ADN Cloud

Innovación en la sociedad digital

Categorías
New Call-to-action

Niveles de seguridad: qué son y su importancia en la empresa

niveles de seguridad
Tiempo de lectura: 4 minutos

Los niveles de seguridad permiten a las empresas certificar el nivel de confianza de sus productos IT según estándares internacionalmente reconocidos.

La seguridad informática se ha vuelto extremadamente relevante ya que permite a las empresas proteger a sus infraestructuras computacionales y la información que gestionan frente a cualquier tipo de amenaza. En este sentido, en los últimos 30 años se han realizado distintos esfuerzos para estandarizar y certificar la seguridad de los productos informáticos. En este artículo, vamos a revisar los principales estándares.

Niveles de seguridad del TCSEC

Si hablamos de niveles de seguridad, uno de los estándares más utilizado es el TCSEC (Trusted Computer System Evaluation Criteria) Orange Book2, que fue desarrollado por el Departamento de Defensa de los Estados Unidos en 1983, siguiendo sus normas de seguridad. Este sistema contempla distintos niveles de seguridad, cada uno de los cuales requiere todos los niveles anteriores:

  • Nivel D1: el sistema entero no es confiable y no cumple con ninguna especificación de seguridad. No hay protección de hardware ni autenticación de los usuarios.
  • Nivel C1: se implementa un acceso de control discrecional y la identificación y autenticación de los usuarios. Se introduce así la distinción entre usuarios y administradores de sistema.
  • Nivel C2: implementa una protección de acceso controlado y requiere una auditoría del sistema.
  • Nivel B1: implementa una protección de seguridad etiquetada, mediante la cual se asigna una etiqueta a cada objeto del sistema, tanto datos como usuarios, con niveles de seguridad jerárquicos (multinivel).
  • Nivel B2: se implementa una protección estructurada, por la cual se etiquetan objetos de nivel superior en relación con objetos de nivel inferior.
  • Nivel B3: implementa dominios de seguridad y distintas políticas de acceso, gestionadas por un monitor de referencia y requiere una acceso seguro del usuario.
  • Nivel A: implementa un proceso de diseño, control y verificación mediante métodos matemáticos. Es el nivel de seguridad más elevado

Los niveles de seguridad del TCSEC son hoy en día obsoletos. Sin embargo, han representado una importante base sobre la cual se han desarrollado posteriormente los principales estándares: el europeo ITSEC (Information Technology Security Evaluation Criteria) en 1991, el canadiense CTPEC (Canadian Trusted Computer Product Evaluation Criteria) en 1993 y el estadounidense FCITS (Federal Criteria for Information Technology Security), también en 1993.

Niveles de seguridad del Common Criteria

Sin embargo, el estándar que ha conseguido unificar la seguridad de los productos informáticos a nivel internacional es el ISO/IEC 15408, conocido como Common Criteria. Esta norma comenzó a desarrollarse desde 1990 por la Organización Internacional de Estandarización – ISO y está reconocido por los 27 países firmantes del Common Criteria Recognition Agreement. El objetivo de Common Criteria es evaluar las funciones de seguridad y el nivel de confianza de un producto IT.

Un concepto clave de este estándar son los perfiles de protección, que definen un conjunto de requerimientos y objetivos de seguridad para una categoría de productos, con similares necesidades por parte del usuario. Además, se definen objetivos de seguridad para los distintos productos y sistemas informáticos que van a ser evaluados.

Además, Common Criteria define una escala de siete niveles de confianza (EAL – Evaluation Assurance Levels) para medir los perfiles de protección y los objetivos de seguridadL

  • EAL1: funcionalidad probada
  • EAL2: estructuralmente probado
  • EAL3: probado y verificado metódicamente
  • EAL4: diseñado, probado y revisado metódicamente
  • EAL5: diseñado y probado semiformalmente
  • EAL6: diseño verificado y probado semiformalmente
  • EAL7: diseño verificado y probado formalmente

Estos niveles se han diseñado para ser compatibles con los estándares previos, como el TCSEC e ITSEC.

Ventajas de cumplir con niveles de seguridad

Cumplir con un estándar de seguridad, sea el Common Critera o el popular ISO/IEC 27001 (Sistema de Gestión de la Seguridad de la Información) proporciona importantes ventajas para una empresa:

  • Representa un argumento de venta frente a clientes, y a menudo es demandado por ellos.
  • Permite cumplir con requisitos de concursos públicos y licitaciones, ya que cada día más administraciones públicas lo solicitan de forma obligatoria
  • Otorga un reconocimiento internacional lo que puede facilitar la entrada en otros mercados.
  • Finalmente, se trata de certificaciones garantizadas por la independencia de los evaluadores y de los laboratorios.

Retos de las certificaciones

Por otro lado, no hay que olvidar que cumplir un estándar de seguridad como el Common Criteria comporta también una serie de retos, entre los cuales se encuentra el elevado coste de la evaluación, además de los costes de desarrollo necesarios para cumplir con los requerimientos. Finalmente, existe el riesgo de que cumplir con un estándar nos genere una falsa “sensación de seguridad” que nos lleve finalmente a ser víctimas de incidentes de seguridad.

Resumiendo, podemos afirmar que cumplir con niveles de seguridad es hoy en día un requisito imprescindible, no solamente para proteger nuestros activos informáticos y la información que albergan, sino que también es fundamental para construir estrategias de comunicación de marca, que nos faciliten la entrada en mercados internacionales y poder trabajar con el sector público.

New Call-to-action

Entradas relacionadas

Deja un comentario

No hay comentarios

Todavía no hay ningún comentario en esta entrada.