NIVELES DE SEGURIDAD INFORMTICA

Integrantes:

Byron Araya

Jessica Supanta

Asignatura:
Tecnologas de la
Informacin y
Comunicacin
Fecha: 26/05/2014

NDICE

Pginas

INTRODUCCIN......3
CAPTULO I: Concepto niveles de seguridad informtica 3
1. Concepto niveles de seguridad informtica. 3
1.1 Qu Son?..................................... 4
CAPTULO II: Marco Terico5
2. Marco Terico 5
2.1 Niveles de seguridad Informtica. 5
2.2 La importancia de los niveles de seguridad informtica en empresas.. 5
2.3 Niveles de seguridad informtica en el reglamento... 6
2.4 Medidas aplicables a los diferentes niveles de seguridad... 7
CAPTULO III:Referencia TCSEC Orange Book.. 8
3. Referencia TCSEC Orange Book .. 8
CAPTULO IV: Niveles de Seguridad Informtica. 8
4. Niveles de Seguridad Informtica 8
4.1 Nivel D 8
4.2 Nivel C1:Proteccin Discrecional.. 8
4.3 Nivel B1: Seguridad Etiquetada. 9
4.4 Nivel B2: Proteccin Estructurada. 9
4.5 Nivel B3: Dominios de Seguridad.. 10
4.6 Nivel A: Proteccin Verificada 10
CAPTULOV: QU EMPRESAS LO APLICAN?.11
CAPTULO VI: CONCLUSIONES 12
CAPTULO VII: REFERENCIAS BIBLIOGRFICAS 13

Introduccion
Actualmente los niveles de seguridad informtica han tomado gran auge, dadas
las cambiantes condiciones y nuevas plataformas de computacin disponibles. La
posibilidad de interconectarse a travs de redes, ha abierto nuevos horizontes
para explorar ms all de las fronteras nacionales.
El presente trabajo de investigacin sobre el tema de niveles de seguridad
informtica, se divide en cinco captulos de la siguiente manera:
En el Captulo I, concepto niveles de seguridad informtica.
En el Captulo II, se trata el Marco Terico que envuelve la situacin de las
empresas frente a los niveles de seguridad informtica.
En el Captulo III, se describe la referencia: TCSEC Orange.
En el Captulo IV, se analizan los niveles de seguridad informtica y sus
caractersticas.
En el Captulo V, empresas que lo aplican.
En el Captulo VI, se establecen algunas conclusiones.

1. Niveles de Seguridad Informtica

1.1 Qu son?
El estndar de niveles de seguridad ms utilizado internacionalmente es el TCSEC
Orange Book, desarrollado en 1983 de acuerdo a las normas de seguridad en
computadoras del Departamento de Defensa de los Estados Unidos.
Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se
enumeran desde el mnimo grado de seguridad al mximo.
Estos niveles han sido la base de desarrollo de estndares europeos
(ITSEC/ITSEM) y luego internacionales (ISO/IEC).

2. Marco teorico
2.1 Niveles de seguridad informtica
Los niveles de seguridad informtica son distribuidos de acuerdo con el sistema
operativo que se est utilizando sobre la red de la empresa o institucin ya sea
pblica, privada, gubernamental o no gubernamental, entre estos se tiene los
siguientes:
1.1.1. Nivel D

El sistema entero no es confiable

1.1.2. Nivel C1

Proteccin Discrecional

1.1.4. Nivel B1

Proteccin de Seguridad Etiquetada

1.1.5. Nivel B2

Proteccin Estructurada

1.1.6. Nivel B3

Dominios de Seguridad

1.1.7. Nivel A

Proteccin Verificada

2.2 La importancia de los niveles de seguridad informtica en las empresas

El activo ms importante en las organizaciones pblicas, privadas y de cualquier
ndole, es la informacin que tienen. Entre ms grande es la organizacin ms
grande es el inters de mantener la seguridad en la red, por lo tanto, es de suma
importancia el asegurar la seguridad de la informacin .La seguridad no es
solamente el implementar usuarios y contraseas, es el implementar polticas que
garanticen la seguridad tanto fsica como lgica de la informacin. Dentro del
entorno de la red se debe asegurar la privacidad de la informacin y de proteger
las operaciones de daos no intencionados como deliberados.
La planificacin de la seguridad en el diseo de la red es de suma importancia ya
que, de esto depende el buen desempeo de la red y nos evita trabajo posterior y
prdida de datos y posibles daos a la red.

Ejemplo:
Un banco deber de tener un nivel muy alto de seguridad por las transacciones
que maneja, una red casera no tendr la misma importancia, solo se orientar a
los accesos de los familiares a ciertos puntos de las computadoras que la formen.
Las empresas se apoyan cada da ms en las tecnologas para sus negocios y la
mayora desarrollan gran parte de su actividad conectadas a Internet o haciendo
uso de servicios que utilizan Internet como pasarela de comunicaciones, factor
que conduce a la implantacin de medidas de seguridad cada vez ms exigentes
dado el riesgo que ello implica. La seguridad debe establecerse mediante normas
de funcionamiento y uso, perfiles de usuarios, perfiles de grupos o departamentos,
restricciones, autorizaciones, denegaciones, protocolos y todo lo necesario para
poder obtener un buen nivel de seguridad informtica siempre evaluando antes el
impacto en el desempeo diario por parte de los usuarios y de la misma empresa.
2.3 Niveles de seguridad informtica en el Reglamento.
Cada uno de los niveles de seguridad establecidos en el Reglamento tienen la
consideracin de mnimos legales exigibles, por lo que cada Empresa podr
incrementarlas de acuerdo a otros criterios de Seguridad Informtica, ofreciendo
de esta forma mayores garantas, tanto para el tratamiento de sus ficheros como
para el resto de la informacin corporativa.
El Reglamento establece los niveles de seguridad de forma acumulativa; as, en
caso de tratamiento de ficheros de nivel medio, debern implantarse todas y cada
una de las medidas de seguridad descritas para el nivel bsico y las del medio.
Igualmente suceder con los ficheros de nivel alto, que debern implantar las
medidas descritas para el nivel bsico, el medio y el alto.
En resumen:

Nivel Bsico: Para todos los ficheros de datos de carcter personal.

Nivel Medio: Sern adoptadas para:
a) Ficheros que contengan datos relativos a la comisin de infracciones
administrativas o penales.
b) Ficheros que contengan datos sobre Hacienda Pblica.
c) Ficheros que contengan datos sobre Servicios Financieros.
d) Ficheros que contengan datos sobre solvencia patrimonial y crdito.
e) Ficheros que contengan un conjunto de datos suficientes que permitan
elaborar un perfil del afectado (se les aplican las medidas descritas en los
art.17 a 20).
6

Nivel Alto: Aquellos que contengan datos de ideologa, religin, creencias,

origen racial, salud.

2.4 Medidas aplicables a los diferentes Niveles de Seguridad.1

El Reglamento establece en los arts.5, 6 y 7 medidas de seguridad que se aplican
independientemente del nivel de seguridad de los ficheros tratados. Estas medidas
son las siguientes:
a) Acceso a travs de redes de telecomunicaciones (art.5).
El Reglamento establece que las medidas de seguridad exigibles para el acceso a
travs de redes de telecomunicaciones deber garantizar un nivel equivalente al
correspondiente a los accesos en modo local.
As, en funcin del nivel de seguridad, debern adoptarse medidas de seguridad
que garanticen la disponibilidad de la informacin (cifrado de informacin) as
como medidas de identificacin y autenticacin inequvoca y personalizada para
los accesos que realicen los usuarios a travs de redes de telecomunicaciones.
b) Rgimen de trabajo fuera de los locales de la ubicacin del fichero (art.6).
Establece el Reglamento que deber estar expresamente autorizado por el
responsable del fichero la ejecucin de tratamientos de los datos fuera de la
ubicacin principal, garantizndose en todo momento el mismo nivel de seguridad.
c) Ficheros Temporales (art.7).
Se establece que los ficheros temporales debern cumplir el mismo nivel de
seguridad que el fichero del tienen origen, procedindose a su destruccin o
borrado seguro cuando haya dejado de ser necesario para la finalidad que motiv
su creacin.
Para la LOPD, tendrn la consideracin de ficheros temporales las extracciones
puntuales de datos que se realicen de los ficheros de datos de carcter personal
para atender o dar cumplimiento a determinadas finalidades concretas y comunes
de gestin y administracin autorizadas por el responsable del fichero.
1

Niveles seguridad. (2008). Tecnologas y seguridad.Recuperado el 22 de mayo del 2014. Obtenido

de http://www.tgnsystems.com/sistemas/seguridad-informatica/

3. Referencia: TCSEC Orange Book

El estndar de niveles de seguridad ms utilizado internacionalmente es el TCSEC
Orange Book(2), desarrollado en 1983 de acuerdo a las normas de seguridad en
computadoras del Departamento de Defensa de los Estados Unidos.
Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se
enumeran desde el mnimo grado de seguridad al mximo.
Estos niveles han sido la base de desarrollo de estndares europeos
(ITSEC/ITSEM) y luego internacionales (ISO/IEC).
Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: as
el subnivel B2 abarca los subniveles B1, C2, C1 y el D.

4. Niveles de Seguridad Informatica

4.1 Nivel D
Este nivel contiene slo una divisin y est reservada para sistemas que han sido
evaluados y no cumplen con ninguna especificacin de seguridad.
Sin sistemas no confiables, no hay proteccin para el hardware, el sistema
operativo es inestable y no hay autentificacin con respecto a los usuarios y sus
derechos en el acceso a la informacin. Los sistemas operativos que responden a
este nivel son MS-DOS y System 7.0 de Macintosh.
4.2 Nivel C1: Proteccin Discrecional
Se requiere identificacin de usuarios que permite el acceso a distinta informacin.
Cada usuario puede manejar su informacin privada y se hace la distincin entre
los usuarios y el administrador del sistema, quien tiene control total de acceso.
Muchas de las tareas cotidianas de administracin del sistema slo pueden ser
realizadas por este "super usuario" quien tiene gran responsabilidad en la
seguridad del mismo. Con la actual descentralizacin de los sistemas de
cmputos, no es raro que en una organizacin encontremos dos o tres personas
cumpliendo este rol. Esto es un problema, pues no hay forma de distinguir entre
los cambios que hizo cada usuario.
8

A continuacin se enumeran los requerimientos mnimos que debe cumplir la

clase C1:

Acceso de control discrecional: distincin entre usuarios y recursos.

Se podrn definir grupos de usuarios (con los mismos privilegios) y
grupos de objetos (archivos, directorios, disco) sobre los cuales podrn
actuar usuarios o grupos de ellos.

Identificacin y Autentificacin: se requiere que un usuario se

identifique antes de comenzar a ejecutar acciones sobre el sistema. El
dato de un usuario no podr ser accedido por un usuario sin autorizacin
o identificacin.

4.3 Nivel B1: Seguridad Etiquetada

Este subnivel, es el primero de los tres con que cuenta el nivel B. Soporta
seguridad multinivel, como la secreta y ultrasecreta. Se establece que el dueo del
archivo no puede modificar los permisos de un objeto que est bajo control de
acceso obligatorio.
A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un
nivel de seguridad jerrquico (alto secreto, secreto, reservado, etc.) y con unas
categoras (contabilidad, nminas, ventas, etc.).
Cada usuario que accede a un objeto debe poseer un permiso expreso para
hacerlo y viceversa. Es decir que cada usuario tiene sus objetos asociados.
Tambin se establecen controles para limitar la propagacin de derecho de
accesos a los distintos objetos.
4.4 Nivel B2: Proteccin Estructurada
Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto
inferior.
La Proteccin Estructurada es la primera que empieza a referirse al problema de
un objeto a un nivel mas elevado de seguridad en comunicacin con otro objeto a
un nivel inferior.
As, un disco rgido ser etiquetado por almacenar archivos que son accedidos por
distintos usuarios.

El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y

seguridad son modificadas; y el administrador es el encargado de fijar los canales
de almacenamiento y ancho de banda a utilizar por los dems usuarios.
4.5 Nivel B3: Dominios de Seguridad
Refuerza a los dominios con la instalacin de hardware: por ejemplo el hardware
de administracin de memoria se usa para proteger el dominio de seguridad de
acceso no autorizado a la modificacin de objetos de diferentes dominios de
seguridad.
Existe un monitor de referencia que recibe las peticiones de acceso de cada
usuario y las permite o las deniega segn las polticas de acceso que se hayan
definido.
Todas las estructuras de seguridad deben ser lo suficientemente pequeas como
para permitir anlisis y testeos ante posibles violaciones.
Este nivel requiere que la terminal del usuario se conecte al sistema por medio de
una conexin segura.
Adems, cada usuario tiene asignado los lugares y objetos a los que puede
acceder.
4.6 Nivel A: Proteccin Verificada
Es el nivel ms elevado, incluye un proceso de diseo, control y verificacin,
mediante mtodos formales (matemticos) para asegurar todos los procesos que
realiza un usuario sobre el sistema.
Para llegar a este nivel de seguridad, todos los componentes de los niveles
inferiores deben incluirse. El diseo requiere ser verificado de forma matemtica y
tambin se deben realizar anlisis de canales encubiertos y de distribucin
confiable. El software y el hardware son protegidos para evitar infiltraciones ante
traslados o movimientos del equipamiento.

1
0

5. Que empresas los aplican?

TGN Systems:

Amplia gama de servicios especializados en materia de niveles de seguridad

informtica, con la finalidad de garantizar y adaptarse a cualquier tipo de
cliente final.

Isbor:
Proveedor de servicios y soluciones avanzadas y personalizadas de:

Adecuacin, Implantacin, Mantenimiento, Auditoras y Asesoramiento

jurdico y tcnico en materia de PROTECCIN DE DATOS (LOPD) y
Seguridad de la Informacin (ISO 27001).
Digitalizacin normal y certificada de facturas (software HEIMDALL
homologado por la AEAT) y e-facturacin (facturacin electrnica).
Implantacin de la Ventanilla nica de Servicios y del e-Colegio.
Gestin documental: archivo, destruccin, digitalizacin, almacenamiento,
etc.
Formacin en todas estas materias.

GlobalSecure:
Somos una empresa orientada 100% a Seguridad Informtica
Nuestras Lneas de Negocio son las siguientes:

Representacin, Comercializacin y Soporte de Soluciones de Seguridad

Informtica y Auditoria.
Servicio de Datacenter, Servicios Gestionados de Seguridad y Servicios
Avanzados
Servicios Profesionales, Consultora y Auditora en Ciber Seguridad
Entrenamiento y Capacitacin en Ciber Seguridad & Ciber Defensa

1
1

6. conclusiones
Esta investigacin da mucha importancia al uso que se le puede dar a los niveles
de seguridad informtica y al grado de alineacin tecnolgica respecto a las
empresas actualmente.
El punto destacable de esta investigacin, es de adoptar a la informacin como un
activo intangible, es decir, tratar que las organizaciones lo empleen ya sea a
travs en el servicio, en la toma de decisiones y en los procesos de administracin
para lograr el xito competitivo-empresarial.
Las pequeas empresas hacen uso de la informacin sin una metodologa o de
manera sistmica, simplemente estn respondiendo a las necesidades del
mercado y de la competencia, y afortunadamente para ellas les ha permitido
obtener un mayor nivel de Competitividad. Mas sin embargo, los responsables de
generar las estrategias deben hacer una mejor administracin los niveles de
seguridad para el xito futuro de la organizacin.
Esta investigacin, propone analizar lo que est pasando con los niveles de
seguridad de informtica hoy en da y la importancia que significa para las
empresas llevar a cabo un nivel de seguridad para proteger su informacin.

1
2

7. Referencias Bibliograficas
GlobalSecure. (2012). Soluciones Informticas.Recuperado el 22 de mayo del 2014. Obtenido de
http://www.globalsecure.cl/
Niveles de Seguridad. (2012). Soluciones empresas. Obtenido de http://www.isbor.es/index.php?
Niveles de Seguridad Informtica. (2010). Recursos Empresariales.Recuperado el 22 de mayo del
2014. Obtenido de http://www.microsoft.com/business/eses/Content/Paginas/article.aspx?cbcid=323
Niveles seguridad. (2008). Tecnologas y seguridad.Recuperado el 22 de mayo del 2014. Obtenido
de http://www.tgnsystems.com/sistemas/seguridad-informatica/

1
3