Enciclopedia de la Seguridad Informática. 2ª Edición
Reseña del libro "Enciclopedia de la Seguridad Informática. 2ª Edición"
Encuadernación: Rústica.En este libro se pretende abordar desde un punto de vista global la problemática de la Seguridad Informática y la Protección de Datos, contemplando tanto los aspectos técnicos, como los factores humanos y organizativos, así como el cumplimiento del entorno legal.Para ello, el contenido de esta obra se ha estructurado en siete grandes bloques:- La primera parte presenta los principios básicos de la Seguridad de la Información en las organizaciones y en las redes de ordenadores, describiendo los elementos de las Políticas, Planes y procedimientos de Seguridad, el análisis y gestión de riesgos, así como la certificación según estándares como los de la familia ISO/IEC 27000.- En la segunda parte se estudian las vulnerabilidades de los sistemas y redes informáticas, las amenazas y los tipos de ataques más frecuentes. También se analizan los Planes de Respuesta a Incidentes y de Continuidad del Negocio.- Una tercera parte se dedica a los aspectos relacionados con la identificación y autenticación de los usuarios en los sistemas informáticos, incluyendo el estudio de los más novedosos sistemas biométricos.- En la cuarta parte se describen los principales sistemas y técnicas criptográficos, así como algunas de sus aplicaciones para mejorar la seguridad de los sistemas informáticos y de los servicios de Internet, analizando las características del DNI electrónico o de la factura electrónica.- La quinta parte se centra en los aspectos técnicos para implantar las medidas de seguridad en las redes de ordenadores, analizando el papel de dispositivos como los cortafuegos (firewalls), sistemas de detección de intrusiones (IDS) o servidores proxy. Así mismo, se aborda el estudio de la seguridad en las redes privadas virtuales y en las redes inalámbricas.- En la sexta parte del libro se presentan los aspectos relacionados con la seguridad en el uso de los principales servicios de Internet, el desarrollo de los medios de pago on-line, así como la forma de afrontar problemas como el spam, el phishing o la protección de la privacidad de los ciudadanos en Internet.- Por último, en la séptima parte se analizan diversos aspectos relacionados con el entorno legal y normativo que afectan a la Seguridad Informática: la lucha contra los Delitos Informáticos, la protección de los Datos Personales o el Control de Contenidos, entre otros.EL AUTORAGRADECIMIENTOSPRÓLOGOCAPÍTULO 1. PRINCIPIOS DE LA SEGURIDAD INFORMÁTICA1.1 QUÉ SE ENTIENDE POR SEGURIDAD INFORMÁTICA1.2 OBJETIVOS DE LA SEGURIDAD INFORMÁTICA1.3 SERVICIOS DE SEGURIDAD DE LA INFORMACIÓN1.4 CONSECUENCIAS DE LA FALTA DE SEGURIDAD1.5 PRINCIPIO DE "DEFENSA EN PROFUNDIDAD"1.6 GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN1.6.1 Implantación de un Sistema de Gestión de Seguridad de la Información1.7 ANÁLISIS Y GESTIÓN DE RIESGOS EN UN SISTEMA INFORMÁTICO1.7.1 Recursos del sistema1.7.2 Amenazas1.7.3 Vulnerabilidades1.7.4 Incidentes de Seguridad1.7.5 Impactos1.7.6 Riesgos1.7.7 Defensas, salvaguardas o medidas de seguridad1.7.8 Transferencia del riesgo a terceros1.8 REFERENCIAS DE INTERÉSCAPÍTULO 2. POLÍTICAS, PLANES Y PROCEDIMIENTOS DE SEGURIDAD2.1 INTRODUCCIÓN Y CONCEPTOS BÁSICOS2.2 DEFINICIÓN E IMPLANTACIÓN DE LAS POLÍTICAS DE SEGURIDAD2.3 INVENTARIO DE LOS RECURSOS Y DEFINICIÓN DE LOS SERVICIOS OFRECIDOS2.4 SEGURIDAD FRENTE AL PERSONAL2.4.1 Alta de empleados2.4.2 Baja de empleados2.4.3 Funciones, obligaciones y derechos de los usuarios2.4.4 Formación y sensibilización de los usuarios2.5 ADQUISICIÓN DE PRODUCTOS2.6 RELACIÓN CON PROVEEDORES2.7 SEGURIDAD FÍSICA DE LAS INSTALACIONES2.8 SISTEMAS DE PROTECCIÓN ELÉCTRICA2.9 CONTROL DEL NIVEL DE EMISIONES ELECTROMAGNÉTICAS2.10 VIGILANCIA DE LA RED Y DE LOS ELEMENTOS DE CONECTIVIDAD2.11 PROTECCIÓN EN EL ACCESO Y CONFIGURACIÓN DE LOS SERVIDORES2.12 SEGURIDAD EN LOS DISPOSITIVOS DE ALMACENAMIENTO2.13 PROTECCIÓN DE LOS EQUIPOS Y ESTACIONES DE TRABAJO2.14 CONTROL DE LOS EQUIPOS QUE PUEDEN SALIR DE LA ORGANIZACIÓN2.15 COPIAS DE SEGURIDAD2.16 CONTROL DE LA SEGURIDAD DE IMPRESORAS Y OTROS DISPOSITIVOS PERIFÉRICOS2.17 GESTIÓN DE SOPORTES INFORMÁTICOS2.18 GESTIÓN DE CUENTAS DE USUARIOS2.19 IDENTIFICACIÓN Y AUTENTICACIÓN DE USUARIOS2.20 AUTORIZACIÓN Y CONTROL DE ACCESO LÓGICO2.21 MONITORIZACIÓN DE SERVIDORES Y DISPOSITIVOS DE LA RED2.22 PROTECCIÓN DE DATOS Y DE DOCUMENTOS SENSIBLES2.23 SEGURIDAD EN LAS CONEXIONES REMOTAS2.24 DETECCIÓN Y RESPUESTA ANTE INCIDENTES DE SEGURIDAD2.25 OTROS ASPECTOS A CONSIDERAR2.25.1 Seguridad en el desarrollo, implantación y mantenimiento de aplicaciones informáticas2.25.2 Seguridad en las operaciones de administración y mantenimiento de la red y de los equipos2.25.3 Creación, manejo y almacenamiento de documentos relacionados con laseguridad del sistema informático2.25.4 Cumplimiento de la legislación vigente2.25.5 Actualización y revisión de las medidas de seguridad2.26 REALIZACIÓN DE PRUEBAS Y AUDITORÍAS PERIÓDICAS2.27 REFERENCIAS DE INTERÉSCAPÍTULO 3. LA IMPORTANCIA DEL FACTOR HUMANO EN LA SEGURIDAD3.1 EL FACTOR HUMANO EN LA SEGURIDAD INFORMÁTICA3.2 FUNCIONES Y RESPONSABILIDADES DE LOS EMPLEADOS Y DIRECTIVOS3.3 INGENIERÍA SOCIAL3.4 FORMACIÓN DE LOS USUARIOS3.5 EL CONTROL Y SUPERVISIÓN DE LOS EMPLEADOS3.5.1 El uso de los servicios de Internet en el trabajo3.5.2 Herramientas para el control y vigilancia del acceso a los servicios de Internet3.6 REFERENCIAS DE INTERÉSCAPÍTULO 4. ESTANDARIZACIÓN Y CERTIFICACIÓN EN SEGURIDAD INFORMÁTICA4.1 ESTÁNDARES DE SEGURIDAD4.1.1 Propósito de los estándares4.1.2 Organismos responsables de la estandarización4.2 ESTÁNDARES ESTADOUNIDENSES4.2.1 TCSEC: Trusted Computer System Evaluation Criteria4.2.2 Federal Criteria4.2.3 FISCAM: Federal Information Systems Controls Audit Manual4.2.4 NIST SP 8004.3 ESTÁNDARES EUROPEOS4.3.1 ITSEC: Information Technology Security Evaluation Criteria4.3.2 ITSEM: Information Technology Security Evaluation Metodology4.3.3 Agencia Europea de Seguridad de la Información y las Redes4.4 ESTÁNDARES INTERNACIONALES4.4.1 ISO/IEC 15408: Common Criteria4.4.2 ISO/IEC 177994.4.3 BS 7799 Parte 2:20024.4.4 Familia ISO/IEC 270004.4.4.1 ISO/IEC 270004.4.4.2 ISO/IEC 270014.4.4.3 ISO/IEC 270024.4.4.4 ISO/IEC 270034.4.4.5 ISO/IEC 270044.4.4.6 ISO/IEC 270054.4.4.7 ISO/IEC 270064.4.5 Estándares relacionados con los sistemas y servicios criptográficos4.6 PROCESO DE CERTIFICACIÓN4.7 REFERENCIAS DE INTERÉSCAPÍTULO 5. VULNERABILIDADES DE LOS SISTEMASINFORMÁTICOS5.1 INCIDENTES DE SEGURIDAD EN LAS REDES5.2 CAUSAS DE LAS VULNERABILIDADES DE LOS SISTEMAS INFORMÁTICOS5.2.1 Debilidad en el diseño de los protocolos utilizados en las redes5.2.2 Errores de programación5.2.3 Configuración inadecuada de los sistemas informáticos5.2.4 Políticas de Seguridad deficientes o inexistentes5.2.5 Desconocimiento y falta de sensibilización de los usuarios y de los responsables de informática5.2.6 Disponibilidad de herramientas que f
