Seguridad Informatica
Arquitecturas Tecnológicas de Seguridad
Informática en el Sector de la Administración
Pública
Noviembre, 2005
Informe Final
Arquitectura Tecnológica de Seguridad
Informática
Noviembre 11, 2005
Servicio Autónomo Superintendencia de
Servicios de Certificación Electrónica
Tabla de Contenido
DECLARACIÓN DE CONFIDENCIALIDAD
3
INTRODUCCIÓN
4
1. MARCOCONCEPTUAL
6
1.1 . Tipos de Ataque y Riesgos de Vulnerabilidad
8
1.1.1. . Peligros y Modos de Ataque:
8
1.1.2. . Vulnerabilidades más comunes que pueden comprometer la seguridad 11
1.1.3. . Habilidad del Atacante:
12
1.2. Estándares relacionados a la Arquitectura Tecnológica de Seguridad
1.2.1. . Modelo Open System Interconnect (OSI):
1.2.2. . Transmission Control Protocol (TCP/IP):
1.2.3. .Otros Estándares Internacionales
13
14
14
16
1.3. Descripción de las Soluciones de Seguridad
19
1.4. Consideraciones para el Diseño de una Arquitectura
32
2. MODELO Y APLICACIÓN DE LA ARQUITECTURA DE SEGURIDAD
34
2.1. Introducción:
34
2.2. Modelo de Arquitectura
34
2.2.1. . Arquitectura Tecnológica de Seguridad por Capas
34
2.2.2. . Propósito Arquitectura de Seguridad-Elementos de ControlSeguridad 36
2.2.3. . Definición Modelo de Arquitectura Tecnológica de Seguridad Propuesto 39
2.3. Matriz de Soluciones para la Implantación de la Arquitectura
47
2.4 . Matriz de Soluciones para los Procesos Tipo Identificados
74
2.4.1. . Matriz soluciones para interconexión con sedes y otros entes del estado 77
2.4.2. . Matriz de soluciones para web hosting
93
2.4.3. . Matriz de solucionespara acceso a internet
111
2.4.4. . Matriz de soluciones para acceso a usuarios remotos
115
2.4.5. . Matriz de soluciones para interconexión bancaria
119
2.4.6. . Matriz de soluciones para correo electrónico
135
Este documento fue desarrollado por Securenet Corp C.A. (SecureNet) para SUSCERTE con el objeto que pueda utilizarse como referencia y guía general en el diseño e implantación deArquitecturas de Tecnología de Seguridad Informática en los Institutos y Organismos del Estado. Para que sea efectiva la aplicación de esta Guía, el usuario debe hacer el trabajo previo
necesario para incluir los requerimientos y realidades de su Organización. Este Manual no debe ser copiado ni divulgado a personas distintas de las responsables de implantar y administrar la
Arquitectura de SeguridadInformática en los Organismos autorizados por SUSCERTE.
Pág. 1 de 200
Documento Confidencial
Elaborado por:
Noviembre-2005
Servicio Autónomo Superintendencia de
Servicios de Certificación Electrónica
2.4.7. . Matriz de soluciones para sistemas de administración del personal
2.4.8. . Matriz de soluciones para sistemas administrativos y contables
2.4.9. . Matriz de soluciones para controles de accesofísico
3. GESTIÓN DE LA ARQUITECTURA DE SEGURIDAD
152
171
190
194
3.4. Procesos de Gestión de la Arquitectura de Seguridad:
194
3.4.1. . Mantenimiento:
3.4.2. . Monitoreo y Evaluación:
3.4.3. . Respuesta y Recuperación:
3.4.4. . Actualización:
3.4.5. . Divulgación y Reforzamiento:
195
195
196
197
197
3.5. Modelo de Gestión de la Seguridad
198
4. FACTORES CLAVES DE ÉXITO
200
ANEXO: GLOSARIODE TERMINOS
2001
Este documento fue desarrollado por Securenet Corp C.A. (SecureNet) para SUSCERTE con el objeto que pueda utilizarse como referencia y guía general en el diseño e implantación de
Arquitecturas de Tecnología de Seguridad Informática en los Institutos y Organismos del Estado. Para que sea efectiva la aplicación de esta Guía, el usuario debe hacer el trabajo previo
necesario paraincluir los requerimientos y realidades de su Organización. Este Manual no debe ser copiado ni divulgado a personas distintas de las responsables de implantar y administrar la
Arquitectura de Seguridad Informática en los Organismos autorizados por SUSCERTE.
Pág. 2 de 200
Documento Confidencial
Elaborado por:
Noviembre-2005
Servicio Autónomo Superintendencia de
Servicios de Certificación...
Regístrate para leer el documento completo.