Tuesday, April 24, 2012

Manual de Protección IT Básica - IT Baseline Protection Manual - IT-Grundschutz

La seguridad en los sistemas y estructuras IT es un tema de relevante importancia que concierne no solo a las organizaciones gubernamentales y privadas, también a nosotros mismos.

Estamos en la era de la información, donde los datos se han convertido en un activo de valor apreciable. muchos procesos empresariales de vital importancia son controlados digitálmente. Además, la cantidad de información confidencial que es almacenada, manipulada y transmitida a través de redes o diferentes canales de comunicación es cada día mayor.

BSI

La Oficina Federal Alemana para la seguridad de las tecnologías de la Información (BSI - Bundesamt für Sicherheit in der Informationstechnik) es un organismo independiente y neutral que se encarga de las cuestiones relacionadas con seguridad informática. Fue fundada en Bonn (Alemania) en 1991 como entidad gubernamental con un presupuesto anual de aproximadamente € 65 millones y al rededor de 500 empleados.
La BSI ofrece numerosas herramientas disponibles para lograr un nivel adecuado de seguridad, como las normas básicas requeridas para gestionar la seguridad de la información, el Manual de referencia de protección IT, GSTOOL y la certificación ISO 27001 basada en la norma "IT-Grundschutz", la cual incluye un examen de gestión de seguridad de la información, así como especificaciones de las medidas de seguridad.
Las principales actividades de Investigación del BSI son:
  • Seguridad en Internet
  • Campañas de sensibilización para promover la seguridad IT
  • Asegurar el gobierno en Línea
  • Protección de líneabase IT
  • Certificación y acreditación (incluyendo CC)
  • Criptografía, la biometría
  • Monitorear seguridad
  • Protección de infraestructuras críticas
  • Colaboraciones nacionales e internacionales

Manual básico de Protección IT del BSI

Esta es la publicación más conocida del BSI, fue publicado por primera vez en 1994 y describe con gran nivel de detalle diferentes temas relacionados con la gestión de seguridad de la información, ademas de medidas aplicables en diferentes áreas, no solo relacionadas con tecnología, también en la estructura organizacional, personal e infraestructura física de las organizaciones.
Varios capítulos de este manual fueron actualizados y reestructurados en el año 2005, de donde han resultado dos tomos separados: Los Estándares de seguridad del BSI y el catalogo de IT Grundschutz. Los catalogos Se compone de varios capitulos genéricos de recomendaciones para el establecimiento de un proceso de aplicación de IT de seguridad y recomendaciones técnicas detalladas para alcanzar el necesario nivel de seguridad de TI en dominio específico.
El catalogo IT-Grundschutz proporciona un método sencillo para que las organizaciones puedan implementar La norma SGSI (Sistema de Gestión de Seguridad de la Información). Se compone de dos manuales genéricos de recomendaciones de seguridad IT, los cuales son útiles al establecer procesos de implementación de seguridad IT, y recomendaciones técnicas detalladas para alcanzar un nivel de seguridad adecuado en un dominio específico.
El catalogo IT Grundschutz propone consta de los siguientes pasos en el proceso de implementación de un sistema de seguridad IT:
  • Inicio del proceso
  • Definición de los objetivos de seguridad según el entorno empresarial
  • Establecimiento de una estructura organizativa de seguridad
  • Provisión de recursos y presupuesto necesario
  • Creación del concepto de seguridad a nivel de la organización
  • Análisis de la infraestructura IT
  • Evaluación de los requisitos de protección
  • Planificación, Modelado y diseño del esquema de seguridad
  • Verificación del modelo y el diseño implementado
  • Análisis complementario de Seguridad
  • Aplicación física y realización
  • Mantenimiento, seguimiento y mejora del proceso
  • TI-Grundschutz Certificación (opcional)

Los Catalogos IT Grundschutz

Tienen una estructura modular y contienen secciones independientes para establecer una estructura de seguridad, así mismo, recomendaciones y medidas de seguridad para casos específicos. Describe también las amenazas principales que afectan a una organización y algunas medidas de protección. Así, las organizaciones pueden centrarse en los módulos que sean de interés según su área.
Los módulos del Catálogo de TI-Grundschutz se actualiza y amplía regularmente, teniendo en cuenta los últimos adelantos técnicos en cuanto a Sistemas IT se refiere. Se publican como un conjunto de hojas sueltas, en DVD y también en Internet. Link here



Idea: Existe riesgos similares en muchos sistemas de información, así que se utiliza el principio de reutilización de los catálogos ya predefinidos con medidas de evaluación para los componentes IT similares. Los procesos de aplicación utilizan los siguientes elementos básicos de construcción :
  • Reutilización
  • Capacidad de adaptación
  • Extensibilidad
BSI 100-1: SGSI
Sistemas de Gestión de Seguridad de la Información dirigida a el are directiva, es Compatible con la norma ISO 27001 y cumple con las estrategias y recomendaciones de ISO 13335 y 17799 (27002)
BSI 100-2: Metodologia
Imagen cuadro (Diapositiva 12)
Análisis de la estructura IT:
  • ¿Qué dispositivos hay en mi sistema de Informacion?
  • ¿Cuáles son las dependencias entre estod dispositivos?
  • ¿Como se relaciona Informacion?
Se define el ámbito de aplicación para la creación del concepto de seguridad, y su relacion en la totalidad la infraestructura, personas y componentes técnicos que hacen parte de la organización.
Se analiza el desempeño y las funciones en una aplicación particular. Por ejemplo, el procesamiento de la información o la utilización de recursos informáticos.
El analisis de la forma en que se relaciona la información incluye: * La estructura IT de toda la organización * La estructura IT de cada una de las áreas individuales (por ejemplo, el departamento de redes) o las aplicaciones informáticas (por ejemplo, el sistema de información del personal) * Los procesos de negocio
Subtareas del Análisis Estructural:
* El registro de los procesos de negocio, aplicaciones y la información relacionada
* Creación o actualización la topología de red
* Evaluación de los sistemas IT
* Encuesta de sistemas de TI
* Creación y adaptacion de espacios seguros
* Reducción de la complejidad formando pequeños grupos de evaluación
Requisitos de protección:
Evaluación de los requisitos de confidencialidad, integridad y disponibilidad (Normal - alto - muy alto)
la necesidad de protección no suele ser fácilmente cuantificable, por lo tanto está limitada a tres categorías:
  • "Normal": Los efectos de los daños son limitados y manejables.
  • "Alto": Los efectos de daño pueden ser ser sustanciales.
  • "Muy alto": Los efectos y alcance de daño puede ser amenazante y catastróficos para la existencia de la organización
Pasos de los Requisitos de protección

  • Definición de las categorías Requisitos de protección
  • Solicitudes, incluyendo sus datos Sistemas de TI
  • Enlaces de comunicación
  • Aulas de informática
  • el uso de escenarios típicos de los daños
  • Documentación de los resultados

Requisitos de protección de los sistemas IT
* Principio Máximo: En un sistema de TI pueden ejecutar múltiples aplicaciones. En esencia se determina el daño con la más grave y el Impacto de las necesidades de protección del sistema de TI.
Efecto acumulativo: Causada por la acumulación de varios (por ejemplo, más pequeño) un daño mayor daño total general. Los requisitos de protección del sistema de TI
aumenta en consecuencia.
Distribución de efecto: Una aplicación transfiere su exigencia de una alta protección no se basa en un sistema de TI, ya que ejecuta en este sistema de TI sólo pequeñas partes de la aplicación de TI.
Con un diseño de sistema redundante es las necesidades de protección de los componentes individuales inferiores a los requisitos de protección de la aplicación en general.

Comprobación de seguridad básica:
- Objetivo de comparación

- Posible implementación de todas las medidas

Comparación real de las medidas Realizadas con las medidas Recomendadas para proceder a su implementación:

Estado de la aplicación de medidas
  • <Sí> La medida se aplica plena y eficazmente.
  • <Indispensable> hay otras medidas o La amenaza no existe.
  • <parcialmente> La medida está parcialmente implementado.
  • <No> La medida no se aplica.

Medidas
A: medidas esenciales
A + B: medidas más importantes
A + B + C: las medidas pertinentes
Z: medidas adicionales

W: Conocimiento

Comprobación de seguridad básica:
- Deben compararse
- Posible implementación de todas las medidas
análisis complementario de seguridad:
- Del mismo modo detallado análisis de riesgo
- A diferencia de otros métodos: "Peligros" como una combinación de Amenazas y vulnerabilidades

Norma: BSI 100-3 Análisis de riesgos basados en los catalogos de IT Grundschutz
1. Preparación de Amenaza de resumen
2. Identificación de los adicionales Peligros
3. Evaluación de riesgos
4. Medidas para la selección y tratamiento de los riesgos
5. Consolidación del Concepto de seguridad

El tratamiento de los riesgos
Transferir
Monitoreo... pag 30

Herramienta de línea de base de TI de Protección
Apoyo para 
• Aplicación de un análisis de GS

• Generación de informes
• Certificación
Costo:
• alrededor de € 900 para la versión de usuario único,
• Versión de prueba gratuita por 30 días


La certificación ISO 27001 con las bases IT GS

sobre la base de la protección basal TI
ISO 27001 + Protección de lineabase


Fases de certificación de la norma ISO 27001 -

Inicialización
• Certificación de la aplicación
• Autoridad para llevar a cabo una auditoría
• Si es necesario. Coordinación de la Red de Información

Realización de la auditoría
• Revisión de la documentación
• Preparación de las actividades de auditoría en el sitio
• Llevar a cabo auditorías de los locales

Re-certificación de la Auditoría
• la ejecución de las actividades de auditoría en el sitio

Revisión de las auditorías
• Elaboración de informes de auditoría
• Revisión

IT de referencia la certificación de protección desde el año 2006

Una certificación de las partidas del balance ...

incluye tanto una revisión del SGSI y el hormigón
Las medidas de seguridad sobre la base de la protección de referencia de TI,
siempre incluye una certificación oficial de la ISO a la norma ISO 27001,
Sin embargo, debido a los aspectos técnicos, además, examinados
mucho más significativa que una pura certificación ISO.
Autorizado por los auditores BSI ...
cumplir todos los requisitos que la ISO es para los auditores de un SGSI (ISO 27006)

Certificado de Protección de línea de base
Nivel de Entrada: Auditor Certificado, medidas indispensables (A)

Nivel Avanzado: Auditor Certificado, Medidas importantes  (A + B)
Certificado: Medidas relevantes (A + B + C), pruebas delSGSI despues de ISO 27001

¿Por qué certificarce?

Optimización de los procesos internos
  • funcionamiento ordenado de TI efectivo
  • a medio plazo ahorro de costes
Nivel de seguridad de TI se puede medir

Aumentar el atractivo para los clientes y socios de negocios con requisitos de alta seguridad
Los empleados y la gestión se identifican con Los objetivos de TI de seguridad y se sienten orgullosos de nuestros logros

Página 44
Las experiencias con la certificación
La certificación es adecuado para las pequeñas empresas, tales como
adecuado para grandes centros de datos!
La aplicación de la protección básica de TI: 6 - 12 meses
Los gastos del auditor: 15 - 30 días

Factores de éxito:
  • Apoyo a la gestión
  • La comprensión, la cooperación y la activa El apoyo de la TI y los gerentes de telecomunicaciones
  • agrupación coherente
  • Herramienta de Apoyo

Página 45
Licencia de Auditor ISO 27001
La licencia es el punto de partida del Auditor y es  válida por 5 años.
De formación anual sobre la reunión libre de los auditores
Una extensión de la validez
es una nueva aplicación
posible
descargarse del sitio web: www.bsi.bund.de/gshb/zert/auditoren/lizensierungsschema.htm

Guia de Segurida IT

• Información básica para PYMEs
• Las medidas de fracaso (50)
• Listas de comprobación

La protección básica GSTOOL
• Formación de la metodología
• Auto-estudio
• cada 4 horas

El proceso de seguridad de TI que ella propone-Grundschutz consta de los siguientes pasos:
R.A. Fases método apropiado para

La identificación de riesgos: Cada módulo de TI-Grundschutz contiene una lista de las amenazas típicas. Las amenazas también se clasifican en 5 catálogos de amenazas. Identificación de las amenazas adicionales se lleva a cabo durante el análisis de riesgo suplementario.

La caracterización del riesgo es el resultado de la evaluación de las necesidades de protección. Para este propósito, las categorías de protección requisito se definen y escenarios posibles daños son asignados a estas categorías de protección requisito. Una caracterización del riesgo que se den más en el análisis de riesgo complementaria, cuando los riesgos se caracteriza con la ayuda de la decisión de asignar de la forma de manejar

El análisis de riesgos: Para cada amenaza, contenida en un módulo, una descripción detallada de la rosca se proporciona.

La evaluación del riesgo: Una evaluación de la exposición se realiza dentro de la evaluación de los requisitos de protección con la ayuda de escenarios de daños. Por las amenazas identificadas en el marco de un análisis de riesgo adicional, la evaluación de la exposición se lleva a cabo durante la fase de la evaluación de las amenazas.

R.M. Fases método apropiado para la evaluación de riesgos:

El tratamiento de riesgos: Los catálogos de dispositivos de seguridad recomendados. Descripción detallada de las garantías asignadas a cada módulo de TI Grundschutz. Asignación de las salvaguardias a las amenazas consideradas (cruzar las tablas de referencia).

Aceptación del riesgo: El análisis de riesgos basado en TI-Grundschutz ", amenazas de manipulación" en la Parte C.
Fuentes:
https://www.bsi.bund.de/ContentBSI/grundschutz/intl/intl.html
http://rm-inv.enisa.europa.eu/methods_tools/m_it_grundschutz.html
http://de.wikipedia.org/wiki/IT-Grundschutz

Informacion Adicional

Si tienes información adicional sobre este tema, tus comentarios o links de referencia serán bienvenidos.

ISO/IEC 27005 Gestion de riesgos de seguridad de la Información

Esta norma contiene recomendaciones y directrices generales para la gestión de riesgos en sistemas de seguridad de la Información. Es compatible con los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada como soporte para aplicar satisfactoriamente un SGSI basado en un enfoque de gestión de riesgos.

la norma ISO/IEC 27005 reemplaza a la norma anterior, ISO13335-2 "Gestión de seguridad de la información y la tecnología de las comunicaciones". La norma fue publicada por  primera vez en junio de 2008, aunque hay una nueva versión mejorada en el 2011.

El riesgo se define como una amenaza que explota la vulnerabilidad de un activo pudiendo causar daños. El riesgo IT está relacionado con el uso, propiedad, operación, distribución y la adopción de las tecnologías de la Información en una organización. Aunque no existe un método concreto de como gestionar riesgos, se recomienda usar un proceso estructurado, sistemático y riguroso de análisis de riesgos para la creación del plan de tratamiento de riesgos.

Los indicadores de riesgo muestran si la organización está sujeta o tiene una alta probabilidad de ser sometida a un riesgo que excede el riesgo permitido.


Gestión de Riesgos en Tecnologías de la Información 


Gestión del Riesgo es una actividad recurrente que se refiere al análisis, planificación, ejecución, control y seguimiento de las medidas implementadas y la política de seguridad impuesta.

La actualización de establecimiento, mantenimiento y continua mejora de un SGSI ofrecen una clara indicación de que una empresa está utilizando un enfoque sistemático para la identificación, evaluación y gestión de riesgos de seguridad de la información.

Identificación de riegos 


Un evento solo es un riesgo si existe un grado de incertidumbre asociado con el, por ejemplo:El valor de un activo puede cambiar su valor durante la ejecución de un proyecto, por experiencia esto es cierto, pero ¿cuanto puede cambiar? no lo sabemos, por lo tanto es un riesgo que debemos evitar en un proyecto pequeño. Por lo tanto debemos estar seguros de identificar el riesgo en realidad y no sus causas o efectos.

Si consideramos otro ejemplo, debemos instalar una determinada aplicación de software en varias sucursales de una empresa, pero no todas las oficinas poseen la misma capacidad de almacenamiento o las ultimas actualizaciones de sistemas operativos
  • ¿Es un riesgo la instalación? No, es un requerimiento
  • ¿Es un riesgo de que alguna sucursal termine sin usar la aplicación? No, este es un efecto en este proyecto, sin embargo puede ser un riesgo futuro que la sucursal  no tenga la aplicación.
  • ¿Es un riesgo que la aplicación no se pueda instalar por algún motivo? Si, es incierto, solo lo sabremos cuando lo intentemos
Ejemplos de Riesgos en IT
  • Corrier aplicaciones en condiciones vulnerables
  • Sistemas operativos, vulnerables y sin actualizaciones
  • Diseñar aplicaciones inapropiadas, incompletas, con bugs y errores recurrentes
  • Tecnologías obsoletas
  • Mal rendimiento de la infraestructura IT

Evaluación del riesgos


Es necesario establecer un vínculo entre los escenarios de riesgos IT y el impacto empresarial que estos generarían, para así comprender el efecto de los eventos adversos que se pueden desencadenar.

La evaluación de riesgos se ejecuta en los puntos discretos de tiempo (por ejemplo una vez al año, en la demanda, etc) y - hasta que el rendimiento de la próxima evaluación - proporciona una visión temporal de los riesgos evaluados.

La evaluación de riesgos se realiza a menudo en más de una iteración, la primera es una evaluación de alto nivel para identificar los riesgos altos, mientras que las iteraciones posteriores detallan en el análisis de los riesgos principales y tolerables. Varios factores ayudan a seleccionar eventos con cierto grado de riesgo:
  • Probabilidad
  • Consecuencias
  • Ocurrencia
  • Urgencia
  • Maleabilidad
  • Dependencia
  • Proximidad
Adicionalmente la evaluación de riesgos requiere los siguientes puntos:
  1. Un estudio de vulnerabilidades, amenazas, probabilidad, pérdidas o impacto, y la supuesta eficiencia de las medidas de seguridad. Los directivos de la organización utilizan los resultados de la evaluación del riesgo para desarrollar los requisitos de seguridad y sus especificaciones.
  2. El proceso de evaluación de amenazas y vulnerabilidades, conocidas y postuladas para estimar el efecto producido en caso de pérdidas y establecer el grado de aceptación y aplicabilidad en la operaciones del negocio.
  3. Identificación de los activos y facilidades que pueden ser afectados por amenazas y vulnerabilidades.
  4. Análisis de los activos del sistema y las vulnerabilidades para establecer un estimado de pérdida esperada en caso de que ocurran ciertos eventos y la probabilidades estimadas de la ocurrencia de estos. El propósito de una evaluación del riesgo es determinar si las contramedidas son adecuadas para reducir la probabilidad de la pérdida o el impacto de la pérdida a un nivel aceptable.
  5. Una herramienta de gestión que proporcione un enfoque sistemático que determine el valor relativo de:
    • La sensibilidad al instalar activos informáticos
    • La evaluación de vulnerabilidades
    • La evaluación de la expectativa de pérdidas
    • La  percepción de los niveles de exposición al riesgo
    • La evaluación de las características de protección existentes 
    • Las alternativas adicionales de protección
    • La aceptación de riesgos 
    • La documentación de las decisiones de gestión. 
Decisiones para la implementación de las funciones de protección adicionales se basan normalmente en la existencia de una relación razonable entre costo/beneficio de las  salvaguardia y la sensibilidad / valor de los bienes que deben protegerse. Las evaluaciones de riesgos pueden variar de una revisión informal de una instalación a escala microprocesador pequeño para un análisis más formal y plenamente documentado (por ejemplo, análisis de riesgo) de una instalación a escala de ordenadores. Metodologías de evaluación de riesgos pueden variar desde los enfoques cualitativos o cuantitativos a cualquier combinación de estos dos enfoques.

Análisis de Riesgo


Este es el paso principal en el marco de la norma ISO/IEC 27005. La mayor parte de las actividades primarias se prevé que el primer proceso de evaluación de riesgos. Este paso implica la adquisición de toda la información pertinente sobre la organización y la determinación de los criterios básicos, finalidad, alcance, límites y organización de las actividades de gestión de riesgos. El objetivo es por lo general el cumplimiento de los requisitos legales y proporcionar la prueba de la debida diligencia el apoyo de un SGSI que puede ser certificado. El alcance puede ser un plan de notificación de incidentes, un plan de continuidad del negocio.

Los criterios incluyen la evaluación del riesgo, aceptación de riesgos y criterios de evaluación de impacto. Estos están condicionados por:
  •      requisitos legales y reglamentarios
  •      el valor estratégico para el negocio de los procesos de información
  •      expectativas de los interesados
  •      consecuencias negativas para la reputación de la organización
Establecer el alcance y los límites, la organización debería ser estudiado: su misión, sus valores, su estructura y su estrategia, sus lugares y el medio ambiente cultural. Las limitaciones (presupuestarias, culturales, políticos, técnicos) de la organización deben ser recogidos y documentados como guía para los pasos a seguir.

Escenarios de riesgo


Escenarios de riesgo es el corazón del proceso de evaluación de riesgos. Los escenarios pueden derivarse de dos maneras diferentes y complementarias:
  •     Enfoque de arriba hacia abajo de los objetivos generales de la empresa a los escenarios de riesgo más probable es que puede tener un impacto.
  •     Enfoque de abajo hacia arriba, donde se aplica una lista de escenarios de riesgo genéricos a la situación
Cada uno de los escenarios de riesgo se analiza para determinar la frecuencia y el impacto, sobre la base de los factores de riesgo.

Respuesta a los Riesgos


El propósito de definir una respuesta al riesgo es llevar el riesgo en nivel que se pueda tolerar. es decir, el riesgo residual debe ser dentro de los límites de tolerancia al riesgo. El riesgo puede ser manejado de acuerdo cuatro estrategia principales (o una combinación de ellos):
  •         Evitar el riesgo aislando las actividades que dan lugar al riesgo
  •         Mitigar el riesgo adoptando medidas que detectan y reducen el impacto del riesgo
  •         Transferir riesgos a otras áreas menos susceptibles o a otras entidades con mas experiencia (outsourcing)
  •         Aceptar riesgos que se corren deliberadamente y que no se pueden evitar, sin embargo es necesario identificarlos, documentarlos y medirlos


Si tienes información adicional sobre este tema, tus comentarios o enlaces de referencia serán bienvenidos.

Monday, April 23, 2012

ISO/IEC 27002 Código de prácticas para la gestión de seguridad de la información

    El objetivo de la norma ISO 27002 antes ISO 17799:2005), es definir un marco para la gestión de la información de seguridad. Esta norma se centra principalmente en los pasos necesarios para establecer el funcionamiento del SGSI y aplicarlo en la organización.

    Las medidas de seguridad necesarias se describen brevemente en aproximadamente 100 páginas de la norma. Las recomendaciones están destinados principalmente a nivel de gestión por lo tanto no contienen mucha información técnica.

    La implementación de las recomendaciones de seguridad en la norma ISO 27002 es una de las muchas maneras para cumplir los requisitos de la norma ISO 27001.

    Contenido

    • Estructura con 11 áreas temáticas, clausulas o secciones  de control
      • Política de Seguridad
      • Organización de la seguridad de la información
      • Gestión de Activos
      • Seguridad de Recursos Humanos 
      • Seguridad física y ambiental
      • Gestión de Comunicaciones y  Operaciones
      • Control de Acceso
      • Adquisición de Sistemas de Información, Desarrollo y Mantenimiento
      • Gestión de Incidentes de Seguridad de la Información 
      • Gestión  de continuidad
      • Conformidad 
    • Por cada área se definen uno o más objetivos control, indican que se puede lograr, en total son 39
    • Para cada objetivo de control se definen uno o varios controles de seguridad, responden a  ¿Cómo puede logar el objetivo de control? en total son 133 controles

    Control

    Es una medida de seguridad que utilizan las empresas para gestionar el riesgo, incluye políticas de seguridad, procedimientos, directrices, prácticas y estructuras organizativas, las que pueden ser administrativas, técnicas, de gestión, o de carácter legal. También son como  salvavidas, medidas correctivas (countermeasure) o soluciones puntuales a situaciones concretas, por lo tanto sin un SGSI los controles pueden tender a ser un poco desorganizados y desarticulados.

    El Anexo A de la norma ISO/IEC 27001 enumera los controles de seguridad de la información de la norma ISO/IEC 27002 (Código de mejores Prácticas del SGSI), el cual  proporciona información adicional y asesoramiento sobre la ejecución de los controles de seguridad.

    Varios conjuntos adicionales de controles puede ser utilizados potencialmente dentro de la norma ISO/IEC 27001 e incluso remplazar la norma ISO/IEC 27002, sin embargo  estas dos normas suelen se utilizarse juntas en la práctica para satisfacer muchos de los requisitos de la certificación, el problema es que pueden carecer de algunos de los elementos del sistema de gestión global. Lo contrario también es cierto, en otras palabras, el cumplimiento certificado de la norma ISO/IEC 27001 garantiza que el SGSI está en operando correctamente, pero dice poco sobre el estado absoluto de seguridad de la información dentro de la organización

    Los controles técnicos de seguridad, como Antivirus y Firewalls normalmente no se auditan en la certificación de la norma ISO/IEC 27001: la organización presume que se han adoptado todas las medidas de seguridad de la información necesaria desde el SGSI y se considera adecuada cuando cumpla con los requisitos de la norma ISO/IEC 27001.

    Cada control consiste en:
    • Declaración de Control
    • Guía de Implementación y Certificación
    • Información Adicional



    Si tienes información adicional sobre este tema, tus comentarios o enlaces de referencia serán bienvenidos.

    La Familia 27000 y sus amigos

    Es un conjunto de normas aplicables a todas las organizaciones sin importar su tamaño o rubro. Ademas de enfocarse en la privacidad, la confidencialidad o los problemas técnicos de seguridad de los sistemas IT, va dirigida a evaluar los riesgos de seguridad de la información, con el fin de implementar medidas y controles adecuados según las necesidades, directrices y sugerencias de cada empresa.

    Las normas de la familia ISO/IEC 27000 proporcionan orientación sobre determinados aspectos de diseño, implementación y operación de un Sistema de Gestión de seguridad de la Información (SGSI), además ofrece recomendaciones de mejores prácticas, manejo de riesgos y los controles aplicables al SGSI, de forma análoga a los sistemas de gestión para el aseguramiento de la calidad (ISO 9000) y del protección del medio ambiente ( Serie ISO14000).

    Dada la naturaleza dinámica de la seguridad de la información, el concepto de SGSI incorpora actividades de retroalimentación y mejora continua, los cuales se resumen en el modelo Deming "Planificar-hacer-verificar-actuar", enfoque, que tratan de abordar los cambios en las amenazas, vulnerabilidades e impacto de los incidentes de seguridad de la información.


    Seguridad de la información


    Este término surgió a partir de prácticas y procedimientos seguidos para salvaguardar los sistemas de seguridad informática. Se define como la protección, uso, procesamiento, divulgación, alteración, modificación, lectura, inspección, registro o destrucción, almacenamiento y transmisión de información o de datos en los sistemas de una organización.

    La gestión de la Seguridad de la información se ha convertido en garantía de que las organizaciones utilizan sistemas de gestión de riesgos, Si bien se centra predominantemente en la información en forma digital, también abarca la forma analógica o física.

    Este es un enfoque interdisciplinario que se basa en varios campos, incluyendo la contabilidad, criptografía, ciencias forenses, Sistemas de gestión, ciencias de la computación, ingeniería de seguridad,  la criminología, además de la informática.

    Apéndice de Normalización

    Las normas son el producto de la norma ISO/IEC JTC1 (Comité Técnico Conjunto 1) SC27 (Sub-comité 27), un organismo internacional que se reúne en persona dos veces al año.

    Organismos Internacionales
    ISO         Organización Internacional de Normalización
    IEC         Comisión Electrotécnica Internacional
    CEN        Comité Europeo de Normalización
    ÖNORM  Instituto Austriaco de Normas
    DIN        Instituto Alemán de Normalización
    BSI         British Standards Institution
    AFNOR    Asociación Francesa de Normalización
    ANSI       American National Standards Institute

    Como funcionan la aprobación y publicación  de una norma:

    http://www.iso.org/iso/iso_technical_committee?commid=45306



    En la actualidad, once de las normas de la serie están publicados y disponibles, mientras que varios más están todavía en desarrollo. Los originales de normas ISO / IEC son vendidos directamente por la norma ISO, mientras que los puntos de venta asociados con diversos organismos nacionales de normalización también venden varias versiones, incluyendo traducciones locales.

    IS 27000   Bases y Vocabulario del SGSI
    IS 27001   Requerimientos del SGSI
    IS 27002   Código de buenas prácticas para la gestión de seguridad de la información
    IS 27003   Guía de implementación del SGSI
    IS 27004   Medidas de gestión de la seguridad de la información
    IS 27005   Gestión de riesgos en seguridad de la información
    IS 27006  Requerimientos para los organismos que proveen Auditorias y certificaciones SGSI
    IS 27007   Guías de referencia para auditar un SGSI, No publicado aún,
    IS 27011   SGSI para organizaciones que prestan servicios de telecomunicaciones




    Si tienes información adicional sobre este tema, tus comentarios o links de referencia son bienvenidos.

    Sunday, April 22, 2012

    ISO/IEC 27001 Requisitos para mejorar los Sistemas de Gestión de la seguridad de la Información (SGSI)

    ISO/IEC 27001 es una normativa internacional válida desde octubre del 2005 y se deriva de la norma BS 7799-2 del grupo BSI (British Standards Institution). Esta norma  especifica formalmente todo el proceso requerido para implementar y aplicar un sistema de gestión de seguridad de la información (SGSI). Ser una especificación formal significa que se deben reunir ciertos requisitos específicos en busca de una certificación.


    La gerencia de la organización determina el alcance del SGSI y delimitación  de la certificación a una sola unidad de negocio, por lo tanto La norma ISO/IEC 27001 no significa necesariamente que el resto de la organización, fuera del área de ámbito, tiene un enfoque adecuado para la gestión de seguridad de la información.

    Modelo Deming de aseguramiento de calidad

    Enfoque orientado a procesos de ISO/IEC 27001 

    Examina sistemáticamente los riesgos de la organización de seguridad de información, teniendo en cuenta las amenazas, vulnerabilidades e impactos.

    Diseña e implementar un conjunto coherente y exhaustivo de los controles de seguridad de la información y/u otras formas de tratamiento de riesgos (por ejemplo, la cobertura de riesgos o de transferencia de riesgo), es especial para hacer frente a esos riesgos que se consideran inaceptables.

    Adoptar un proceso de gestión global sobre una base de realimentación continua para asegurar que los controles de seguridad de la información siguen satisfaciendo las necesidades de la organización.




    Las organizaciones que afirman haber adoptado la norma ISO/IEC 27001, deben ser formalmente auditado y certificado conforme a la normativa.



    Responsabilidad de la administración
    Auditorías internas del SGSI
    examen de la gestión de ISMS
    Control de Documentos

     
    Declaración de aplicabilidad:
    • Los objetivos de control y controles seleccionados
    • Los objetivos de control y controles aplicados 
    Los objetivos de control y los controles no seleccionados,  justificación


    Comparación de ISHB y SGSI


    Certificación

    la certificación SGSI se aplica a empresas, no a productos o servicios, una empresa certificada garantizar a sus clientes y socios, que cumple con las normas de seguridad, por lo tanto es fiable y maneja criterios de calidad.


    En algunos países, los organismos que verifican la conformidad de los sistemas de gestión a las normas especificadas son llamados "organismos de certificación", mientras que en otros se refieren comúnmente como "organismos de certificación".

    Los requisitos de la entidades acreditadoras son:

    • imparcialidad
    • neutralidad
    • Repetibilidad
    • objetividad
    • independencia financiera
    En Austria: La acreditación se hace por medio del BMWFJ y CIS (Certified Information Security Services) 

    La norma ISO/IEC 27001 al igual que otras certificaciones ISO de sistemas de gestión, por lo general implica un proceso de auditoría en tres etapas:

    Etapa 1 Es un examen preliminar e informal del SGSI, comprobando la existencia y la integridad de la documentación clave, como las políticas de seguridad de la información dentro de la organización, la Declaración de Aplicabilidad (SOA) y Plan de Tratamiento del Riesgo (RTP). Esta etapa sirve para familiarizar a los auditores de la organización y viceversa.

    Etapa 2 Es una auditoría de cumplimiento más detallada y formal. Los auditores buscan pruebas para confirmar que el sistema de gestión ha sido correctamente diseñado e implementado, por ejemplo: Confirmar que un comité de seguridad o cuerpo similar de administración se reúne periódicamente para supervisar la operación del SGSI.

    Etapa 3 Seguimiento de revisiones o auditorías para confirmar que la organización siga cumpliendo con la norma. El Mantenimiento de la certificación requiere de evaluaciones periódicas para confirmar que el SGSI sigue funcionando según lo especificado y previsto. Estos deben ocurrir al menos una vez al año, pero a menudo se realizan con más frecuencia, en particular, mientras que el SGSI todavía está madurando.

    Duración del proceso de certificación

    3 años con auditorias de vigilancia cada 6 meses, después es necesaria una re-certificación



    Fuentes: www.bitkom.org

    Si tienes información adicional sobre este tema, tus comentarios o links de referencia son bienvenidos. 

    Saturday, April 21, 2012

    Criterios comunes para probar y evaluar la Seguridad en las Tecnologías de la Información

    Tambien conocida como "Common Criteria" o CC, es una norma de certificación reconocida internacionalmente para certificar los procesos de implementación, especificación, desarrollo y evaluación en productos de seguridad informática.

    Los fabricantes y vendedores de productos de seguridad IT como Controladores de seguridad, tarjetas inteligentes(Smart Cards), etc, afirman reunir ciertas características de seguridad, sin embargo la seguridad y la confianza van de la mano, por lo tanto deben medirse de manera rigurosa y estandarizada para garantizar la funcionalidad ofrecida.

    Versión 3.1R3 (2007): Vigente actualmente (Febrero 2012), al unificar las Norma internacionales ISO/IEC 15408, ITSEC (Europa), TCSEC, FC (EE.UU) y CTCPEC (Canadá), está reconocida oficialmente por 26 naciones.

    Beneficios 

    • Los usuarios de sistemas IT pueden especificar sus requisitos funcionales de seguridad, disponibilidad  y garantía.
    • Los proveedores pueden garantizar asegurar el cumplimiento de los atributos de seguridad que ofrecen sus productos.
    • Los investigadores y desarrolladores pueden evaluar los productos IT para determinar si, efectivamente, cumplen los beneficios ofrecidos.  

     

    Contenido

    Parte 1: Introducción y modelo general
    Parte 2: Componentes de seguridad funcionales
    Parte 3: Componentes de Aseguramiento de seguridad

     

    Objeto de Evaluación (TOE Target of Evaluation) 

    Es el producto o sistema de información que requiere una evaluación para validar sus  características de seguridad y su funcionamiento.

     
     

    Perfiles de Protección (PP)


    Son Documentos creados por un usuario o comunidad de usuarios que identifican los requisitos y especificaciones de seguridad que debe cumplir una familia de productos IT o sistemas de información, así Los clientes que buscan cierto producto pueden centrarse en los certificados PP que cumplan sus necesidades.

    Un PP especifica los criterios generales de evaluación de seguridad para que los clientes puedan justificar con motivos tangibles la reclamación a los vendedores el producto. Los desarrolladores pueden optar por diseñar productos que cumplan con uno o más PP que han sido parte de los procesos de evaluación.


    Ejemplos de PP


    Tarjeta Inteligente usada como dispositivo de creación de Firma digital con los Perfiles de protección de acuerdo con los Criterios Comunes certificados por BSI

    Tipo 1
    : Generación de claves seguras de firmas digitales>EAL 4 + BSI-PP-0004-2002T

    Tipo 2: Almacenamiento de la clave y producción de firmas> EAL 4 + BSI-PP-0005-2002T

    Tipo 3: Combinación de 1 y 2 en un dispositivo> EAL 4 + BSI-PP-0006-2002T


     

    Objetivo de Seguridad (ST - Security Target) 


    Documento proporcionado por el desarrollador del producto, que especifica los criterios de seguridad que se pueden evaluar en el TOE y utiliza uno o más PPs como puntos de referencia.

    Esto permite a los proveedores adaptar  con precisión su producto para que coincida con los campos de aplicación. Por ejemplo un firewall de red no tiene que cumplir los mismos requisitos funcionales que un sistema de gestión de bases de datos (DBMS). El ST se suele publicar para que los clientes potenciales pueden determinar las características específicas de seguridad que han sido certificadas por los entes de evaluación.

    Los autores del ST pueden aseguran el cumplimiento de uno o mas requisitos de seguridad delineados por la plantilla del PP, Así reúnen una descripción completa y rigurosa de los posibles problemas de seguridad de un TOE, incluyendo  las amenazas, los supuestos, los requisitos funcionales de seguridad (SFR) y requisitos de aseguramiento de seguridad (SARs). 




    Requisitos funcionales de seguridad (SFR)

    CC posee un catálogo estándar de funciones que definen las características individuales de seguridad que posee un producto. Por ejemplo: El control de acceso y autenticación de un usuario que posee un determinado rol, tecnologías adicionales como encripción, protocolos de comunicaciones, auditoría, etc.

    La lista de SFR puede variar de una evaluación a la siguiente, incluso si dos objetivos son el mismo tipo de producto. A pesar de que el Common Criteria no requiere que algún SFR sea  incluidos en el ST, identifica las dependencias de la correcta operación de una función, como Limitar el acceso de usuarios de acuerdo a roles, sea dependiente de otra función como la capacidad de identificar roles individualmente.

    Evaluación

    El proceso de evaluación trata de establecer el nivel de confianza que puede ser asignado a las características de seguridad del producto mediante de procesos de garantía de calidad. Las instituciones evaluadoras hacen tres posibles tipos de Pruebas y evaluación para comprobar que los productos de seguridad informática y sistemas de Información realmente reúnen las características que afirman.

    • Criterios para probar y evaluar los perfiles de protección (PP).
    • Requisitos de seguridad basados en los criterios para probar y evaluar los objetivos de seguridad(ST) por medio de los objetos de seguridad (TOE)
    • Pruebas y evaluación de un TOE basados en los criterios ya evaluados de los ST o PP

    Requisitos de Aseguramiento de seguridad (SAR)


    Los requisitos para un objetivo particular o tipos de productos están documentados en el ST y el PP, respectivamente, Sin embargo SAR describe las medidas para asegurar la calidad y el cumplimiento de las funciones de seguridad adoptadas durante el desarrollo, las pruebas y evaluación del producto.

    Una evaluación puede requerir que todo el código fuente se mantenga en un sistema de gestión de cambios, que se realice una prueba funcional completa, el uso de métodos formales o semiformales para analizar el código fuente y garantizar la calidad de las herramientas de desarrollo (compilador, lenguaje de programación, plataformas, infraestructura, etc...)


    Niveles de Integridad o Nivel de Aseguramiento de evaluación ( EAL- Evaluation Assurance Level)

    PP también especifica el EAL en el rango de 1 al 7, lo que indica la profundidad y el rigor de la evaluación de la seguridad, por lo general en forma de documentación de apoyo y pruebas, que un producto cumple con los requisitos de seguridad especificados en el PP. 

    EAL1: Pruebas funcionales, sin la cooperación de los desarrolladores, el TOC trabaja de acuerdo con la documentación
    EAL2: Pruebas estructurales, los sistemas existentes, donde no hay documentación completa disponible para el Desarrollo
    EAL3: Metódicamente probado y comprobado, seguridad media
    EAL4: Metódicamente desarrollado, probados y revisados, Seguridad media y alta, es el nivel mínimo mas aceptado.
    EAL5: Semi-formalmente diseñado y probado, lenguaje con sintaxis restringido, Seguridad alta.
    EAL6: Diseño semi-formal, verificado y probado, Se usa en tecnologías de alta seguridad en un entorno de desarrollo con controles estrictos
    EAL7: Diseño formalmente verificada y probada. TOG adecuado para su uso en situaciones con riesgos extremadamente alto; un análisis formal y amplio de las funcionalidades de seguridad requerida.

    Niveles de jerarquía de los requerimientos de seguridad 

    1. Clases de seguridad: Objetivos generales de seguridad contra diferentes amenazas

    Certificación


    Esquema del Sistema de certificación: Son documentados públicamente accesibles, los cuales resumen todos los principios, normas y procedimientos que se llevan a cabo para evaluar y emitir certificados.

    Principio de separación de poderes :
    • Cliente:  (patrocinador): responsable de la TOE
    • Auditor: (Entidad de valoración) responsable de las pruebas, Requisitos EN 45001
    • Certificación: (Entidad certificadora): Hace seguimiento de la evaluación y las pruebas de las certificados, Requisito EN 45011
    • Acreditación: vigila el cumplimiento de las normas, acreditando la certificación y la auditoría.

    Acuerdo de Reconocimiento según los Criterios comunes (CCRA)

    Acuerdo CC firmado en el 2000 por los países como Australia, Alemania, Finlandia, Francia, Grecia, Reino Unido Italia Canadá Países Bajos Nueva Zelanda Noruega Gran Bretaña, Italia, Canadá, Nueva Zelanda, Países Bajos, Noruega, España, Estados Unidos.

    Más tarde en el 2002 se unieron países como: Dinamarca, India, Israel, Japón, Corea del Sur, Malasia, Austria, Pakistán, Singapur, Suecia, República Checa, Turquía y Hungría.

    Los  certificados de seguridad TI deben tener reconocimiento global y se basan en CC incluyendo el nivel de aseguramiento EAL4.


    SOGIS-MRA

    Acuerdo de Reconocimiento Mutuo de Evaluación en Certificación de la seguridad en tecnologías de la Información. (SOGIS Mutual Recognition Agreement of Information Technology Security Evaluation Certificates)

    Es el grupo oficial Senior para certificar en temas de Seguridad de la Información con reconocimiento europeo de los certificados ITSEC/CC, Reconoce los certificados bajo las condiciones  EAL7.

    Firmado en 1998 por países como Alemania, Finlandia, Francia, Grecia, Gran Bretaña, Italia, Países Bajos, Noruega, Portugal, Suecia, Suiza y España, por ejemplo, Alemania: recibió el reconocimiento de su certificación por Francia y  Gran Bretaña.


    Fuente CC:http://www.commoncriteriaportal.org/cc/


    Si tienes información adicional sobre este tema, tus comentarios o links de referencia serán bienvenidos.

    Clasificación de aplicaciones y sistemas BCP

    Objetivos


    • Asegurar la disponibilidad de las principales aplicaciones y sistemas TI dentro de un período definido.
    • Control de daños en caso de desastre.

     

    Definición (BS25999)

    Plan de Continuidad de operaciones de Negocio (Business continuity planning) es la 
    Capacidad estratégica y técnica de una organización para planificar y responder a incidentes propios del negocios, de tal manera que se pueda guarantizar la ocntinuidad de las operaciones en un nivel míimo aceptable previamente.

    Ejemplo de Clasificación BCP 


    Categoría 1> No es crítico si no hay suministro: La falla por un período indefinido no afectara significativamente la ejecución de tareas.

    Categoría 2> Aseguramiento Off-line: Las medidas actuales de seguridad, la localización externa, Reinicio de la aplicación después de la reparación de los daños del sistema original.

     
    Categoría 3> Infraestructura redundante: En el caso de fallo de un componente, continúan sus operaciones sin interrupción.

     
    categoría 4> Ubicación redundante: Construcción redundante de infraestructura,  sistemas y aplicaciones en el caso de fallo.


    Si tienes información adicional sobre este tema, tus comentarios o links de referencia serán bienvenidos.

    Fundamentos y objetivos de SIHB (Security Information Hand Book)


    Objetivos

    • Estandariza los procedimientos del Sistema de gestión de seguridad
    • Recopila las normas y medidas de seguridad as para los requisitos de protección medio

    Punto de partida

    • IT Manual de referencia de Protección del BSI (BSI IT Baseline Protection)
    • ISO / IEC TR 13335
    • ISO / IEC 27001

    Requisitos  

    • Compatible con los estándares enfoque unificado
    • Las leyes austríacas y las normas
    • Hace parte del ciclo de vida de todo el sistema 

    Proceso de Gestión de seguridad SIHB 

    Nivel 1> Desarrollo  de las Políticas  de Seguridad de la Información

    Este documento es la base sobre como administrar la seguridad de la información. Determina las objetivos, estrategias, Responsabilidades y métodos a largo plazo relacionados con la seguridad.  Adicionalmente incluye las directrices de aplicación, para ser adoptado oficialmente. Es necesario que todos los empleados de la organización lo conozcan.

    Contenido:
    • Objetivos y estrategias para la seguridad de la información ¿Qué queremos lograr? ¿Cómo lograr los objetivos fijados?
    • Responsabilidades y Organización en la seguridad de la información  ¿Quién hace qué?  Definición del personal técnico y roles específicos dentro de la organización, derechos obligaciones y generación de informes.
    • Estrategia de Análisis de riesgos ¿Como se identifican los riesgos en general? ¿Cómo los manejamos?, Identificación y evaluación de riesgos, su aceptación y minimización.
    • Clasificación de datos ( El manejo de información clasificada, confidencialidad, protección de datos)¿Cómo se clasifica la información? ¿Quién los clasifica?, Confidencialidad,  Privacidad e Integridad.
    • Clasificación de las aplicaciones y sistemas BCP ¿Cuáles son los requisitos de disponibilidad? Planeamientos que garanticen la continuidad del negocio.
    • Actividades de seguimiento ¿Cómo se puede mantener la seguridad se a largo plazo? 

    Nivel 2> Análisis de Riesgos  ISO/IEC 27005

    Riesgo: Posibilidad de que una amenaza determinada explote las vulnerabilidades de un activo o grupo de activos para causar daño a una organización. Es una medida que combina la probabilidad de que ocurra un suceso y las  consecuencias que generaría. 
    Amenaza:  Causa potencial  de un incidente que pueda causar daño al sistema u organización

    Vulnerabilidad: Debilidad de un activo o grupo de activos que puede ser explotada por una o más amenazas.

    Gestión de Riesgos
    El análisis de Riesgos integra la Identificación y Evaluación de Riesgos.

    Identificación y Evaluación de Riesgos
    El riesgo se mide en función del valor de los activos, Amenazas, Vulnerabilidades,   probabilidad de que un incidente de seguridad cause daños en el sistema, y ademas de la evaluación del impacto y las consecuencias que se generan después de dicho incidente. [http://www.enisa.europa.eu/act/rm]


      Nivel 3>Generación del Concepto de Seguridad


    Catalogos con  medidas de seguridad

    Manual de Protección de Línea base (BSI): Gran herramienta de Apoyo con mas de alrededor de 1200 medidas de seguridad genéricas y para productos específicos.
    Asignación de medidas como "bloques de construcción"

    Manual Austriaco de Seguridad de
    la información: Österreichisches Informationssicherheitshandbuch.Los capítulos 5 al 15 poseen aproximadamente 300 medidas, Específico para Austria y no posee medidas específicas para productos.

    ISO/IEC 27002 (antes ISO/IEC 17799): Posee 133 medidas genéricas de seguridad, Es básicamente una lista de verificación que se centra en los puntos débiles de una organización.

    Para hablar de aceptación de riesgos es necesario aclarar que ningún sistema es completamente infalible, así se posean sistemas de gestión de seguridad que minimicen los daños de un incidente de seguridad. 

    El riesgos residual es esa porción inminente de riesgo,  que permanece desconocida hasta que algún trastorno en el sistema la hace visible. A pesar de que los sistemas sean redundantes existen factores de riesgo fortuitos que se pueden predecir para  minimiza los efectos que se presenten. Estos riesgos deben cuantificarse y evaluarse, así tomar la decisión del nivel de aceptación de los riesgos residuales.
    Normas de seguridad
    • Requisitos básicos y las directrices para la seguridad en un sistema de IT
    • Detalles de las medidas de seguridad seleccionadas
      Razones para la selección
    Plan de Seguridad
    • Como se aplican las medidas de seguridad elegidas
    • Prioridades y planificación de los recursos
    • Cronogramas
    • Responsabilidades
    • Medidas de formación y sensibilización
    • Pruebas e inspección (proceso, citas)
    • Evaluación del riesgo residual

      Nivel 4> Implementación del plan de seguridad

    La documentación  estar Actualizada, completa, con alto nivel de detalle, ademas debe ser confiable y contar con control de versiones e integridad
    Concientización y capacitación

    • Información sobre todos las políticas y medidas de seguridad , ademas de las acciones necesarias a seguir en caso de eventos relacionados con la seguridad.
    • Acontecimientos regulares y publicaciones
    • Capacitación, cambios significativos y mejoras
    • Herramienta de apoyo y multimedia son útiles para entrenar  a los empleados sobre las funciones específicas que deben seguir para proteger la información.
    Acreditación: Liberación del sistema TI para operar en un ambiente especial
    Objetivo: garantizar la seguridad del sistema de información
    • En un entorno operativo específico
    • Bajo ciertas condiciones
    • Para el periodo de tiempo determinado
    Técnicas:
    • Comprobación del Cumplimiento de las medidas de seguridad
    • Pruebas
    • Evaluación y Certificación

      Nivel 5> Operación del proceso de seguridad de la Información

    Gestión de Cambios
    • Identificación de nuevas necesidades de seguridad como resultado de los cambios que se han generado en el sistema
    • Respuestas adecuada a todos los cambios relevantes relacionados con la seguridad
    • Documentación escrita de todos los cambios y las razones por las que se tomaron las decisiones
    • Posiblemente se requiere un nuevo análisis de riesgo renovado 
    • Necesidad de un sistema de gestión de calidad

    Si tienes información adicional sobre este tema, tus comentarios o enlaces de referencia serán bienvenidos.

    Wednesday, April 04, 2012

    Skip List I -Busqueda

    Estructura de búsqueda dinámica, aleatoria, simple y eficiente para almacenar listas organizadas de objetos. Para entender como funciona vamos a considerar una simple lista enlazada, que conecta todos los nodos ordenadamente, este es el Nivel 0 (N0). El primer cuandro donde está el nombre del nivel lo llamaremos cabecera.


    Ahora agregaremos el nivel 1, que es otra lista enlazada pero los nodos son un subconjunto del nivel 0



    El siguiente nivel 2 es ahora un subconjunto del nivel 1. Como te darás cuenta, cada vez que subimos de nivel tenemos menos nodos conectados.

    Las skip lists o listas de saltos, tienen 3 operaciones básicas, buscar, insertar o eliminar.

    Buscar  

    Para encontrar el nodo 12, empezamos desde la cabecera del nivel mas arriba N2, buscamos el nodo de la lista mas cercano, que tambien es 12, comparamos ¿12 > 12? Falso, por lo que contamos un paso a la derecha, ¿12 = 12? Verdadero. Terminamos y solo necesitamos un paso para encontrarlo


    Ahora busquemos el nodo7, este requiere mas pasos:



    1. Iniciamos en la cabecera de N2 (nivel 2). Buscamos el nodo mas cercano a la cabecera que es 12 Comparamos ¿7 > 12? Falso, entonces bajamos a la cabecera N1, dibujamos una flecha y contamos un paso.
    2. En la cabecera N1 Buscamos el nodo mas cercano que es 4, comparamos ¿7 > 4? Verdadero, entonces avanzamos un paso a la derecha ¿7=4? Falso, Continua el algoritmo
    3. Buscamos el siguiente nodo, que es 12, ¿7>12? Falso, permanecemos en 4, bajamos un al nivel N0 y contamos otro paso.
    4. En 4 de N0 Buscamos el siguiente nodo que es 7,comparamos ¿7>7? Falso, ¿7=7? Verdadero, Lo encontramos

    Si quisiéramos buscar al nodo 8 que no está en la lista, el procedimiento sería el mismo, pero agregamos un paso de comparación 7<8<12, sin embargo pertenecemos en 7.

    Otro ejemplo:


    Buscar 78 requiere de 7 pasos



    Buscar 12 requiere de 4 pasos


    Buscar 63 requiere de 8 pasos, donde el último paso es de verificación sin avance ya la búsqueda se termina en el nodo 56