene incrementando rigor, alcance y/o profundidad en el componente y añadiendo componentes de confianza de otras familias de confianza (por ejemplo, añadiendo nuevos requisitos funcionales).

LA NORMA ISO 17799 (27001)

Presenta normas, criterios y recomendaciones básicas para establecer

políticas de seguridad.

Estas van desde los conceptos de seguridad física hasta los de seguridad

lógica.

Parte de la norma elaborada por la BSI, British Standards Institution,

adoptada por International Standards Organization ISO y la International

Electronic Commission

IEC.

Documento de 70 páginas no de libre distribución.

Desde finales de 2005 estas normas se están revisando y cambiando de

numeración a partir del número 27001.

20

ISO 17799 es una norma internacional que ofrece recomendaciones para realizar

la gestión de la seguridad de la información dirigidas a los responsables de iniciar,

implantar o mantener la seguridad de una organización.

● ISO 17799 define la información como un activo que posee valor para la

organización y requiere por tanto de una protección adecuada. El objetivo de la

seguridad de la información es proteger adecuadamente este activo para asegurar

la continuidad del negocio, minimizar los daños a la organización y maximizar el

retorno de las inversiones y las oportunidades de negocio.

● La seguridad de la información se define como la preservación de:

– Confidencialidad. Aseguramiento de que la información es accesible sólo para

aquellos autorizados a tener acceso.

– Integridad. Garantía de la exactitud y completitud de la información y de los

métodos de su procesamiento.

– Disponibilidad. Aseguramiento de que los usuarios autorizados tienen acceso

cuando lo requieran a la información y sus activos asociados.

El objetivo de la norma ISO 17799 es proporcionar una base común para

desarrollar normas de seguridad dentro de las organizaciones y ser una práctica

eficaz de la gestión de la seguridad.

¿QUÉ ES LA ISO/IEC 27000? Es un conjunto de estándares en fase de desarrollo por la ISO e IEC, para la

gestión de la seguridad informática, que se utiliza en cualquier organización.

¿Para qué se utiliza?

Establece una metodología de gestión de seguridad clara y estructurada.

Reducir el riesgo de pérdida o robo de información.

Dar confianza a los clientes y socios estratégicos por la garantía de calidad

y confidencialidad comercial.

Dar la posibilidad de integrarse con otros sistemas de gestión

Dar una imagen de la empresa a nivel internacional

Reducir los costos y mejorar los procesos y servicios

Aumentar la motivación y satisfacción del personal.

21

NORMAS Y LEGISLACIÓN INFORMÁTICA INTERNACIONAL Instituciones de normalización:

Internacionales:

ITU-T.

ISO/IEC.

Europeas:

CEN/CENELEC.

ETSI.

NORMAS DE EVALUACIÓN Y CERTIFICACIÓN

Estadounidenses: TCSEC (libro naranja).

Europeos: ITSEC/ITSEM.

Internacionales: ISO/IEC 15408-1 (CC v2.1).

NORMAS Y LEGISLACIÓN INFORMÁTICA NACIONALES

FIRMA ELECTRÓNICA:

Infraestructura Extendida de Seguridad (IES) (Banco de México)

Circular Telefax 1/2002, de 2 de enero de 2002

Circular Telefax 19/2002, de 5 de julio de 2002

Circular Telefax 19/2002 bis, de 11 de julio de 2003

Protocolo de Comunicación de la IES -08/2003

Reformas al Código de Comercio -28/08/2003

Código Fiscal de la Federación -05/01/2004

Resolución Modificaciones a la Resolución Miscelánea Fiscal -31/05/2004

Leyes sobre el uso de medios electrónicos y firma electrónica de los

diversos Estados

Autorización otorgada al Servicio de Administración Tributaria para actuar

como prestador de Servicios de Certificación -21/09/2004

Decreto por el que se expide la Ley de Firma Electrónica del Distrito

Federal de 30 de octubre de 2009

Proyecto de ley de firma digital de 27 de enero de 2010

Decreto por el que se expide la Ley de Firma Electrónica Avanzada de 24

noviembre 2011 (DOF 11/01/2012)

22

Acuerdo de 27 de febrero de 2012, por el que se dan a conocer las Reglas

Generales para la gestión de trámites a través de medios de comunicación

electrónica presentados ante la Secretaría de Gobernación. (DOF

09/03/2012).

PROTECCIÓN DE DATOS PERSONALES:

Ley para regular las Sociedades de Información Crediticia -27/12/2001

(Diario Oficial de la Federación, 17 de enero 2002)

Propuesta de iniciativa de Ley Federal de Protección de Datos Personales -

14/02/2001

Propuesta de reformas al Art. 16 constitucional en materia de protección de

datos personales - 21/02/2001

Ley de Protección de Datos Distrito Federal, -26/08/2008 (Gaceta Oficial

del Distrito Federal nº 434, 3 octubre 2008)

Decreto por el que se expide la Ley Federal de Protección de Datos

Personales en Posesión de los Particulares y se reforman los artículos 3,

fracciones II y VII, y 33, así como la denominación del Capítulo II, del Título

Segundo de la Ley Federal de Transparencia y Acceso a la información

Pública Gubernamental - 27/04/2010 (Diario Oficial de la Federación, 5 de

julio 2010).

Leyes de Protección de Datos de los Estados Mexicanos

Reglamento de la Ley Federal de Protección de Datos Personales en

Posesión de los Particulares -19/12/2011 (Diario Oficial de la Federación,

21 diciembre 2011).

PROPUESTAS EN POLÍTICA INFORMÁTICA NACIONAL - SECTORES SOCIAL Y

PRIVADO:

Peritos en Informática

Federación de Asociaciones Mexicanas en Informática, A.C.

Cámara Nacional de la Industria Electrónica de Telecomunicaciones e

Informática, A.C.

Consejo Mexicano de la Industria de Productos de Consumo

Asociación Mexicana de Estándares para el Comercio Electrónico, A.C.

Banco Bilbao Vizcaya A / Bancomer, S.A.

Asociación Mexicana de la Industria de Tecnologías de la Información, A.C.

(Jurídica, 2014).

23

CONCLUSION

En el presente trabajo, se vieron varios temas, que abarcaron ciertos modelos,

Estándares, Normas, etc.; que en cierto modo cada uno de ellos tiene un

propósito de acuerdo a la confidencialidad, integridad, disponibilidad y autorización

de la información.

Modelos como Bell-LaPadula que su propósito es la confidencialidad, y el de

Clark-Wilson que es la integridad de los datos, pero más allá de eso, no solo nos

preocupa la información, sino también el cómo se hace uso de esta misma,

quienes son los que pueden accesar a ella, etc. Para ello, tales como los sistemas

informáticos (softwares, S.O), tienen que tienen que estar totalmente certificados

de que puedan dar esta seguridad a los datos.

Volviendo a retomar lo visto, también el poder tener ciertos niveles o clases de

acceso, para aquellas personas, a las cuales se les concede ciertos permisos para

ver la información o modificar esta misma, es otra de las medidas de seguridad ya

mencionadas; el poder restringir que ciertos grupos de usuarios no interfieran con

otros usuarios en la información, fue otro de los puntos ya mencionados.

Como último, podemos hacer referencia a los estándares 27000 que se encargan

de la gestión de la seguridad de la información, al igual el estándar 17799, ya que

estos dos, son los principales que se utilizan para hacer una buena auditoria en

las grandes organización o empresas para realizar una buena auditoria, si es que

cumplen con estos estándares.