Reingeniería y seguridad en el ciberespacio / J. A. Calle Guglieri.

CONTENIDO
Capítulo 1. Reingeniería y seguridad en el ciberespacio 1
Reingeniería 1
Seguridad 2
Ciberespacio 5
El factor humano: líderes visionarios y compañías dominantes 7
Líderes visionarios 7
Compañías dominantes 9
Capítulo 2. Reingeniería 13
Reingeniería: lo que significa y lo que no es 13
Reingeniería, reingeniería de negocios, reingeniería de los procesos de negocios: consideraciones 16
Reingeniería de negocios 16
Reingeniería de procesos de negocios 16
Módulos de la reingeniería de procesos de negocios 18
Política de la compañía 18
Recursos humanos 19
Tecnología de la información 19
Flujo interfuncional de trabajos 21
Infraestructura física 21
Potenciación y recuperación de recursos humanos 21
Cápítulo 3. Reingeniería y calidad 25
Reingeniería versus calidad 25
Calidad y dominancia competitiva 25
Calidad y calidad total 27
Gestión de calidad total, TQM (Total Quality Management, TQM) 28
Claves para medir la calidad de servicios 29
Benchmarking 30
ISO 9000: estándares y elementos 31
Estándares ISO 9000 31
Elementos de ISO 9001 33
Correspondencia de los elementos ISO 9000 con los criterios de Baldrige 34
Criterios de Baldrige 34
Diferencias entre ISO 9000 Y TQM 35
Capítulo 4. Seguridad 39
Aspectos generales: planes y políticas de seguridad 39
Seguridad-reingeniería-recursos humanos 41
Criptografía 42
Algoritmos para cifrado simétrico (clave secreta) 48
DES (Data Encryption Standard) y SKIPJACK 48
Algoritmos para cifrado asimétrico (clave pública) 49
RSA (Rivest, Shamir, Adleman) 49
PGP (Pretty Good Privacy) 50
DSS (Digital Signature Standard) 50
Diffie-Hellman 51
Kerberos: sistema de autenticación 51
Análisis y gestión de riesgos 53
Metodologías cualitativas y cuantitativas 54
Metodologías y métricas cualitativas 55
Metodologías y métricas cuantitativas 56
Metodologías mixtas automatizadas 57
Análisis de riesgos en CRAMM 58
Gestión de riesgos en CRAMM 58
Petición de documentación e información básicas 59
Inventario electrónico de activos. Papel de un S.I.G. 61
Identificación de activos críticos 62
Valoración de activos críticos 64
Valoración automática del software 68
Identificación de las amenazas y medidas de protección 69
Inteligencia artificial para la detección de intrusiones 72
Medidas preventivas (safeguards) 73
Contramedidas (countermeasures) 75
Categorías de medidas preventivas 76
Seguridad física 76
Seguridad de recursos humanos 77
Seguridad administrativa 77
Seguridad de los media 77
Seguridad de las emanaciones electromagnéticas 78
Controles del ciclo de vida 78
Medidas preventivas agrupadas en servicios de seguridad 78
Autenticación 78
Control de accesos 78
Confindencialidad 78
Integridad de datos 79
No rechazo 79
Principios de selección de medidas preventivas y contramedidas 79
Concertación de pólizas de seguros 80
Vocabulario para análisis y gestión de riesgos 81
Plan de contingencia 84
Instalaciones alternativas de organizaciones externas 86
Subcontratación de servicios por organizaciones externas (outsourcing) 87
Centros de reserva alternativos (backup sites) 88
Centros de reserva calientes (hot sites) 89
Centros de reserva fríos (cold sites) 89
Centros de reserva móviles 89
Oficinas de servicio (service bureaus) 90
Sistemas concha (shell systems) 90
Política corporativa 90
Política corporativa de la seguridad de la información: definición y alcance 92
Marcos legales: legislaciones española, comunitaria e internacional 92
Calidad 94
Concienciación 95
Formación 96
Organización 97
Notaría electrónica (electronic notary's office) 98
Pólizas de seguros en el marco de la seguridad corporativa 99
Auditoría de la seguridad 100
Capítulo 5. Ciberespacio 103
Intranets (redes corporativas virtuales basadas en la WWW) 105
Webware y Groupware: ventajas e inconvenientes de uno y otro 106
Recomendaciones para un proyecto Intranet 110
Almacén de datos (data warehouse) 112
Dimensiones 115
Diferencia entre un almacén de datos y un sistema de base de datos 116
Formas de almacenamiento 117
Esquema en estrella (star schema) 117
Base de datos multidimensional 117
Base de datos fractal 119
Minería de datos (data Mining) 119
Arquitecturas de proceso paralelo 121
SMP (Multiproceso simétrico) 123
MPP (Proceso paralelo masivo) 124
SPP (Proceso paralelo escalable) 124
Sistemas híbridos para la minería de datos 126
El flujo de dinero: su protección 129
La fusión de S-HTTP con SSL 131
El acuerdo de MasterCard con VISA:SET 131
Cortafuegos (Firewalls) y otros medios de seguridad en el Ciberespacio 133
Cortafuegos 133
Enrutador de apantallamiento 134
Bastión 136
Red periférica (perimeter network) 140
Servidor de mediación (proxy Server) 140
Vocabulario escogido de términos clave en Internet 142
Capítulo 6. Seguridad en redes públicas 149
Protección de centros de decisión, control y comunicaciones 150
Aspectos y recomendaciones de protección generales 150
Visualización de instalaciones con SIG y realidad virtual 156
Políticas de seguridad especializadas 157
Estaciones de satélites 157
Instalaciones de cable submarino 160
Centrales y centralitas digitales 165
Sistema de señalización por canal común número 7 168
Sistema de señalización por canal común número 7 169
Topología típica 169
Arquitectura de protocolo 171
Dispositivos de seguridad recomendables 173
Bibliografía sobre SS7 174
Red digital de servicios integrados de banda ancha (RDSI-BA) con MTA 175
Clases de servicio con MTA 177
Modelo de referencia del protocolo RDSI-BA 178
Seguridad en la RDSI-BA 183
Recomendaciones ITU-T para la RDSI-BA 187
Bibliografía sobre RDSI-BA 189
Redes de área local y área extensa 189
El estándar IEEE 802.10 191
SILS (standards for interoperable LAN security) 193
Sistemas inalámbricos: GSM y RAL inalámbricos 193
Seguridad en redes móviles digitales con datos empaquetados por radio: el sistema GSM 194
El sistema GSM 195
Bloques funcionales de la arquitectura GSM 195
Señalización 198
GSM y seguridad 198
Seguridad en redes de área local inalámbricas 200
El estándar IEEE 802.11 200
Bibliografía sobre GSM y RAL inalámbricas 201
Capítulo 7. Reingeniería y seguridad en las futuras redes 204
La orientación a objetos en las nuevas arquitecturas 205
Su adopción en TMN, TINA, PUEN y redes inteligentes 205
ORB (Object Request Broker) 206
Seguridad en CORBA 208
Seguridad en las bases de datos orientados a objetos 210
El paradigma Bell y LaPadula en la orientación a objetos 211
Modelo conceptual de una base de datos orientada a objetos 213
Modelo de seguridad orientado a objetos 215
Modelización de entidades multinivel a partir de objetos mononivel 217
TMN (Telecommunications Management Network) - Red de Gestión de Telecomunicaciones 220
La recomendación ITU-T M.3010 220
Campos de aplicación de TMN 223
Arquitectura física de TMN 224
Arquitectura funcional de TMN 225
Arquitectura de información de TMN 228
Arquitectura de seguridad de TMN 229
Grupos de estudio de TMN 231
Recomendaciones ITU-T para TMN 232
Documentos TMN 232
Redes inteligentes 234
La cooperación ETSI/ITU-T sobre IN/TMN 236
Modelo funcional de una red inteligente 237
Gestión de la red inteligente 237
Seguridad de una red inteligente 238
Modelo físico de una red inteligente 239
SSP (Punto de conmutación de servicios) 240
SCP (Punto de control de servicios) 242
SMS (Sistema de gestión de servicios) 243
SCE (Entorno de creación de servicios) 243
SCN (Nodo circuito de servicios) 244
IP (Periferia inteligente) 244
OOS (Sistemas de soporte de operaciones) 245
STP (Punto de transferencia de señalización) 245
TINA 246
Consorcio TINA 246
Arquitectura TINA 246
Arquitectura computacional 247
Modelo USCM 247
Modelo de información 249
Modelo de ingeniería 250
Arquitectura de servicios 250
Arquitectura de gestión 252
Redes con agentes inteligentes 253
Introducción y concepto de smart networks 253
Agentes inteligentes 255
Tipos de agentes 258
Telescript y su impacto en las nuevas redes 260
Papel de Telescript en la seguridad 263
Tcl Y Safe-Tcl 264
ANEXOS
1. Criterios de evaluación de la seguridad 271
GSSP (Generally Accepted Systems Security Principles) 272
Desarrollo de los GSSP 273
Experiencias aprovechadas 274
Aspectos generales de los GSSP 274
Marco de trabajo 275
Jerarquización de los Principios de Seguridad 275
Anexo A: Guía de "Computers at Risk (CAR)" 281
Anexo B: Estrategias de Protección 283
Anexo C: Significado de los niveles C2 y B1 286
TCSEC (Trusted Computer System Evaluation Criteria) o Libro Naranja 287
Niveles de Seguridad del Libro Naranja 288
Análisis de los siete niveles de seguridad 289
Equiparación entre los criterios del Libro Naranja y los de ITSEC 290
TCB (Trusted Computing Base) 290
CTCPEC (Canadian Trusted Computer Evaluation Criteria) 291
Diferencia entre Funcionalidad (de Seguridad) y Confianza 291
Criterios funcionales y servicios en CTCPEC 292
Características adicionales en CTCPEC 292
ITSE (Information Technology Security Evaluation Criteria) 293
Funcionalidad y Confianza (Assurance) 293
Clases y niveles: relaciones con TCSEC (Libro Naranja) 294
Propiedades y títulos genéricos 295
TOE (Target of Evaluation) y TCB (Trusted Computing Base) 296
LIBRO VERDE (Green Book) sobre la Seguridad de los Sistemas de Información 296
Líneas de acción del borrador del Libro Verde 297
Espectro de medidas del Libro Verde 297
II. Estándares de telecomunicaciones 299
Organizaciones internacionales 300
Organizaciones Europeas 300
Principales organizaciones europeas nacionales 301
Organizaciones europeas comerciales y de usuarios 301
Comités Técnicos de ETSI 301
Organizaciones USA 302
Otras organizaciones (Japón y Canadá) 302
ITU, ITU-T, ITU-T X Series Recommendations 303
Grupos de Estudio de la ITU-T 304
Recomendaciones desde X.1 hasta X.181 304
Series X.200 305
Series X.300 307
Series X.400 309
Series X.500 310
Series X.600 312
Series X.700 312
Series X.800 316
ISO, IEC 319
Comité Técnico ISO/IEC JTC 1 319
Subcomité 27, Grupo de Trabajo 3: Servicios de Seguridad 320
Subcomité 22, Grupo de Trabajo 15 y IEEE 1003.1: POSIX 321
Otros Subcomités y Grupos de Trabajo del Comité JTC 1 322
Comité Técnico ISO 68: Seguridad en Banca y Finanzas 323
Influencia ISO/IEC en Europa 323
El Modelo OSI 323
III. Entornos de sistemas abiertos 325
POSIX (Portable operating System Interface) 326
IEEE P 1003.0 POSIX Guide: Modelos de Referencia 326
IEEE P 1003.6 Y Seguridad 326
OSF Distributed Computing Environment (DCE) 327
La Seguridad en DCE 329
OSF Distributed Management Environment (DME) 330
Network management Option (NMO) 330
Object Management Framework (OMF) 331
Object Management Group (OMG)CORBA 331
X/OPEN 332
X/OPEN Portability Guide (XPG) y POSIX 333