UNIR Revista
Los niveles de seguridad informática se definen como el grado de madurez en seguridad o de confianza de las TIC de una empresa u organismo. En UNIR abordamos cuáles son y sus objetivos.
La seguridad informática es actualmente una cuestión clave debido al elevado número de datos e información que lleva implícita. Por eso, en los últimos años se han desarrollado varios estándares internacionales cuyo propósito es normalizar y certificar los niveles de seguridad informática de las TIC.
El origen de los niveles de seguridad: TCSEC
El primer estándar desarrollado para medir el nivel de seguridad informática fue el TCSEC (Trusted Computer System Evaluation Criteria), del Departamento de Defensa de los Estados Unidos, y define siete niveles distintos de seguridad:
Nivel D1
El sistema no es seguro, ya que no cumple con ninguna especificación de seguridad. No dispone de protección del hardware ni autenticación de los usuarios.
Nivel C1
Se implementa un mecanismo de control de acceso laxo para la identificación y autenticación de los usuarios. Se distingue entre administradores del sistema y usuarios normales.
Nivel C2
Aplica un mecanismo seguro de control de acceso de los usuarios e implementa registros de auditoría.
Nivel B1
Incorpora un mecanismo de seguridad jerárquico o multinivel asignando etiquetas para ello a los distintos objetos del sistema, tanto a los datos como a los usuarios.
Nivel B2
Sistema de seguridad estructurado, en el que se etiquetan los objetos del sistema de nivel superior con respecto a los del inferior.
Nivel B3
Se incluyen dominios de seguridad y distintas políticas de acceso, gestionadas de manera centralizada y con un control de acceso seguro implementado.
Nivel A
El sistema implementa mecanismos de seguridad para el control y la verificación mediante métodos matemáticos. Este es el máximo nivel de seguridad de un sistema.
Hoy en día se utiliza otro estándar de referencia para medir el nivel de seguridad de un sistema, el Common Criteria, pero los niveles que definió el TCSEC son la base sobre la que se desarrolla este y otros intermedios, como el europeo ITSEC (Information Technology Security Evaluation Criteria) creado en 1991, el canadiense CTPEC (Canadian Trusted Computer Product Evaluation Criteria) de 1993, y el estadounidense FCITS (Federal Criteria for Information Technology Security), también de 1993.
Norma Common Criteria
Como adelantábamos, actualmente para medir el nivel de seguridad de las TIC se utiliza una norma de la Organización Internacional de Estandarización, que es la ISO/IEC 15408, también conocida como Common Criteria. En ella se unifican criterios y estándares de productos informáticos a nivel internacional.
Esta norma se basa en el concepto clave de los perfiles de protección. Es decir, de conjuntos de requisitos y objetivos de seguridad que deben cumplir los productos de una determinada categoría. Se entiende por categoría de producto aquello que satisface necesidades de usuarios similares.
El Common Criteria define 7 niveles de confianza para medir los niveles de seguridad de los perfiles de protección y los objetivos de seguridad:
- EAL1: la funcionalidad del producto ha sido probada.
- EAL2: el producto ha sido estructuralmente probado.
- EAL3: probado y verificado.
- EAL4: el producto ha sido diseñado, probado y revisado siguiendo un método concreto.
- EAL5: diseñado y probado de manera semiformal.
- EAL6: a las cuestiones anteriores se le añade la verificación.
- EAL7: el producto ha sido diseñado, verificado y probado de manera formal siguiendo una metodología definida.
Los niveles anteriores se han desarrollado de manera que sean compatibles con los estándares previos a la norma ISO/IEC 15408 o Common Criteria, como el TCSEC e ITSEC.
El proceso de certificación, según Common Criteria
La certificación puede abordarse para un producto o sistema completo de seguridad de la información (compuesto por su hardware, firmware y software) o para una parte del mismo. Este es el proceso a seguir.
- La organización envía al organismo de certificación, que en España depende del Centro Criptológico Nacional, la solicitud de certificación.
- La evaluación será realizada por un laboratorio acreditado independiente, no por el organismo de certificación. La organización debe enviar al laboratorio la Declaración de Seguridad del producto o sistema, que contiene las capacidades de seguridad de este y su alcance.
- Descripción y propiedades relativas a la seguridad.
- Funcionalidades de seguridad implementadas.
- Si el producto o sistema a certificar no es un todo y es una parte de otro más complejo/completo, la información necesaria para distinguir esta parte dentro del todo.
- El nivel de confianza, según Common Criteria, que la organización asume para su producto o sistema. El nivel de seguridad que la organización cree que cumple o que quiere que cumpla.
- El laboratorio independiente analiza la documentación enviada y realiza la revisión de seguridad según la norma Common Criteria y el nivel de confianza asumido para el producto o sistema.
- Una vez realizada la evaluación, el laboratorio envía a la organización las no conformidades con la norma identificadas o fallos de seguridad, y la organización debe corregirlas.
- Una vez subsanadas por la organización y verificadas por el laboratorio, este emite un informe técnico para el organismo de certificación con el resultado “Pass” y se emitirá el certificado por parte del organismo competente. Una vez emitido, en España será publicado en el BOE y tendrá validez internacional.
Ventajas de un buen nivel de seguridad informática
Diseñar y desarrollar productos de las TIC que cumplan con niveles adecuados de seguridad informática o confianza aporta grandes beneficios, entre los que destacan:
- Ser más competitivo respecto a los productos de la competencia.
- Aumentar la confianza y seguridad de los usuarios, e incrementar así la satisfacción de los clientes.
- Cumplir los requisitos de seguridad que se imponen en RFPs o concursos públicos para licitaciones.
La seguridad informática no solo es clave para proteger la información y datos que maneja una empresa sino que también influye en su prestigio e imagen.