El conjunto de elementos normativos, procedimentales, físicos, lógicos, etc, que conforman la infraestructura de seguridad de una organización se pueden situar en una pirámide en la que los elementos superiores determinan y conforman los inferiores.
De este modo los elementos tácticos (políticas de seguridad) determinan los estratégicos (clasificación y organización de los activos de seguridad, conformidad con normativas y legislaciones) y éstos sirven para definir los elementos operativos (gestión de la seguridad del entorno, de los sistemas, de las operaciones,…; gestión de incidencias y continuidad). Las regulaciones o reglamentos (Regulations) son mandatos o normas de obligado cumplimiento que deben ser implementadas, de lo contrario pueden dar lugar a multas, cierre del negocio o incluso encarcelamiento.
Los problemas de seguridad de las redes pueden dividirse en cuatro áreas interrelacionadas (conocidas como Primitivas de Seguridad):
- Confidencialidad: Sólo accede a la información quien debe hacerlo.
- Responsabilidad
- -Autenticación: Los agentes de la comunicación son quien dicen ser.
- -No repudio: No se puede negar el autor de una determinada acción.
- Control de accesos: Garantía de identidad para el acceso.
- Integridad: Detección de alteraciones (intencionadas o no) de la información.
- Disponibilidad: Mantener las prestaciones de los servicios con independencia de la demanda.
- Autenticación: Garantizar que los datos provienen de una parte concreta.
Mecanismos para mantener los sistemas seguros:
- Cifrado o criptología
- Firma Digital
- Autoridades de certificación
- Control de acceso
Ciclo de Deming
Requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI).Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar)