Libro Naranja

La seguridad informática es un tema bastante serio al cual se le debe prestar suma atención dado que sin las pautas de seguridad correctas y aplicadas dentro de los ordenadores y sistemas operativos los usuarios podrían verse seriamente afectados. Es aquí cuando sale a luz publica un libro comúnmente llamado como “El libro naranja” (en inglés Orange Book).

Cuando se habla de los niveles de seguridad informática, uno de los estándares más utilizados a nivel internacional es el de TCSEC (Trusted Computer System Evaluation Criteria) del mismo libro naranja, el cual presenta con gran exactitud cuáles son los pros y contra de no poseer un alto de nivel de protección y las consecuencias e incluso limitaciones que podría presentársele al usuario.

Conociendo un poco de la historia de este libro nos podemos percatar de que no lleva tantos años de su publicación, de hecho, forma parte de una serie de libros llamados Serie Arcoiris (Rainbow Series) los cuales establecían temas sobre estándares y directrices de seguridad informática. Teniendo en cuenta de que era una “serie arcoíris” pues realmente daba la alusión a ello, y por ello es que este libro quedo en representación del color naranja y por ende fue conocido con mayor exactitud de esa forma.

Este fue desarrollado en el año 1983 por medio Departamento de Defensa, y después por el Centro Nacional de Seguridad Informática (departamento dependiente de la Agencia de Seguridad Nacional) para establecer normas de seguridad como prioridad total, pues un sistema seguro y sin que se vea afectado por terceros era un tema de gran importancia a resolver.

Es importante acotar que la información que portaba este libro poseía un grado de privacidad total y estaba excluido de cualquier tipo de usuario menos para aquellos que estuvieran relacionados con el gobierno estadounidense, pues evidentemente se mantenía su uso y aplicación (para aquel entonces) de manera privada y secreta.

Posteriormente a los años en que tal conocimiento se mantuviera en secreto, ya después su contenido terminaría filtrándose por doquier para eventualmente caer en manos de cualquier tipo de persona (ni siquiera expertos en el tema) e incluso beneficiando a aquellos que buscaban mayor conocimiento acerca de la seguridad informática.

Estos acontecimientos del pasado permitieron que hoy en día podamos conocer por nuestra propia cuenta el “libro naranja”, siendo uno de los mejores libros explicativos que muestra el funcionamiento de los niveles de seguridad.

Qué conocimientos encontrarás en Libro Naranja

La finalidad del libro naranja es mostrar los distintos estándares, requerimientos y patrones básicos de niveles de seguridad informática que deben aplicarse dentro de un sistema ¿Por cuál razón? Esto se realizaba para evaluar la efectividad de los controles informáticos de seguridad que están construidos dentro de un sistema.

Dentro de su contenido aprenderás información importante acerca de cómo catalogar y seleccionar sistemas informáticos que están dedicados a al almacenamiento y recuperación de información tanto sensible (delicada) y clasificada.

Asimismo en la en transcurso de la lectura del libro naranja específicamente en un apartado del prefacio comenta que sus criterios se basaron en tres objetivos, los cuales especifica de la siguiente manera: “a) Proporcionar a los usuarios un criterio con el que evaluar el grado de confianza que puede depositarse en los sistemas informáticos para el procesamiento seguro de información clasificada u otra información confidencial; b) proporcionar orientación a los fabricantes sobre lo que deben incorporar en sus nuevos productos comerciales de confianza, ampliamente disponibles, a fin de satisfacer los requisitos de confianza para las aplicaciones sensibles; y c) Servir de base para especificar los requisitos de seguridad en las especificaciones de las adquisiciones.”

De esta manera se puede apreciar el amplio grado de información que se plantea dentro de los lineamientos de seguridad informática, para que a fin de cuentas se pueda usar como base para ampliar el conocimiento que ya sé tenía respecto a este. Por último, no está de más comentar que es un libro que no resulta complicado en su lectura, dado que explica de manera concisa y amena los temas a tratar.

Niveles de seguridad según el Libro Naranja

Como el tema principal trata sobre los sistemas de seguridad informática que deben poseer los sistemas operativos dentro de cualquier ordenador, estos se muestran mediante una estructura de niveles los cuales dentro del libro naranja los explican de la siguiente manera: “Los criterios se dividen en cuatro divisiones: D, C, B y A ordenadas de forma jerárquica, reservando la división más alta (A) para los sistemas que proporcionan la seguridad más completa protección de la información sensible.”

  • Nivel D1: Se presenta como uno de los niveles más bajos dentro de la seguridad informática lo cual hace que sea un sistema menos confiable. Esto quiere decir, que no posee protección ni para el hardware ni mucho menos para el sistema operativo. Lo que podría resultar alarmante, puesto que tampoco presenta autentificación de usuarios y estos no pueden acceder a la información almacenada dentro del ordenador.
  • Nivel C1 (Nivel discrecional): Aquí se presenta una ligera protección, pero a su vez se muestran ciertas limitaciones entre usuarios, dado que cada información que se ingrese por usuario, está será privado y solo él podrá modificar su contenido, es decir, para que otro usuario quiera modificar o borrar información de otro usuario, este debe tener autorización para realizar dicha acción. Por otro lado, cada usuario poseerá una clave para ingresar al sistema, y solo el administrador tendrá el poder de controlar todo el sistema.
  • Nivel C2 (Protección de Acceso Controlado): Se complemente con el nivel C1, pero con la diferencia de que en este nivel el administrador del sistema otorga ciertos privilegios a determinados usuarios. Lo que se pretende acá, es que algún determinado usuario pueda acceder a información especifica a la cual cualquier otro usuario no pueda manipular.
  • Nivel B2 (Protección Estructurada): Este nivel se caracteriza por tener los objetos del sistema a través de un método de etiquetas que van siendo organizados de forma jerárquica. Estas etiquetas se establecen según las políticas de seguridad que están propuestas por el administrador. Esta clase de seguridad informática es comúnmente usada dentro de los ámbitos militar y de gobierno dado que la información es sumamente confidencial.
  • Nivel A (Protección Verificada): Es el último y más alto nivel de seguridad el cual permite que todas las acciones que realice un usuario presente control y verificación a través de métodos formales matemáticos. Es un nivel de seguridad que se complementa con sus anteriores dado que todos deben unirse a este obligatoriamente. Esto representa mayor confidencialidad y seguridad dentro de todas las especificaciones del sistema.

En el ámbito informático los temas a estudiar contienen numerosas ramas y una de ellas es aprender cómo funciona la seguridad informática, la cual es necesaria para el establecimiento de estándares de seguridad que resulten efectivos dentro de cualquier tipo de empresa o particulares. Es por ello que te recomendamos leer el “Libro naranja” del cual sin duda alguna podrás obtener excelentes conocimientos.

Dejar una contestacion

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.