La evaluación de seguridad es un proceso mediante el cual las organizaciones independientes, pero acreditadas, brindan garantía de seguridad de los sistemas y productos de TI a instituciones militares, gubernamentales y comerciales. Dichas evaluaciones y los criterios sobre los que se basan sirven para establecer un nivel aceptable de confianza tanto en los proveedores como compradores de TI. Además, los criterios y las clasificaciones de evaluación de seguridad pueden utilizarse como expresiones concisas de requisitos de seguridad de TI. Las evaluaciones de seguridad de TI tienen dos componentes importantes: los criterios mediante los cuales se realizan las evaluaciones, y los esquemas o las metodologías que rigen cómo se deben realizar dichas evaluaciones de forma oficial y por quién.

La evaluación de seguridad es un proceso mediante el cual las organizaciones independientes, pero acreditadas, brindan garantía de seguridad de los sistemas y productos de TI a instituciones militares, gubernamentales y comerciales. Dichas evaluaciones y los criterios sobre los que se basan sirven para establecer un nivel aceptable de confianza tanto en los proveedores como compradores de TI. Además, los criterios y las clasificaciones de evaluación de seguridad pueden utilizarse como expresiones concisas de requisitos de seguridad de TI. Las evaluaciones de seguridad de TI tienen dos componentes importantes: los criterios mediante los cuales se realizan las evaluaciones, y los esquemas o las metodologías que rigen cómo se deben realizar dichas evaluaciones de forma oficial y por quién.

1. La norma Common Criteria (Criterios comunes) es un marco internacional (ISO/IEC 15408) que define un enfoque común para evaluar las capacidades y funciones de la seguridad de los productos de seguridad de la tecnología de la información. Un producto certificado es aquel que un organismo reconocido de certificación afirma que fue evaluado por un laboratorio de evaluación independiente, acreditado y calificado competente en el campo de la evaluación de seguridad de TI según los requisitos de las normas Common Criteria y Common Methodology for Information Technology Security Evaluation.

2. El programa FIPS 140-2 está administrado de forma conjunta por EE. UU. y Canadá. En EE. UU., el programa está administrado por el Instituto Nacional de Normas y Tecnología (NIST, National Institute of Standards and Technology) a través del Programa de validación de módulos criptográficos (CMVP, Cryptographic Module Validation Program). En Canadá, el programa está administrado por el Centro de Seguridad en las Telecomunicaciones (CSEC, Communications Security Establishment) del gobierno de Canadá.

Para obtener más información, consulte el sitio web Security Evaluations en Oracle Technology Network. Para obtener una matriz de las evaluaciones de seguridad de Oracle actualmente en progreso, así como las completadas, vaya a Estado de las evaluaciones de seguridad de Oracle.

Envíe un correo electrónico a seceval_us@oracle.com para todas las consultas sobre las evaluaciones de seguridad de Oracle.

Beneficios de la seguridad
  • Verificación independiente—evaluaciones de seguridad de reclamaciones de seguridad del producto por parte de centros acreditados de evaluación
  • Medidas estándar e independientes de seguridad—Las reclamaciones de seguridad de cada proveedor se evalúan según las medidas estándar de seguridad
  • Mejoras en los productos—Las evaluaciones de seguridad pueden mejorar el diseño general y la implementación de la seguridad en las soluciones certificadas.
  • Identificación de vulnerabilidades arquitectónicas—Las evaluaciones de seguridad pueden llevar a la identificación de vulnerabilidades arquitectónicas