Certificacin como profesional en seguridad de sistemas de informacin CISSP (certified information systems security profesional)

Conceptos y Pricipios de Gestion de Seguridad

Preparado por : Leonardo Bogot Gmez Bogot, 17 de Marzo de 2003

CISSP Certified information systems security profesional

Conceptos y Pricipios de Gestion de Seguridad

Objetivo: Examinar el dominio de InfoSec en manejo de seguridad, el cual incorpora la identificacin de datos de seguridad en la implementacin de polticas, stndares, guias y procedimientos.

Conceptos y Pricipios de Gestion de Seguridad

            Confidentiality Integrity Availability Privacy Authorization Identification Authentication Accountability Non-repudiation Documentation Audit CIA Triad Confidentiality, Integrity, & Availability.

Conceptos y Pricipios de Gestion de Seguridad

Protection Mechanisms
 Layering  Abstraction  Data hiding  Encryption

Change Control/Management
       Hardware Configuration System & Application Software Change Control Process - Applying to introduce a change Cataloging the intended change Scheduling the change Implementing the change Reporting the change to appropriate parties

Confidencialidad (Confidentiality)
Los recursos slo podrn ser utilizados por las entidades autorizadas.La informacin slo ser consultada por usuarios autorizados. Intenta prevenir la divulgacin no autorizada en forma intencional o no intencional del contenido de mensajes. La perdida de confidencialidad puede ocurrir de muchas formas. Previene el uso no autorizado o divulgacin de informacin, la informacin es accesada solo por personal autorizado para accesarla, privacidad es un concepto muy cercano que es a menudo asociado con datos personales. Varias leyes en internacionales y americanas protegen la privacidad (confidencialidad) de datos personales. Proteccin de las comunicaciones o los datos almacenados contra su interceptacin y lectura por parte de personas no autorizadas. La confidencialidad es necesaria para la transmisin de datos sensibles y es uno de los requisitos principales a la hora de dar respuesta a las inquietudes en materia de privacidad de los usuarios de las redes de comunicacin.
Conceptos y Pricipios de Gestion de Seguridad

Confidencialidad (Confidentiality)
Es preciso tener en cuenta todos los factores que pueden amenazar la privacidad y no solamente los intencionados. Desde el punto de vista de los usuarios, los peligros derivados de los incidentes del entorno o de errores humanos que alteren la red pueden ser tan costosos como los ataques intencionados. La seguridad de las redes y la informacin puede entenderse como la capacidad de las redes o de los sistemas de informacin para resistir, con un determinado nivel de confianza, todos los accidentes o acciones malintencionadas, que pongan en peligro la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los correspondientes servicios que dichas redes y sistemas ofrecen o hacen accesibles.

Integridad (Integrity)
 Slo las entidades autorizadas podrn modificar los recursos del sistema, Ningn usuario no-autorizado podr modificar la informacin.  Salvaguarda la completitud de la informacin y mtodos de procesamiento asegurando que: Modificaciones a datos no son hechos por usuarios o procesos no autorizados. Modificaciones no autorizadas a datos no son hechos por usuarios o procesos autorizados. Los datos son interna y externamente consistentes; del tal forma que los procedimientos son llevados a la entrada, una entrada expectante.  Asegura que usuarios autorizados tienen confianza y acceso oportuno a informacin y disponibilidad cuando requiera.  Confirmacin de que los datos que han sido enviados, recibidos o almacenados en forma completa y no han sido modificados.  La integridad es especialmente importante en relacin con la autenticacin para la conclusin de contratos o en los casos en los que la exactitud de los datos es crtica.

Conceptos y Pricipios de Gestion de Seguridad

Disponibilidad (Availability)
 Los recursos debern estar listos para utilizarse por las entidades autorizadas, La informacin y las aplicaciones deben estar disponibles a todos los usuarios autorizados.  Los datos son accesibles, inclusive en casos de alteraciones (cortes de corriente, catstrofes naturales, accidentes o ataques). Esta caracterstica es particularmente importante cuando una avera de la red puede provocar interrupciones o reacciones en cadena que afecten las operaciones de la empresa.
Conceptos y Pricipios de Gestion de Seguridad

Privacidad (Privacy)
Nivel de confidencialidad y proteccin a la privacidad del usuario, que d el sistema. ste es frecuentemente un componente importante en los controles de seguridad. Privacidad no slo garantiza el principio fundamental de confidencialidad de los datos, tambin garantiza el nivel de privacidad de los datos que estn siendo usados por el operador.

Conceptos y Pricipios de Gestion de Seguridad

Autorizacin (Authorization)
(que puede usted hacer) Derechos y permisos concedidos a una cuenta de usuario o proceso, el cual luego es autenticado, la autorizacin determina que puede hacer un usuario en un sistema o recurso.

Conceptos y Pricipios de Gestion de Seguridad

Autenticacin (Authentication)
(quien puede ingresar)
 Proceso de nivel dos, identificacin y autenticacin, mediante el cual se verifica la identidad de un usuario. La tcnica ms comn es la combinacin username/password (identificacin / autenticacin).  Confirmacin de la identidad declarada de usuarios. Son necesarios mtodos de autenticacin adecuados para muchos servicios y aplicaciones, como la conclusin de un contrato en lnea, el control del acceso a determinados servicios y datos, la autenticacin de los sitios web, etc.
Conceptos y Pricipios de Gestion de Seguridad

Identificacin y autenticacin
( Identification and Authentication)

el usuario es quien dice ser La identificacin es el acto de establecer claramente la identidad de un usuario en el sistema. Es el testimonio o evidencia de la verificacin de la identificacin de un usuario en el sistema. La identificacin es un componente normalmente mecanismo y simple, basado en el nombre del usuario, en el caso de sistemas o procesos se basa en el nombre del computador, direccin MAC, direccin IP o identificacin de proceso (ID process). Un requerimiento bsico es la identificacin del usuario sea nica, las cuentas compartidas de root, admin., or system son riesgosas. Tales cuentas no pueden proveer un adecuada contabilidad y son los objetivos principales de los hacker.

Conceptos y Pricipios de Gestion de Seguridad

Contabilidad (Accountability)
(que hizo) Capacidad para asociar usuarios y procesos con las acciones ejecutadas por estos. Los rastros de auditoria y el diario del sistema son componentes de la contabilidad. Un importante concepto de seguridad que tiene una relacin muy cercana con la contabilidad es la no repudiacin.

Conceptos y Pricipios de Gestion de Seguridad

No repudiacin (Non-repudiation)
Un usuario no puede negar una accin que fue identificado y asociado positivamente con sus acciones. Un usuario no puede sustraerse de sus acciones y responsabilidades derivadas de las mismas.

Conceptos y Pricipios de Gestion de Seguridad

Auditabilidad (Audit)
Capacidad de contar con mdulos que lleven un registro auditable de toda la actividad realizada. Se debe considerar e implementar las facilidades necesarias para que las entidades reguladoras puedan tener acceso gil y fcil a toda la informacin requerida, de manera que stas puedan cumplir con sus responsabilidades.

CIA Triad
La seguridad se basa en 3 criterios fundamentales (CIA: Confidentiality-Integrity-Availability): Es un proceso evolutivo. En seguridad informtica los tres criterios (CIA) son fundamentales para el estudio de los dems dominios. Lo opuesto a CIA es DAD (Divulgacin, Alteracin y Destruccin).

Conceptos y Pricipios de Gestion de Seguridad

Mecanismos de proteccin
Colocar capas (Layering)
Es el proceso de recubrir o adicionar capas a los datos a fin de brindar mayor seguridad en la transmisin de informacin.

Abstraccin (Abstraction)
Proceso de revisin de una aplicacin desde la funcin de nivel ms altos haciendo abstracciones de las funciones de bajo nivel.

Dato oculto (Data hiding)

Termino orientado a objetos, hace referencia a la practica de encapsulacin un objetos en forma desordenada, para ocultar los detalles de funcionamiento del primer objeto.

Conceptos y Pricipios de Gestion de Seguridad

Mecanismos de proteccin
Encripcin (Encryption)
Rama inicial de las Matemticas y en la actualidad de la Informtica y la Telemtica, que hace uso de mtodos y tcnicas con el objeto principal de cifrar un mensaje o archivo por medio de un algoritmo, usando una o ms claves. Esto da lugar a diferentes tipos de criptosistemas que permiten asegurar cuatro aspectos fundamentales de la seguridad informtica: confidencialidad, integridad, disponibilidad y no repudio de emisor y receptor

Conceptos y Pricipios de Gestion de Seguridad

Gestin de control de cambios

Qu busca proteger?
Datos acceso no autorizado, modificacin o copia. Sistema Uso no autorizado, modificacin o denegacin del servicio. Debe tenerse en cuenta que casi cada sistema operativo de la red (NT, Unix, Vines, NetWare) est basado en una infraestructura fsica segura.
Conceptos y Pricipios de Gestion de Seguridad

Administracin de cambios Satisface los requerimientos de negocio de: minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores. se hace posible a travs de: un sistema de administracin que permita el anlisis, implementacin y seguimiento de todos los cambios requeridos y llevados a cabo a la infraestructura de Tecnologa de Informacin actual

Aspectos a tener encuenta

identificacin de cambios yprocedimientos de categorizacin, priorizacin y definicin de emergencias. yevaluacin del impacto. yautorizacin de cambios. ymanejo de liberacin o puesta en produccin. ydistribucin de software

OBJETIVOS DE CONTROL

Inicio y Control de Requisiciones de Cambio Se debe asegurar que todas las requisiciones de cambios tanto internos como externos (proveedores) estn estandarizados y sujetos a procedimientos formales de administracin de cambios. Las solicitudes debern categorizarse, priorizarse y establecerse procedimientos especficos para manejar asuntos urgentes. Los solicitantes de cambios deben permanecer informados acerca del estatus de su solicitud.

OBJETIVOS DE CONTROL Control de Cambios Se debe asegurar que la administracin de cambios, as como el control y la distribucin de software sean integrados apropiadamente en un sistema completo de administracin de configuracin.

OBJETIVOS DE CONTROL

Documentacin y Procedimientos El procedimiento de cambios deber asegurar que, siempre que se implementen modificaciones a un sistema, la documentacin y procedimientos relacionados sean actualizados de manera adecuada.

OBJETIVOS DE CONTROL
Distribucin de Software Se debe garantizar que la liberacin de software est acorde con procedimientos formales, los cuales incluyan aprobacin, pruebas de regresin, entrega, homologaci, verificacin,etc. Debern establecerse medidas de control especficas para asegurar la distribucin del elemento de software correcto al lugar correcto, con integridad y de manera oportuna con pistas de auditora adecuadas.