Professional Documents
Culture Documents
IT Service Management
Lo absurdo de la seguridad
9 de cada 10 empresas
norteamericanas han sufrido un
ataque online entre 2004 y 2005
(2005 FBI/CSI Computer Crime
and Security Survey)
Y la dependencia se incrementa
9% han identificado
correos-e falsos (phishing)
solicitando informacin a
sus clientes
9% han descubierto la
suplantacin clientes (p.ej.,
luego de un robo de
identidad)
Principios de Seguridad
ISO/IEC 27000
ISO/IEC 14000
ISO/IEC 9000
Documentos
Ideas adicionales
Estado Actual
Estado Futuro
Plan de Transicin
Comunicacin
ISO/IEC 27001
5.1 Compromiso de la Gerencia
La gerencia debe proporcionar Transmisin top-down de la visin
evidencia de su compromiso con el
establecimiento, implantacin, Reuniones breves acerca del progreso
operacin, monitorizacin, revisin, Mecanismo para garantizar la consulta
mantenimiento y mejora del SGSI al: e implicacin de personal clave
Mecanismo de feed-back
a) establecer una poltica SGSI;
Sistema de informacin compartida
d) comunicar a la organizacin la
importancia de lograrlos objetivos de
seguridad de la informacin y
cumplir la poltica de seguridad de
informacin, sus responsabilidades
bajo la ley y la necesidad de una
mejora continua;
Definicin
Las mtricas de seguridad deben ser mediciones objetivas y cuantificables
respecto a ciertos objetivos especficos que permitan evaluar la efectividad de la
seguridad de informacin en una organizacin.
Acciones
SGSI
AccionesPreventivas
Preventivas
Acciones
AccionesCorrectivas
Correctivas Mejora
Mejora
Proceso
Procesode
deRevisin
Revisin Continua
Continua
Estructura
Estructurade
deAuditora
AuditoraInterna
Interna
Responsabilidades
Habilidades de liderazgo
Director
Enfoque pragmtico
No pertenecer a TI
Gestin de Calidad / Procesos Poseer amplia
Miembros
TI responsabilidad gerencial
Gestin de Instalaciones
RRHH / Formacin
Gestor de Seg. Info.
Experto en Seg. Info. En el epgrafe 6.1.3, ISO
Responsabilidades
Ventas 27002 seala que todas
Asignacin de
Operaciones las responsabilidades en
seguridad de informacin
Administracin
deben estar claramente
identificadas
Frecuencia quincenal (al Gestor de SI
Reuniones
Proceso de Autorizacin
de adquisiciones
Prepararse
Prepararseparaparalas
las
Autoridades externas: emergencias,
emergencias,incluyendo
incluyendoaa
Cuerpos de Seguridad quin
quincontactar
contactarenenelelcaso
casodede
presentarse
presentarseuna.
una.Incluir
Incluiruna
una
Departamento de Bomberos revisin
revisindedelos
loscontactos
contactosen en
revisin
revisinperidica
peridicade delos
los
Organismos regulatorios planes
planesdedepreparacin
preparacinpara para
Proveedores de Servicios de Internet emergencias
emergencias(continuidad
(continuidad
empresarial,
empresarial,recuperacin
recuperacin
Operadores de Telecomunicaciones ante
antedesastres,
desastres,continuidad
continuidad
del
delplan
plande
deoperaciones,
operaciones,etc.)etc.)
Contiene:
Marco referencial (objetivos y
direccin general)
Considera todos los requisitos de
Inicialmente seguridad relevantes desde el punto
Inicialmente de vista empresarial, legal, regulatorio
y contractual
Enunciado
Enunciadobreve breve(2
(2pginas
pginasmx.)
mx.)
Establece un contexto estratgico
Responder
Responderaalas laspreguntas
preguntasQuin?,
Quin?, para SGSI
Dnde?(alcance),
Dnde? (alcance),Qu?
Qu?yyPorqu?
Porqu? Criterios y estructura para la
Utilizar iteracin para su confeccin evaluacin de riesgos
Utilizar iteracin para su confeccin
Aprobacin
Revisin:
1. Al completar la Declaracin de
Aplicabilidad (SoA)
2. Luego de implantar el conjunto de
procedimientos iniciales
3. Al finalizar el primer ciclo de
auditora
4. Anualmente, como parte habitual
de la revisin del SGSI
Evaluacin de riesgo
Problemas:
Incertidumbre de probabilidad
Imprecisin en la estimacin
de los posibles costes (prdidas)
Otros conceptos:
Identificacin de activos
Identificacin de amenazas
Definicin
Causa potencial de un
incidente no-deseado, el
cual puede resultar en
dao a un sistema u
organizacin
(ISO/IEC 13335-1:2004)
Identificacin de vulnerabilidades
Definicin
Mtodos de Identificacin:
Debilidad de un activo o
Fuentes de vulnerabilidad
grupo de activos que
puede ser explotada por Pruebas de seguridad
una o ms amenazas.
Herramienta automtica de escaneo
(ISO/IEC 13335-1:2004)
de vulnerabilidades
Prueba y evaluacin de seguridad
Pruebas de penetracin (pen--test)
Desarrollo de una lista de verificacin de
requisitos de seguridad
Identificacin de impactos
Apetito de Riesgo
Cantidad y tipo de riesgo que
una organizacin est dispuesta
a asumir, mantener o adoptar.
(ISO/IEC 31000)
Estrategias de riesgo
Aceptacin
Neutralizacin
Evasin
Transferencia
Mensurables Comerciales
Alcanzables
Relevantes Contractuales
Temporales
Especficos Legales
digitales o no
Categorizacin de prdidas
Ninguna
Ninguna prdidas
prdidas 1.000
1.000
Secundaria
Secundaria 1.000
1.000 < prdidas 10.000
< prdidas 10.000
Media
Media 10.000
10.000 < prdidas 100.000
< prdidas 100.000
Alta
Alta 100.000
100.000 << prdidas
prdidas 1.000.000
1.000.000
Muy
Muy alta
alta 1.000.000
1.000.000 < prdidas 10.000.000
< prdidas 10.000.000
Extrema
Extrema La
La viabilidad financiera de
viabilidad financiera de la
la
empresa
empresa se
se ve
ve comprometida
comprometida
Posibles categoras de prdida
para una organizacin grande
Reflexin / Consejo
Es mejor hacer una estimacin aproximadamente
correcta que una precisamente equivocada.
Expectativa
Las amenazas para cada uno de los sistemas deben ser consideradas en funcin
del deterioro o prdida de confidencialidad, integridad y disponibilidad.
Algunas amenazas que entrarn en una partida nica, otras en ms de una.
Es importante realizar este anlisis de manera sistemtica y global, para
garantizar que todas las amenazas han sido consideradas.
La calidad de los controles que finalmente implantar la organizacin ser un
reflejo de la calidad de este ejercicio.
Insignificante
Insignificante Muy
Muyimprobable,
improbable,frecuencia
frecuencia<<1x
1xcada
cada55aos
aos
Muy
Muybaja
baja 1x cada 5 aos < frecuencia 1x al ao
1x cada 5 aos < frecuencia 1x al ao
Baja
Baja 1x
1xalalao
ao<<frecuencia
frecuencia1x1xpor
porsemestre
semestre
Media
Media 1x
1x por semestre < frecuencia 1xpor
por semestre < frecuencia 1x pormes
mes
Alta
Alta 1x por mes < frecuencia 1x por semana
1x por mes < frecuencia 1x por semana
Muy
Muyalta
alta 1x
1xpor
porsemana
semana<<frecuencia
frecuencia1x
1xalalda
da
Extrema
Extrema Probablemente
Probablemente suceda al menos unavez
suceda al menos una vezalalda
da
Posible escala de probabilidad de ocurrencia
Matriz de riesgo
Probabilidad Impacto
de Bajo Medio Alto
Ocurrencia (10) (50) (100)
Alta Bajo Medio Alto
(1.0) 10 x 1.0 = 10 50 x 1.0 = 50 100 x 1.0 = 100
Media Bajo Medio Medio
(0.5) 10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Baja Bajo Bajo Bajo
(0.1) 10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Medidas de seguridad
Controles
El
El epgrafe
epgrafe 4.2.1.g
4.2.1.g de
de ISO/IEC
ISO/IEC 27001
27001
exhorta
exhorta la
la seleccin
seleccin dede controles
controles del
del Anexo
Anexo A
A
por
por parte
parte de
de la
la organizacin,
organizacin, aunque
aunque tambin
tambin
admite
admite la
la seleccin
seleccin dede controles
controles adicionales.
adicionales.
11 Categoras
38 Clusulas
133 Sub-clusulas
Anexo A
(Normativo)
Objetivos de control y controles
Los objetivos de control y los controles enumerados en la Tabla A.1 se derivan directamente de, y
se alinean con, aquellos enumerados en ISO/IEC 27002:2005 Clusulas del 5 al 15. Las listas en
estas tablas no son exhaustivas y una organizacin podra considerar que son necesarios objetivos
de control y controles adicionales. Los objetivos de control y los controles de estas tablas deben
seleccionarse como parte del proceso SGSI especificado en 4.2.1.
El ISO/IEC 27002:2005 Clusulas del 5 al 15 proporciona consulta y lineamientos para la
implementacin de las mejores prcticas en soporte de los controles especificados en A.5 al A.15.
Tabla A.1 Objetivos de control y controles
A.5 Poltica de seguridad
A.5.1 Poltica de seguridad de informacin
Objetivo de control: Proporcionar direccin gerencial y apoyo a la seguridad de la informacin en
concordancia con los requerimientos comerciales y leyes y regulaciones relevantes
A.5.1.1 Documentar Control
poltica de La gerencia debe aprobar un documento de poltica, este se debe
seguridad de publicar y comunicar a todos los empleados y entidades externas
informacin relevantes.
A.5.1.2 Revisin de Control
la poltica de La poltica de seguridad de la informacin debe ser revisada
seguridad de regularmente a intervalos planeados o si ocurren cambios significativos
informacin para asegurar la continua idoneidad, eficiencia y efectividad
Seleccin de controles
Reglas bsicas:
1. Seleccionar controles basados sobre la legislacin.
2. Seleccionar controles especficos al mbito comercial de la
organizacin.
3. Seleccionar controles listados en ISO/IEC 27001:2005.
Declaracin de Aplicabilidad
Mtricas y mediciones
Funciones bsicas:
Control: Permiten a los gerentes y empleados evaluar y controlar el
rendimiento de los recursos de los que son responsables.
Estadsticas de cambios en TI
Estadsticas de software malicioso (malware)
Auditora sobre ordenadores (asuntos o recomendaciones de auditora
agrupados y analizados por estatus y nivel de riesgo)
Autoevaluacin de controles y otras estadsticas de Gestin de Riesgo
Estadsticas de Help Desk analizando los contactos relacionados con
temas de seguridad
Estadsticas de incidencias TI
Estadsticas de cortafuegos (firewall)
Estadsticas de vulnerabilidades de sistemas y redes
Respuesta a las actividades de concienciacin acerca de seguridad
Cada vez que exista una razn empresarial justificada para otorgar
acceso a cualquier asociado o parte externa a los sistemas de la
organizacin o dominio de seguridad, se debe realizar una evaluacin
de riesgo para determinar las implicaciones de seguridad y requisitos de
control.
Proveedores de servicio
ISPs y/o ASPs
Servicios bsicos,
Servicios de seguridad, etc.
Clientes
Proveedores externos
Consultores y auditores
Desarrolladores o proveedores de SW/HW
Plantilla de apoyo (externalizada)
Personal temporal incluyendo becarios
Evaluacin de riesgos
Esta evaluacin de riesgos se lleva a cabo de conformidad con los requisitos del
epgrafe [nmero] del SGSI de [nombre organizacin]. Est sujeta a revisin de
acuerdo con los requisitos de evaluacin de riesgos del SGSI.
Fecha:
Parte externa: [Nombre y Direccin]
Instalacin de informacin o Activo a ser accedido:
Tipo de acceso requerido: fsico, lgico, en el propio emplazamiento o fuera de :
Valor, sensibilidad y criticidad de la informacin involucrada [ver ms abajo]:
Duracin/frecuencia requerida de acceso :
Que personal externo se manejar los datos?
Razones empresariales para facilitar el acceso:
Riesgos de proporcionar el acceso:
Son adecuados los controles existentes S / N? (listarlos)
Son adecuados los controles de los terceros S / N? (listarlos)
Nuevos controles requeridos - especificar:
Evaluacin de riesgo llevada a cabo por:
Fecha de revisin:
Tipos de acceso
Fsico: Lgico:
Oficinas Bases de datos
Salas de informtica Redes
Data centers Sistemas de informacin
Archivadores, etc Sistemas de mensajera de voz, etc
Tipo de acceso
+
Valor de la Informacin involucrada
Determina el nivel de riesgo y la clase de control a aplicar
Esta es una razn para tomar el certificado ISO/IEC 27001 como evidencia de
que la organizacin ha implantado controles de seguridad adecuados
Outsourcing
Es evidente que debe llevarse a cabo una evaluacin del riesgo antes de tomar la
decisin de externalizar un servicio (y considerar el costo de implementar cualquier
control desde el punto de vista de la rentabilidad).
Contratistas On-site
Vulnerabilidades de software
Facilidad con la que los atacantes pueden hacerse pasar por clientes
Antes de otorgar acceso por parte de los clientes a cualquiera de sus sistemas de
informacin, la organizacin debe considerar:
Niveles de acceso:
Riesgos asociados acceso limitado Acuerdo de Confidencialidad (NDA)
Riesgos a exposicin ms cercana y de largo plazo
Contratos
CONTENIDO MNIMO (ADICIONALMENTE)
Poltica de seguridad de informacin de la organizacin Provisin para traslado del
Polticas sobre la proteccin de activos de la organizacin personal
Descripcin del servicio que proporcionar el tercero Proteccin contra el robo de
Nivel de servicio objetivo y definicin de servicio inaceptable personal
Criterios de rendimiento verificables Acuerdos de control de
Pasivos futuros de las partes involucradas en el acuerdo acceso
Responsabilidades legales Potestad de la organizacin
anfitriona para monitorizar la
Derechos de propiedad intelectual actividad y retirar los derechos
Potestad de auditar las responsabilidades contractuales de los usuarios
Proceso para la resolucin de disputas Responsabilidades respecto
a la instalacin de HW y SW
Estructura y formato de los informes Entrenamiento necesario respecto a mtodos,
procedimientos y seguridad
Proceso de Gestin de Cambios
Controles contra software malicioso y virus
Cualquier control fsico requerido
Procedimiento para el reporte de incidencias de
seguridad
Gestin de activos
Tipos de activos:
Informacin: datos en cualquier formato
Software: aplicaciones, sistemas operativos, herramientas y utilidades de
desarrollo, etc.
Activos fsicos: equipo informtico, equipo de comunicaciones, medios
magnticos, etc.
Servicios
El personal y su conocimiento (destrezas, habilidades y experiencia)
Activos intangibles tales como la imagen, reputacin y marca de la
organizacin
Inventario de activos
Propietarios de activos
Clasificacin de la informacin
A L
Se debe considerar que el compartir informacin es un objetivo tan importante
como lo es la restriccin
C I
Posibles esquemas de clasificacin (de mayor a menor grado):
E N
Confidencial, Restringido, Privado
Sper secreto, Secreto, Confidencial, Restringido
D
Secreto, Confidencial, Pblico
F I
El propietario, como encargado del activo, asignar la clasificacin adecuada segn
N
el esquema acordado
O
La informacin clasificada ser etiquetada de manera que tanto el originador como
C
el receptor sepan cmo aplicar la seguridad correspondiente.
Ttulos unificados
Quienes estn vinculados con tareas relacionadas con SGSI deben poseer la
competencia adecuada (ISO/IEC 27001 epgrafe 5.2.2)
Antes de la contratacin
Proceso de seleccin
Referencias, identidad, ttulos
Verificacin de datos del candidato (la profundidad depender del nivel de
confidencialidad asociado al cargo en cuestin)
Durante el empleo
Gestin de responsabilidades
La gerencia garantizar la aplicacin de las polticas y procedimientos de
seguridad de informacin
Archivo personal
Proceso disciplinario
Cualquier violacin de la poltica o procedimientos de seguridad de
informacin ser tratada a travs de un proceso disciplinario formal
Responsabilidades de la terminacin
Documentar quin es responsable de realizar las terminaciones y cules son
dichas responsabilidades
RRHH entrevista de salida
Devolucin de activos
Hardware
Software
Informacin
Conocimiento (transferencia)
Seguridad fsica
Las medidas de seguridad fsica son implantadas para proteger la informacin del
fuego, robo, vandalismo, sabotaje, acceso no-autorizado, accidentes y desastres
naturales
Anillos de proteccin
Los cables de red deben protegerse con canalizaciones adecuadas o evitando rutas
de acceso pblico
Los cables elctricos deben separarse de los cables de comunicaciones para evitar
interferencia
El personal debe estar entrenado para proteger aquellos riesgos identificados por el
fabricante
Gestin de cambios
Separar los
ambientes de
desarrollo y pruebas
de los de produccin
(operaciones) para
reducir el riesgo de
accidentes o acceso
no autorizado
Deben existir reglas bien definidas y documentadas para regular la transferencia del
software del mbito de desarrollo a produccin
El requisito es separar las actividades de desarrollo y pruebas lo ms posible de las
de produccin, trabajando preferiblemente en ordenadores o dominios distintos y en
directorios diferentes
El entorno de desarrollo debe ser estable y simular al mximo al entorno de
produccin
Los desarrolladores no deben tener acceso al site de produccin
Gestin de suministradores
Planificacin de la capacidad
Monitorizar la demanda de capacidad y realizar proyecciones de requisitos de
capacidad futura para garantizar la disponibilidad de equipos e instalaciones de
almacenamiento de datos
Aceptacin de sistema
Los criterios de
aceptacin deben ser
claramente
identificados,
acordados y
documentados
Virus
Se puede reproducir a s mismo
Depende de un fichero husped
Slo puede extenderse fuera del sistema
infectado a travs de la transferencia de ficheros
Gusano
Se puede reproducir a s mismo
Es autnomo (NO necesita el fichero husped)
Troyano
Un troyano es un cdigo hostil oculto dentro de lo
que pretende ser un cdigo de buena fe.
Est diseado para alcanzar un objetivo de forma
sigilosa y ejecutarse inadvertidamente.
Spyware y Adware
Controles anti-malware
Poltica (SGSI) que requiera conformidad con licencias y que prohba el uso de software
no autorizado
Poltica que proteja a la organizacin de los riesgos de importar malware en discos,
ficheros o software proveniente del exterior de la organizacin
Deshabilitar los puertos USB y lectores de CD/DVD de los PCs de la red
Cualquier dato que llegue en tales medios debe ser verificado en primer lugar por
personal de TI
Software antivirus instalado en toda la red con las actualizaciones pertinentes segn la
poltica de actualizacin del fabricante
Aplicar todos patches, arreglos y service packs para sistemas operativos y software en
general en cuanto se encuentren disponibles
Revisin peridica del software y datos para todos los sistemas que soportan los
procesos crticos de la organizacin
Verificacin de ficheros provenientes de fuentes o redes no autorizadas, inciertas, poco
fiables antes de ser utilizados
Revisin en el punto de entrada a la red de anexos a correo-e y vnculos de descarga
Educacin a los usuarios para reconocer y responder ante correos electrnicos
infectados
Procedimientos documentados para asignar responsabilidades en el tratamiento de
malware (incidencias, antivirus y recuperacin)
Elaboracin de Planes de Continuidad para la recuperacin de ataques de malware
Revisin peridica de fuentes de informacin actualizada acerca de malware
Back-up
Una vez identificados los activos para los que se requieren copias de respaldo, la
organizacin decidir el mtodo y frecuencia para su realizacin
Consideraciones:
Nivel mnimo de informacin respaldada
Misma seguridad fsica para los back-ups
Los medios de back-up deben ser probados para garantizar su funcionamiento
Los procedimientos de restauracin deben ser revisados peridicamente
Archivos crticos en papel tambin deben ser respaldados (fotocopias?)
Examinar soluciones RAID (Redundant Array of Independent Disks) para
aquellos servidores donde se ejecutan aplicaciones crticas
Definir y aplicar el perodo de retencin de informacin a los datos
respaldados
La arquitectura de la red
debe reflejar las necesidades
y recursos de la organizacin
La seleccin de un gestor de
redes experimentado y
efectivo es indispensable
Tanto el SGSI como los acuerdos de servicio de red deben contener una
descripcin clara de los atributos de seguridad de todos los servicios de red
utilizados en la organizacin
Atributos habitualmente considerados:
Tecnologa de seguridad (tales como codificacin, autenticacin y controles
de conexin a la red)
Parmetros tcnicos de la conexin segura con el proveedor de servicios
Procedimientos para la restriccin de acceso a los servicios
Controles relacionados con la data almacenada en el sistema
Es particularmente importante verificar la
capacidad de recuperacin de los sistemas
del proveedor as como comprender y
verificar sus procedimientos de contingencia
Gestin de medios
Organizaciones
Modelos de Negocio
ms abiertos
Tecnologa
Mayor conectividad e
intercambio de Los cambios en la tecnologa
informacin generan amenazas cambiantes
Seguridad de servidores
Transacciones online
Se requiere que la informacin online sea protegida tal que permanezca autntica,
ntegra, no sea mal encaminada, alterada, divulgada o duplicada y, en particular,
que no sea robada para ser utilizada en transacciones fraudulentas
PCI DSS considera la posible apropiacin indebida de la informacin del propietario
de la tarjeta y seala controles dirigidos a la evasin del registro y/o
almacenamiento de cualquier informacin sensible
ISO/IEC 27002 sugiere considerar:
Firmas electrnicas
Controles tcnicos para verificar las credenciales del usuario
Comunicaciones cifradas
Evitar el acceso desde Internet al almacenamiento de informacin personal
La seguridad debe estar integrada de extremo a extremo en una relacin de autoridad de
confianza.
Tomar en cuenta cualquier aspecto legal
Las organizaciones deben alertar a sus clientes acerca para que no divulguen sus
contraseas y contar con mecanismos de respuesta rpida para la deteccin de
fraudes
Es
Es necesario
necesario contar
contar con
con un
un proceso
proceso formal
formal de
de
autorizacin
autorizacin para
para publicacin
publicacin de
de informacin
informacin yy proteger
proteger su
su
integridad
integridad para
para prevenir
prevenir modificaciones
modificaciones no
no deseadas
deseadas
Aspectos clave:
La fiabilidad y seguridad del sistema donde se dispondr la informacin
El control de la informacin divulgada en entrevistas y, directa o
indirectamente, en el espacio pblico
El control de la informacin publicada electrnicamente
Hackers y Crackers
Motivos:
Reto
Travesura
Trabajo (buscando bugs en un software)
Robo
Ethical Hackers?
Tcnicas:
Software abusivo
Back door
Back orifice (desarrollado por cDc)
Negacin de servicio (Service denials)
Explotacin (ataque a vulnerabilidad identificada)
Intermediario (Man in the Middle)
Enmascaramiento
Monitorizacin de red
Cracking de contraseas
Ataques polimorfos
Rootkit
Ingeniera social
Suplantacin de Identidad (Spoofing/Phishing)
Troyanos
Inscripcin/registro de usuarios
Gestin de privilegios
Los privilegios ms crticos son los que permiten a los administradores de sistemas
realizar su trabajo
Asignacin de privilegios:
Identificar cada sistema (sistema operativo, aplicacin, Base de Datos, etc.)
Identificar los privilegios asociados con cada sistema
Identificar la plantilla que necesita dichos privilegios (categoras)
Las contraseas temporales deben ser nicas para cada individuo y difciles de
adivinar
Utilizacin de contraseas
Mantener la confidencialidad de las contraseas
Evitar mantener cualquier registro de las contraseas (electrnico o papel)
Cambiar la contrasea cuando exista la posibilidad de verse comprometida
Seleccionar contraseas con seis caracteres (mnimo)
Cambiar contraseas regularmente
Cambiar la contrasea en el primer inicio de sesin
No compartir contraseas bajo ninguna circunstancia
Equipo desatendido
Utilizacin de protectores de pantalla asegurado con contrasea y
auto-activado (3 a 5 minutos)
Educar a los usuarios en la activacin del protector de pantalla manualmente,
darse de baja en la aplicacin en la que trabajaban y asegurarse que el
procedimiento de log-off se haya completado antes de apagar o dejar
desatendido al equipo
Poltica de escritorio y pantalla despejados
Garantizar la disponibilidad de recursos fsicos en el mbito de trabajo para el
adecuado almacenamiento de la informacin segn su clasificacin
Poltica de la bolsa negra
Redes
Redes privadas
LAN
WAN
VPN
Acceso remoto
Interdependencias
Extranets y DMZs
Redes inalmbricas
Telefona mvil
VoIP
Bluetooth
Enfoques y tecnologas:
Remote Access DialIn Service (RADIUS)
Terminal Access Controller Access-Control System advanced (TACACS+)
Protocolo Kerberos
Challenge Authentication Protocol (CHAP)
Password Authentication Protocol (PAP)
Segregacin de redes
Creacin de zonas
desmilitarizadas
(DMZs) y/o extranets
dificulta el acceso de
agresores a la red
Los servidores en la
DMZ no deben ejecutar
servicios innecesarios
(FTP, DNS, SMTP)
Considerar redes
inalmbricas en la
segregacin
Redes amplias y
complejas pueden
dividirse en dominios
lgicos, cada uno con
su permetro de
seguridad
Diferentes partes de un ERP pueden alojarse en dominios diferentes, esto puede
hacerse con seguridad si la arquitectura mantiene las partes separadas lgicamente
Los dispositivos de seguridad de cualquier sistema operativo deben ser capaces de:
5. Generar alarmas cada vez que se violen las polticas de seguridad del sistema
Registro en terminal
Diseado para minimizar la oportunidad de acceso no autorizado al sistema
Controles de contrasea inadecuados representan uno de los mtodos ms fciles para
los agresores para lograr acceso
No mostrar indicadores del sistema o aplicacin hasta haber completado el inicio de
sesin en l
En la pantalla de inicio de sesin, incluir una advertencia general de que el ordenador
debe ser accedido slo por usuarios autorizados
No proporcionar mensajes de ayuda durante el inicio de sesin
Validar los datos de inicio slo al finalizar la entrada de todos ellos
Se limitar el nmero de intentos fallidos permitidos
Limitar el tiempo mximo para el inicio de sesin
Luego del inicio de sesin correcto, mostrar fecha y hora del ltimo acceso correcto y
detalles de intentos fallidos ocurridos desde entonces
Ocultar los caracteres de la contrasea con smbolos y cifrarlos antes de ser enviados a
travs de la red
Cifrado (Encryption)
Cifrado simtrico
Utiliza la misma clave para cifrar y descifrar los datos
Data Encryption Standard (DES) 3 DES (3x DES)
Firmas digitales
Servicios anti-repudio
Gestin de claves
Procedimiento de control
de cambios
Fugas de informacin
Externalizacin del
desarrollo de software
Monitorizacin
Registro de auditora
Registro de excepciones y otros eventos relacionados con seguridad para ayudar en
investigaciones futuras
Archivos extensos y detallados pueden proporcionar ms informacin de la necesaria y
resultar difciles de analizar
Informacin mnima: IDs de usuarios; fechas y horas de inicio y fin de sesin; identificacin
del terminal; detalles de intentos correctos y rechazados de acceso a los sistemas, datos o
aplicaciones; cambios a la configuracin del sistema; uso de privilegios, utilidades de sistema
y aplicaciones; detalles de ficheros y redes accedidas y cualquier alarma activada; detalles
de activacin o desactivacin de sistemas de proteccin (antivirus)
Supervisin del uso del sistema
Garantizar que los usuarios realizan slo aquellas actividades para las que estn autorizados
Enfoque: Mejor prevenir que curar
Proteccin de la informacin de los registros disputas y juicios
Registros de administrador(es) y operador(es)
Almacenados en papel en la sala de servidores
Detalles: inicio y finalizacin de sistemas / eventos y personal involucrado; informacin del
evento (ficheros manipulados, procesos involucrados); errores de sistema y accin(es)
correctivas; hora de backup; detalles del intercambio de medios de backup; etc.
Registro de fallos software de helpdesk?
Sincronizacin del reloj
Eleccin de un formato nico (a nivel de SGSI)
Notificacin de eventos de
seguridad de informacin
Responsabilidad de los empleados
Cultura de no culpabilidad
SPoC para todos los eventos
Categoras:
1. Violacin de seguridad
2. Amenaza
3. Debilidad
4. Fallo o mal funcionamiento
Responsabilidades y procedimientos
Eventos candidatos a Incidencia:
Identificar incidencias entre eventos Infecciones de malware
Restringir inmediatamente cualquier Correo spam excesivo
impacto adicional Fallos de sistemas de informacin
Negaciones o prdidas de servicio
Identificacin de la incidencia y su Errores de informacin empresarial
gravedad (causas y vulnerabilidades) Violaciones de confidencialidad o
Tctica para atender la incidencia integridad
Mal uso de sistemas de informacin
Accin correctiva
Comunicacin a los afectados
Informe interno
Aprendizaje de las incidencias
Recopilacin de evidencia
Llevar a cabo una evaluacin de riesgo para cada uno de los elementos
identificados as como para cada uno de los sistemas y procesos crticos de la
organizacin, involucrando a los propietarios de los procesos [SGSI]
Impactos deben considerar lapsos de posible inactividad y el coste tanto para la
reparacin de los daos como de la prdida de actividad comercial
Contemplar todo el personal y los recursos necesarios para ejecutar cada plan
Los planes deben ser esbozados por los propietarios de procesos o activos y,
luego, revisados por el asesor/experto en seguridad de informacin
La organizacin debe mantener un esquema nico para los BCPs para asegurar
que todos son consistentes
La base de este esquema puede ser una simple matriz en la que se identifican los
enlaces entre activos, procesos, propietarios y riesgos de continuidad
Las pruebas de recuperacin tcnicas estn diseadas para garantizar que los
sistemas pueden recuperarse eficientemente
Las instalaciones de los proveedores y servicios bsicos deben ser probados para
verificar si cumplen con el compromiso del SLA
Conformidad Legal
Directrices a considerar:
Considerar el establecimiento
de procedimientos para evitar
la prdida de informacin en
medios electrnicos
Ms Conformidad Legal
Consideraciones de auditora