CAPÍTULO 1. PRINCIPIOS DE LA SEGURIDAD INFORMÁTICA
1.1 QUÉ SE ENTIENDE POR SEGURIDAD INFORMÁTICA
1.2 OBJETIVOS DE LA SEGURIDAD INFORMÁTICA
1.3 SERVICIOS DE SEGURIDAD DE LA INFORMACIÓN
1.4 CONSECUENCIAS DE LA FALTA DE SEGURIDAD
1.5 PRINCIPIO DE “DEFENSA EN PROFUNDIDAD”
1.6 GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
1.6.1 Implantación de un Sistema de Gestión de Seguridad de la Información
1.7 ANÁLISIS Y GESTIÓN DE RIESGOS EN UN SISTEMA INFORMÁTICO
1.7.1 Recursos del sistema
1.7.2 Amenazas
1.7.3 Vulnerabilidades
1.7.4 Incidentes de Seguridad
1.7.5 Impactos
1.7.6 Riesgos
1.7.7 Defensas, salvaguardas o medidas de seguridad
1.7.8 Transferencia del riesgo a terceros
1.8 REFERENCIAS DE INTERÉS
CAPÍTULO 2. POLÍTICAS, PLANES Y PROCEDIMIENTOS DE SEGURIDAD
2.1 INTRODUCCIÓN Y CONCEPTOS BÁSICOS
2.2 DEFINICIÓN E IMPLANTACIÓN DE LAS POLÍTICAS DE SEGURIDAD
2.3 INVENTARIO DE LOS RECURSOS Y DEFINICIÓN DE LOS SERVICIOS OFRECIDOS
2.4 SEGURIDAD FRENTE AL PERSONAL
2.4.1 Alta de empleados
2.4.2 Baja de empleados
2.4.3 Funciones, obligaciones y derechos de los usuarios
2.4.4 Formación y sensibilización de los usuarios
2.5 ADQUISICIÓN DE PRODUCTOS
2.6 RELACIÓN CON PROVEEDORES
2.7 SEGURIDAD FÍSICA DE LAS INSTALACIONES
2.8 SISTEMAS DE PROTECCIÓN ELÉCTRICA
2.9 CONTROL DEL NIVEL DE EMISIONES ELECTROMAGNÉTICAS
2.10 VIGILANCIA DE LA RED Y DE LOS ELEMENTOS DE CONECTIVIDAD
2.11 PROTECCIÓN EN EL ACCESO Y CONFIGURACIÓN DE LOS SERVIDORES
2.12 SEGURIDAD EN LOS DISPOSITIVOS DE ALMACENAMIENTO
2.13 PROTECCIÓN DE LOS EQUIPOS Y ESTACIONES DE TRABAJO
2.14 CONTROL DE LOS EQUIPOS QUE PUEDEN SALIR DE LA ORGANIZACIÓN
2.15 COPIAS DE SEGURIDAD
2.16 CONTROL DE LA SEGURIDAD DE IMPRESORAS Y OTROS DISPOSITIVOS PERIFÉRICOS
2.17 GESTIÓN DE SOPORTES INFORMÁTICOS
2.18 GESTIÓN DE CUENTAS DE USUARIOS
2.19 IDENTIFICACIÓN Y AUTENTICACIÓN DE USUARIOS
2.20 AUTORIZACIÓN Y CONTROL DE ACCESO LÓGICO
2.21 MONITORIZACIÓN DE SERVIDORES Y DISPOSITIVOS DE LA RED
2.22 PROTECCIÓN DE DATOS Y DE DOCUMENTOS SENSIBLES
2.23 SEGURIDAD EN LAS CONEXIONES REMOTAS
2.24 DETECCIÓN Y RESPUESTA ANTE INCIDENTES DE SEGURIDAD
2.25 OTROS ASPECTOS A CONSIDERAR
2.25.1 Seguridad en el desarrollo, implantación y mantenimiento de aplicaciones informáticas
2.25.2 Seguridad en las operaciones de administración y mantenimiento de la red y de los equipos
2.25.3 Creación, manejo y almacenamiento de documentos relacionados con la seguridad del sistema informático
2.25.4 Cumplimiento de la legislación vigente
2.25.5 Actualización y revisión de las medidas de seguridad
2.26 REALIZACIÓN DE PRUEBAS Y AUDITORÍAS PERIÓDICAS
2.27 REFERENCIAS DE INTERÉS
CAPÍTULO 3. LA IMPORTANCIA DEL FACTOR HUMANO EN LA SEGURIDAD
3.1 EL FACTOR HUMANO EN LA SEGURIDAD INFORMÁTICA
3.2 FUNCIONES Y RESPONSABILIDADES DE LOS EMPLEADOS Y DIRECTIVOS
3.3 INGENIERÍA SOCIAL
3.4 FORMACIÓN DE LOS USUARIOS
3.5 EL CONTROL Y SUPERVISIÓN DE LOS EMPLEADOS
3.5.1 El uso de los servicios de Internet en el trabajo
3.5.2 Herramientas para el control y vigilancia del acceso a los servicios de Internet
3.6 REFERENCIAS DE INTERÉS
CAPÍTULO 4. ESTANDARIZACIÓN Y CERTIFICACIÓN EN SEGURIDAD INFORMÁTICA
4.1 ESTÁNDARES DE SEGURIDAD
4.1.1 Propósito de los estándares
4.1.2 Organismos responsables de la estandarización
4.2 ESTÁNDARES ESTADOUNIDENSES
4.2.1 TCSEC: Trusted Computer System Evaluation Criteria
4.2.2 Federal Criteria
4.2.3 FISCAM: Federal Information Systems Controls Audit Manual
4.2.4 NIST SP 800
4.3 ESTÁNDARES EUROPEOS
4.3.1 ITSEC: Information Technology Security Evaluation Criteria
4.3.2 ITSEM: Information Technology Security Evaluation Metodology
4.3.3 Agencia Europea de Seguridad de la Información y las Redes
4.4 ESTÁNDARES INTERNACIONALES
4.4.1 ISO/IEC 15408: Common Criteria
4.4.2 ISO/IEC 17799
4.4.3 BS 7799 Parte 2:2002
4.4.4 Familia ISO/IEC 27000
4.4.4.1 ISO/IEC 27000
4.4.4.2 ISO/IEC 27001
4.4.4.3 ISO/IEC 27002
4.4.4.4 ISO/IEC 27003
4.4.4.5 ISO/IEC 27004
4.4.4.6 ISO/IEC 27005
4.4.4.7 ISO/IEC 27006
4.4.5 Estándares relacionados con los sistemas y servicios criptográficos
4.6 PROCESO DE CERTIFICACIÓN
4.7 REFERENCIAS DE INTERÉS
CAPÍTULO 5. VULNERABILIDADES DE LOS SISTEMAS INFORMÁTICOS
5.1 INCIDENTES DE SEGURIDAD EN LAS REDES
5.2 CAUSAS DE LAS VULNERABILIDADES DE LOS SISTEMAS INFORMÁTICOS
5.2.1 Debilidad en el diseño de los protocolos utilizados en las redes
5.2.2 Errores de programación
5.2.3 Configuración inadecuada de los sistemas informáticos
5.2.4 Políticas de Seguridad deficientes o inexistentes
5.2.5 Desconocimiento y falta de sensibilización de los usuarios y de los responsables de informática
5.2.6 Disponibilidad de herramientas que facilitan los ataques
5.2.7 Limitación gubernamental al tamaño de las claves criptográficas y a la utilización de este tipo de tecnologías
5.2.8 Existencia de “puertas traseras” en los sistemas informáticos
5.2.9 Descuido de los fabricantes
5.3 TIPOS DE VULNERABILIDADES
5.3.1 Vulnerabilidades que afectan a equipos
5.3.1.1 Routers y cable-módems
5.3.1.2 Cámaras web y servidores de vídeo
5.3.1.3 Vulnerabilidades en otros equipos conectados a una red: impresoras, escáneres, faxes...
5.3.1.4 Teléfonos móviles o Celulares
5.3.1.5 Agendas electrónicas
5.3.2 Vulnerabilidades que afectan a programas y aplicaciones informáticas
5.3.2.1 Sistemas operativos, servidores y bases de datos
5.3.2.2 Navegadores
5.3.2.3 Aplicaciones ofimáticas como word o excel
5.3.2.4 Otras utilidades y aplicaciones informáticas
5.4 RESPONSABILIDADES DE LOS FABRICANTES DE SOFTWARE
5.5 HERRAMIENTAS PARA LA EVALUACIÓN DE VULNERABILIDADES
5.5.1 Análisis y evaluación de vulnerabilidades
5.5.2 Ejecución de Tests de Penetración en el Sistema
5.6 REFERENCIAS DE INTERÉS
CAPÍTULO 6. AMENAZAS A LA SEGURIDAD INFORMÁTICA
6.1 Clasificación de los intrusos en las redes
6.1.1 Hackers
6.1.2 Crackers (“blackhats”)
6.1.3 Sniffers
6.1.4 Phreakers
6.1.5 Spammers
6.1.6 Piratas informáticos
6.1.7 Creadores de virus y programas dañinos
6.1.8 Lamers (“wannabes”): “Script-kiddies” o “Click-kiddies”
6.1.9 Amenazas del personal interno
6.1.10 Ex-empleados
6.1.11 Intrusos remunerados
6.1.12 Algunos “hackers”, “crackers” y “phreakers” famosos
6.1.12.1 JOHN DRAPER, “CAPITÁN CRUNCH”
6.1.12.2 VLADIMIR LEVIN
6.1.12.3 KEVIN POULSON