Directrices de la Organización para la Cooperación y el Desarrollo Económicos (OCDE)
| Autor | Francisco Javier Macías Valadez Treviño |
| Páginas | 278-291 |
Page 279
La Organización para la Cooperación y el Desarrollo Económicos (OCDE), convenio firmado el 14 de diciembre de 1960 en París, entró en vigor el 30 de septiembre de 1961 y agrupa a 34 países miembros y su misión es promover políticas que mejoren el bienestar económico y social de las personas alrededor del mundo.
La OCDE ofrece un foro donde los gobiernos puedan trabajar conjuntamente para compartir experiencias y buscar soluciones a los problemas comunes; asimismo:
· Trabaja para entender que es lo que conduce al cambio económico, social y ambiental.
· Mide la productividad y los fiujos globales del comercio e inversión.
· Se analiza y compara los datos para realizar pronósticos de tendencias.
· Se fijan estándares internacionales dentro de un amplio rango de temas de políticas públicas.
Page 280
La etapa fundamental del diseño de un sistema de información es cerciorarse de que este ofrece la seguridad adecuada para cumplir con sus objetivos de seguridad y puede utilizarse para el desarrollo del sistema o producto, e incluye lo siguiente:
· Los objetivos de seguridad.
· Los requerimientos de seguridad que se derivan de dichos objetivos.
· Los requerimientos funcionales de seguridad: funcionalidades que deben implementarse en el producto para alcanzar los objetivos.
· Los requerimientos de aseguramiento de seguridad (el nivel de evaluación): medidas que permiten asegurarse de que el producto cumple con los objetivos.
· Las funciones de seguridad que ofrece el producto o sistema.
Para alcanzar los objetivos de seguridad identificados, el objeto de seguridad debe incluir requerimientos funcionales que especifiquen las funcionalidades de seguridad que deben implementarse en el producto o sistema evaluado.
Los requerimientos están agrupados en once rubros genéricos:
-
Auditoría de seguridad (FAU).
-
Comunicación (FCO).
-
Soporte criptográfico (FCS).
-
Protección de los datos del usuario (FDP).
-
Identificación y autenticación (FIA).
-
Gestión de la seguridad (FMT).
-
Protección de la vida privada (FPR).
-
Protección de las funciones de seguridad del objeto de evaluación (FPT).
Page 281
-
Utilización de los recursos (FRU).
-
Acceso al objeto de evaluación (FTA).
-
Rutas y canales de confianza (FTP).
Los requerimientos de aseguramiento definen los criterios que se deben aplicar para la evaluación del producto o sistema. Estos son los siguientes:
-
Análisis de la gestión de configuración (ACM).
-
Análisis de las entregas y de la operación del sistema (ADO).
-
Análisis del desarrollo (ADV).
-
Análisis de los manuales de uso y administración (AGD).
-
Análisis del mantenimiento durante el ciclo de vida (ALC).
-
Análisis y realización de las pruebas funcionales (ATE).
-
Análisis y realización de la estimación de las vulnerabilidades y pruebas para aprovechar las vulnerabilidades identificadas (AVA).
-
Mantenimiento del aseguramiento (AMA).
Las directrices que rigen la seguridad de los sistemas y redes de información tienen como finalidad:
-
Promover la cultura de la seguridad.
-
Reforzar la concienciación sobre los riesgos.
Page 282
-
Reforzar las políticas, las prácticas, las medidas y los procedimientos de seguridad de los sistemas de información.
-
Mejorar la confianza en los sistemas de información.
-
Crear un marco de referencia coherente para comprender la seguridad de los sistemas de información y promover el respeto de valores éticos.
-
Promover la cooperación y la divulgación de la información referida a la seguridad en los sistemas de información.
-
Promover la refiexión sobre la SSI y la elaboración de normas.
Las directrices se presentan como nueve principios complementarios entre sí, que deben ser principios considerados como un todo:
· Concienciación
Las partes involucradas deben ser conscientes de la necesidad de garantizar la seguridad de los sistemas y redes de información y de las acciones que pueden emprenderse para reforzar la seguridad.
· Responsabilidad
Las partes involucradas son responsables de la seguridad de los sistemas y redes de información.
· Reacción
Las partes involucradas deben actuar rápidamente y con espíritu de colaboración para prevenir, detectar y dar respuesta a los incidentes de seguridad.
· Ética
Cada una de las partes involucradas debe respetar los intereses legítimos de las demás partes involucradas.
· Democracia
La seguridad de los sistemas y redes de información debe ser compatible con los valores fundamentales de una sociedad democrática.
Page 283
· Evaluación de los riesgos
Las partes involucradas deben realizar evaluaciones de los riesgos.
· Diseño e implementación de la seguridad
Las partes involucradas deben integrar la seguridad como un elemento esencial de los sistemas y redes de información.
· Gestión de la seguridad
Las partes involucradas deben adoptar un enfoque global de la gestión de la seguridad.
· Reevaluación
Las partes involucradas deben examinar y reevaluar la seguridad de los sistemas y redes de información e introducir las modificaciones apropiadas en sus políticas, prácticas, medidas y procedimientos de seguridad.
A partir de septiembre de 2002, la Secretaría General de la Defensa Nacional (SGDN) y, más específicamente, la Dirección Central de Seguridad de los Sistemas de Información (DCSSI), publica un compendio sobre estas nuevas directrices en su sitio web: http://www.ssi.gouv.fr/fr/actualites/archives.htmlhttp://www.ssi.gouv.fr/fr/actualites/ archives.htmlhttp://www.ssi.gouv.fr/fr/actualites/archives.html.
Las directrices que rigen la política en materia de criptografía han...
Para continuar leyendo
Solicita tu prueba