Asociación de Técnicos de Informática.Grupos de TrabajoNoticias de ATIServicio ATInetPublicaciones de ATIFormación: Catálogo y NovedadesBolsa de Trabajo Ayuda
Novática núm. 176 
(jul.-ago. 2005)
Año XXXI

Información sobre ATI
Información sobre Novática
Indice general de Novática
Lecturas recomendadas
Suscripción  a Novática
Cómo comprar números de Novática
Último número/ latest issue
 
Nota importante

Si desea comprar este u otro número de la revista, o suscribirse a élla, infórmese pulsando aquí.

Los socios de ATI, además de recibir la revista en su domicilio, tienen acceso a las versiones digitales íntegras de todos los números en la IntrATInet de la asociación.

Novática: revista creada en 1975 por ATI (Asociación de Técnicos de Informática)

Revista decana de la prensa informática en España
Info in EnglisInfo hInfo in English
Info in English / Información en inglésInfo in English
Búsqueda en Novática Búsqueda en Novática y en el web de ATI
Novática edita
UPGRADE: The European Online Magazine for the IT Professional
y pertenece a UPENET: UPGRADE European NETwork
UPGRADE European Network

Portada de Novática núm. 176Núm. 176 (jul.-ago. 2005)

Monografía

Estandarización y Seguridad TIC
En colaboración con UPGRADE, The European Journal for the Informatics Professional, revista digital promovida por CEPIS (Council of European Professional Informatics Societies) y editada, en inglés, por Novática.

Portada  (pulse aquí si desea ver la versión a tamaño real en formato PDF -- 545 KB)
Antonio Crespo Foix
© 2005 ATI (Asociación de Técnicos de Informática) 

 
Sumario
Bloque
editorial
Monografía
Secciones Técnicas
 Sociedad de la Información
Asuntos Interiores

Nota muy importante: los artículos almacenados en PDF requieren el programa Acrobat Reader (gratuito) para su visualización.

Sumario
[contenido completo en formato PDF - 115 KB]

Bloque editorial
[contenido completo en formato PDF - 362 KB]
En resumen    2
Normalizando la seguridad ... y buscando en la Intranet de Novática    02
Rafael Fernández Calvo

Noticias de IFIP    3
Información de ATI sobre IFIP - Actividades 2004-2005
Ramón Puigjaner Trepat


Monografía: "Estandarización y Seguridad TIC"

En colaboración con UPGRADE, que la publica en inglés. Se publicará también una versión parcial italiana en línea promovida por ALSI (sociedad miembro de CEPIS) y por el portal italiano Tecnoteca.

Editores invitados: Paloma García López (AENOR, Asociación Española de Normalización y Certificación), Stefanos Gritzalis (Universidad del Egeo, Grecia), Javier López Muñoz (Universidad de Málaga)
 
Presentación
La normalización en Seguridad TIC: una tarea colectiva internacional y multisectorial    5
Paloma García López, Stefanos Gritzalis, Javier López Muñoz
[contenido completo en formato PDF - 263 KB]

Artículo finalista del I Premio Novática al mejor artículo publicado en 2005 (para más información pulse aqui)
¿Dónde nacen las normas voluntarias y las recomendaciones relativas a la seguridad de la información?   7
Paloma García López
[resumen][contenido completo en formato PDF - 631 KB]

CEN/ISSS y su contribución a la estandarización europea en Seguridad de las Tecnologías de la Información    15
Luc Van den Berghe
[resumen]

Medidas y métricas de seguridad para los Sistemas de Información    19
José A. Mañas Argemí
[resumen]

Auditoría de Seguridad de las TI desde la perspectiva de la normalización    23
Marina Touriño Troitiño
[resumen]

Legislación, estándares y recomendaciones relativos a la firma electrónica    27
Josep Lluís Ferrer Gomila, Apol·lònia Martínez Nadal
[resumen]

El estándar X.509 para gestión de privilegios    32
David Chadwick
[resumen]

Estándares de seguridad de las TIC para aplicaciones en el ámbito sanitario    38
Spyros Kokolakis, Costas Lambrinoudakis
[resumen]


Nota del Editor de Novática: por razones de espacio no se incluyen en esta monografía los artículosartículos "Common Criteria
International Standards” de Miguel Bañón e “ International Standardization of Information and IT Security - Current and Future SC27 Activities” de Ted Humphreys. Estos artículos han sido publicados en el número 4/2005 de UPGRADE, en inglés, y aparecerá en un próximo número de Novática, en castellano.


Secciones Técnicas

Bases de datos
Calidad de Datos en aplicaciones web: un "estado del arte"    45
Mª Angélica Caro Gutiérrez, Coral Calero Muñoz, Ismael Caballero Muñoz-Reja, Mario Piattini Velthuis
[resumen]

Informática Gráfica
Generación de penumbras con hardware gráfico    49
Pere-Pau Vázquez Alcocer, Dani Susín Acebo
[resumen]

Lenguajes informáticos
Una arquitectura software multicapa para la integración de sistemas    54
Rafael Pastor Pastor, Antonio Guevara Plaza, José Luis Caro Herrero, Andrés Aguayo Maldonado
[resumen]

Redes y servicios telemáticos
Ping Trunking: un mecanismo de control de congestión para tráfico agregado basado en Vegas    61
Sergio Herrería Alonso, Manuel Fernández Veiga, Miguel Rodríguez Pérez, Andrés Suárez González, Cándido López García
[resumen]

Referencias autorizadas   67
En esta sección  se contienen recomendaciones de lecturas, noticias  y fuentes diversas que elaboran los coordinadores de las Secciones Técnicas de nuestra revista Novática, todos ellos destacados especialistas en sus respectivos campos
[contenido completo en formato PDF - 231 KB]


Sociedad de la Información
Programar es crear
La casa más grande (CUPCAM 2005, problema B, enunciado)    74
Manuel Abellanas Oar
[contenido completo en formato PDF - 188 KB]

Domino Solitario (CUPCAM 2005, problema A, solución)   75
Antonio Fernández Anta
[contenido completo en formato PDF - 200 KB]


Asuntos Interiores

Coordinación Editorial  / Programación de Novática    76 [contenido completo en formato PDF - 176 KB]
Normas de publicación para autores    77 [contenido completo en formato PDF - 176 KB]
Socios Institucionales    77 [contenido completo en formato PDF - 176 KB]

Monografía del próximo número: "Computación Ubicua"

En colaboración con UPGRADE, que la publicará en inglés. UPGRADE, The European Journal for the Informatics Professional, es la revista digital promovida por CEPIS (Council of European Professional Informatics Societies). Se publicará también una versión italiana (sólo resúmenes y algunos artículos, en línea) promovida por ALSI (sociedad miembro de CEPIS) y por el portal italiano Tecnoteca.

Editores invitados: José Antonio Gutiérrez de Mesa (Universidad de Alcalá); Daniel Rodríguez Rodríguez (University of Reading, Gran Bretaña); Miltiadis Lytras (Universidad de Patras, Grecia)



Publicidad

 
EUCIP: European Certification of Informatics Professionals
ECDL, la Acreditación Europea de Manejo de Ordenadores, promovida en España por ATI

 
Monografía: "Estandarización y Seguridad TIC"

En colaboración con UPGRADE, que la publica en inglésUPGRADE, The European Journal for the Informatics Professional, es la revista digital promovida por CEPIS (Council of European Professional Informatics Societies). Se publicará también una versión italiana de esta monografía, promovida por ALSI (sociedad miembro de CEPIS) y por el portal italiano Tecnoteca.

Paloma García López es Ingeniero Industrial por la Universidad Politécnica de Madrid. Desde 1999 desarrolla su actividad laboral en AENOR (Asociación Española de Normalización y Certificación), siendo actualmente Jefe del Servicio de Telecomunicaciones y Tecnologías de la Información en la División de Normalización; coordina la actividad nacional de normalización de los productos y servicios de este sector y participando activamente en las iniciativas europeas e internacionales del sector. Actualmente es la responsable del comité nacional AEN/CTN71, Tecnologías de la Información, y del SC27, Técnicas de seguridad, que forma parte de la estructura del primero.

Stefanos Gritzalis es titulado en Física y en Automatización Eléctrónica y un Doctorado en Informática por la Universidad de Atena (Grecia). Actualmente es Profesor Asociado y responsable del Dpto. de Ingeniería de Sistemas de Información y Comunicación de la Universidad del Egeo (Grecia), así como Director del Laboratorio de Seguridad de Información y Comunicación (Info-Sec Lab). Ha participado en varios proyectos de I+D nacionales y europeos financiados por la Unión Europea en el área de de Seguridad de Información y Comunicación. Entre estos programas se incluyen SNOCER (FP6 SME-1), CRL Study (DG Enterprise), KEYSTONE (DG XIII), COSACC (DG XIII), EUROMED-ETS (DG XIII), ERMIS (DG XVI) y PD4/5 (DG XIII). Sus publicaciones científicas incluyen siete libros sobre diversos temas TIC y más de noventa artículos para revistas y conferencias nacionales e internacionales. Ha pertenecido a comités de programa u organización de conferencias informáticas nacionales e internacionales y es revisor de varias revistas científicas. Fue miembro de la Junta Directiva de la Sociedad Informática de Grecia (Greek Computer Society). Es socio de ACM y de IEEE.

Javier López Muñoz es Doctor Ingeniero en Informática, adscrito al Área de Ingeniería Telemática del Depto. de Lenguajes y Ciencias de la Computación de la Universidad de Málaga. Desarrolla su actividad docente como Profesor Titular en la ETS de Ingeniería Informática y su labor investigadora dentro del grupo GISUM (Grupo de Ingeniería del Software) de esta universidad, donde coordina el subgrupo de Seguridad. Su actividad investigadora está centrada en el en el área de Seguridad en Redes de Comunicación y en Comercio Electrónico, habiendo realizando parte de esa labor de investigación en varios centros universitarios de EE.UU. especializados en la materia. En GISUM, es responsable técnico de varios proyectos de investigación relacionados con los aspectos prácticos de Seguridad de las TIC, entre los que destaca el proyecto internacional Global PKI de la Telecommunications Advancement
Organization de Japón. Asimismo, es Director Técnico del Proyecto IST CASENET del V Programa Marco de la Unión Europea. Es socio de ATI, representante de ATI en el TC11 (Security and Protection in Information Processing Systems) de IFIP, coeditor de la sección técnica de Seguridad de Novática y frecuente colaborador de esta revista, como autor y editor invitado de diversas monografías.

Vuelta a inicio
¿Dónde nacen las normas voluntarias y las recomendaciones relativas a la seguridad de la información?  
Paloma García López
AENOR (Asociación Española de Normalización y Certificación)

Resumen: las normas se elaboran en el seno de los comités técnicos de normalización que forman parte de la estructura de los organismos de normalización. Dichos comités están formados por una composición equilibrada de todas las partes interesadas en el campo de aplicación que corresponda al comité. En el ámbito de la seguridad de la información, a nivel internacional el principal comité responsable es el JTC1/SC27 "Técnicas de Seguridad"; su homólogo a nivel español es el CTN71/SC27, que lleva el mismo nombre. En el plano concreto de las normas relativas a la seguridad de la información, se ha apostado por la tendencia, apoyada e impulsada por el comité internacional, de abordar este tema desde el punto de vista de la gestión de la seguridad. En este sentido, se ha puesto en marcha el denominado Modelo de Gestión 27000, Modelo de Gestion de la Seguridad de la Información, del que daremos información ampliada en este artículo.

Palabras clave: CEN/ISSS, comité, consenso, CTN71/SC27, JTC1/SC27, modelo de gestión, normas voluntarias, organismo de normalización, seguridad de la información, SGSI, Sistema de Gestión de la Seguridad de la Información.

Vuelta a inicio
CEN/ISSS y su contribución a la estandarización europea en Seguridad de las Tecnologías de la Información
Luc Van den Berghe
Director del Workshop de CEN/ISSS (Comité Européen de Normalisation / Information Society Standardization System)

Resumen: en este artículo se presenta una amplia panorámica de las actividades de estandarización de las Tecnologías de la Información que se realizan en el ámbito europeo, con especial referencia al área de seguridad. Se expone el papel central que juegan a este respecto el CEN/ISSS (Comité Européen de Normalisation / Information Society Standardization System) y sus diversos grupos de trabajo y workshops.

Palabras clave: CEN/ISSS, CWA, ENISA, estandarización, Europa, seguridad TIC.

Vuelta a inicio
Medidas y métricas de seguridad para los Sistemas de Información
José A. Mañas Argemí
Dept. de Ingeniería Telemática, Universidad Politécnica de Madrid

Resumen: la seguridad es una preocupación constante, cuando no creciente, tanto para los técnicos a cargo de los sistemas, como para los gestores de la organización. La seguridad técnica de los sistemas es un requisito indispensable; pero más allá de la técnica, los gestores necesitan tener confianza en que el sistema de información permitirá alcanzar los objetivos propuestos y establecer relaciones fructíferas con otras organizaciones: disfrutar del llamado comercio electrónico. En este contexto, las métricas aparecen como necesarias para conocer el estado actual de la seguridad, mejorarlo y gestionar gestos e inversiones. Se requiere un eficaz alineamiento de los diferentes actores, tanto verticalmente (dentro de la propia organización) como horizontalmente (con otras organizaciones conectadas).

Palabras clave: gestión de la seguridad, gobierno de los sistemas, indicadores clave de rendimiento, indicadores de eficacia, métricas de seguridad.
 Vuelta a inicio
Auditoría de Seguridad de las TI desde la perspectiva de la normalización
Marina Touriño Troitiño
 Marina Touriño & Asociados, S.L., Socio de ATI

Resumen: tanto la auditoría de sistemas de información como la normativa de la seguridad de la TI convergen en un mismo territorio, que es dar confianza a los usuarios en general sobre el grado de protección, en su sentido más amplio, de la información procesada por medio de las tecnologías de la información.Ahora bien, sus cometidos tienen distintos alcances e implican responsabilidades diferentes para aquellos profesionales que realizan trabajos de auditoría de TI y para los que tienen responsabilidades sobre la gestión de la seguridad real de los sistemas de información. Este artículo trata sobre ambos aspectos y sobre las distintas responsabilidades.

Palabras clave: análisis de riesgos, Auditoría de Sistemas de Información, Auditoría de la Seguridad de la Información, dictamen, normas, Seguridad de TI, opinión.

Vuelta a inicio
Legislación, estándares y recomendaciones relativos a la firma electrónica
Josep Lluís Ferrer Gomila (1), Apol·lònia Martínez Nadal (2)
(1) Depto. de Ciencias Matemáticas e Informática; (2) Dpto. de Derecho Privado. Universitat de les Illes Balears

Resumen: la firma electrónica cuenta con un marco jurídico que puede considerarse adecuado, y disponemos de un considerable conjunto de normas, recomendaciones y estándares técnicos. En este artículo se pondrá de manifiesto que la legislación de la Unión Europea está en determinados aspectos en consonancia con las recomendaciones técnicas, pero, por contra, en algunas ocasiones la norma jurídica no está perfectamente alineada con la técnica. Queda todavía un cierto recorrido por andar para que ambas disciplinas confluyan, lo que sin duda redundará en un mayor uso de una tecnología, la firma electrónica, que aporta claros beneficios a la sociedad.

Palabras clave: certificado de clave pública, dispositivo de creación de firma, firma electrónica, prestador de servicios de certificación.

Vuelta a inicio
El estándar X.509 para gestión de privilegios
David Chadwick
Universidad de Kent (Reino Unido)

Resumen: el presente artículo revisa las Infraestructuras de Gestión de Privilegios (PMIs, Privilege Management Infrastructures), tal como se definen en la edición de 2001 del X.509. Realiza una breve comparativa de las PMIs con las PKIs (Public Key Infraestructures, Infraestructuras de Clave Pública) y describe como se hizo la primera implantación de una PMI X.509 en la infraestructura de autorización PERMIS. El artículo destaca muchas características de una implantación práctica de una PMI que no están en el estándar X.509 (2001) y que debieron resolverse en la implantación de PERMIS. Muchas de estas características están siendo implantadas o lo han sido ya en estándares recientes de OASIS (Object-Oriented Administrative Systems-development in Incremental Steps), IETF (Internet Engineering Task Force), GGF (Global Grid Forum) y en la próxima versión de 2005 del X.509. El artículo señala también algunas características que aún quedan por estandarizar.

Palabras clave: autorización, certificados de atributos, estandarización, gestión de privilegios, PMI, políticas de privilegios, X.509.
Vuelta a inicio
Estándares de seguridad de las TIC para aplicaciones en el ámbito sanitario
Spyros Kokolakis, Costas Lambrinoudakis
 Depto. de Ingeniería de Sistemas de Comunicación e Información, Universidad del Mar Egeo (Grecia)

Resumen: el ámbito de protección de la salud, la sanidad, siempre ha sido una área propicia para la aplicación de las Tecnologías de la Información y las Comunicaciones (TIC) y las organizaciones sanitarias han sido de las primeras en incorporar sistemas de información a su trabajo. Siguiendo esta tendencia, los Sistemas de Información Sanitarios (SIS) han evolucionado hacia una nueva generación de sistemas de e-Salud. Personalización del servicio, gestión distribuida de la información, integración y comunicación de dispositivos inteligentes son sólo unas pocas de entre las nuevas características que los SIS esperan incorporar en un próximo futuro. Por otra parte, los SIS almacenan y procesan información con un carácter altamente sensible. De esta forma, la privacidad y la seguridad se reconocen como una de las cuestiones prioritarias y uno de los factores críticos para la adopción e integración efectiva de las TIC en el sector sanitario. Además, cuando se considera un entorno de salud distribuido en el que participan un conjunto de organizaciones sanitarias independientes que requieren el intercambio de registros sanitarios de forma electrónica, la situación se vuelve mucho más compleja en el sentido de que la implementación de políticas globales de seguridad puede resultar una tarea demasiado ambiciosa. Este artículo presenta algunos de los más importantes estándares europeos de informática para la salud y otros internacionales, destaca su contribución hacia una interoperatividad de los Sistemas de Información Sanitarios, el cumplimiento de requisitos legales, de seguridad (en ambos sentidos de safety y de security) y eficiencia comercial.

Palabras clave: CEN, estándares de seguridad, ISO/IEC, Sistemas de Información Sanitarios.

Vuelta a inicio
Secciones técnicas
Bases de datos
Calidad de Datos en aplicaciones web: un "estado del arte"
Mª Angélica Caro Gutiérrez (1), Coral Calero Muñoz (2), Ismael Caballero Muñoz-Reja (2), Mario Piattini Velthuis (2)
(1) Depto. de Auditoria e Informática, Universidad del Bio Bio, Chillán (Chile); (2) Depto. de Informática, Universidad Castilla-La Mancha

Resumen: el avance tecnológico e Internet han propiciado la aparición de una gran diversidad de aplicaciones web, por medio de las cuales, las organizaciones desarrollan sus negocios en un entorno cada vez más competitivo. Un factor decisivo para esta competitividad es el uso de datos de calidad. Estos últimos años se han realizado diversas investigaciones en torno a la Calidad de los Datos, cuya revisión sistemática presentamos en este artículo.

Palabras claves: aplicaciones web, calidad de datos, calidad de información.
Vuelta a inicio
Informática Gráfica
Generación de penumbras con hardware gráfico
Pere-Pau Vázquez Alcocer (1), Dani Susín Acebo (2)
(1) Dept. LSI, Universitat Politècnica de Catalunya; (2) Facultat d’Informàtica de Barcelona, Universitat Politècnica de Catalunya

Resumen: las sombras son un elemento muy importante en la síntesis de imágenes pues ayudan tanto a la percepción de la posición relativa de los objetos como a hacer más realista cualquier visualización. Los métodos actuales intentan explotar la potencia de las tarjetas gráficas para generar penumbras en tiempo real, aunque en la mayoría de casos, éstos son algoritmos cuyo tiempo de ejecución depende de la cantidad de polígonos existentes. Para escenas muy grandes, esto puede hacerlos impracticables. En este artículo presentamos una técnica que trabaja en espacio imagen, por lo que su dependencia del número de polígonos es más débil que en la mayoría de casos y genera penumbras plausibles usando la operación de convolución, presente en las tarjetas gráficas actuales.

Palabras clave: penumbras, sombras, tarjetas gráficas.

Lenguajes informáticos
Una arquitectura software multicapa para la integración de sistemas
Rafael Pastor Pastor, Antonio Guevara Plaza, José Luis Caro Herrero, Andrés Aguayo Maldonado
Sistemas de Información Cooperativos de la Universidad de Málaga (SICUMA), ETSI Informática, Universidad de Málaga

Resumen: cada vez más, las empresas se están integrando en el mundo web a nivel de información y servicios. Las tecnologías XML (eXtensible Markup Language) aplicadas conjuntamente con arquitecturas software multicapa nos permiten realizar la integración con los sistemas existentes en estas empresas construyendo aplicaciones escalables y fácilmente mantenibles al mismo tiempo que conseguimos acceso multidispositivo a la información, gracias, principalmente, a la separación de los datos de la presentación de los mismos, característica que ofrecen tanto el empleo de XML como el uso de una arquitectura software multicapa. El artículo finaliza presentando un caso práctico de integración de sistemas usando la arquitectura descrita.

Palabras clave: acceso multidispositivo, arquitecturas multicapa, B2B, J2EE, middleware, mundo web, XML.

Vuelta a inicio
Redes y servicios telemáticos
Ping Trunking: un mecanismo de control de congestión para tráfico agregado basado en Vegas
Sergio Herrería Alonso, Manuel Fernández Veiga, Miguel Rodríguez Pérez, Andrés Suárez González, Cándido López García
Depto. de Ingeniería Telemática, Universidad de Vigo, ETSI Telecomunicación

Resumen: un agregado de flujos está formado por un conjunto de paquetes, pertenecientes a uno o a varios flujos IP (Internet Protocol), que tienen alguna propiedad en común y que desean recibir el mismo servicio entre dos nodos de la red. Independientemente de los protocolos que controlen cada uno de los flujos individuales, sería conveniente que los agregados respondiesen a la congestión como una sola entidad. En este artículo presentamos una nueva técnica, denominada Ping Trunking, capaz de controlar agregados de forma transparente a los usuarios finales modificando únicamente los nodos de acceso a la red. Además, el esquema propuesto no causa variaciones excesivamente pronunciadas en la tasa de transmisión de los agregados y reduce el nivel de ocupación de las colas en el interior de la red.

Palabras clave: control de tráfico, tráfico agregado, TCP Vegas.

Última actualización: 28 de octubre de 2005 Autor:Sugerencias, comentarios, noticias, advertencias, ...Rafael Fernández Calvo
Sugerencias, comentarios, noticias, advertencias, ...novatica@ati.es
Mejor con cualquier visualizadorHTML 3.2
Sitio Web creado en 1994 por ATI (Asociación de Técnicos de Informática)
Éste es el más antiguo de los webs asociativos de España
Nota importante: Se permite la reproducción del material contenido en este sitio web, excepto las páginas, o partes de ellas, marcadas con © o Copyright, debiéndose en todo caso citar su procedencia.

Important notice: The contents of this website can be freely reproduced, except for the pages, or portions thereof, marked with © or Copyright. Any reproduction must make full mention of the source.