1 / 28

estándares y buenas prácticas de seguridad informática

estándares y buenas prácticas de seguridad informática. Juan Sebastián Santacruz P. Andrés David Ríos L. Diego Fernando Figueroa V. estándares y buenas prácticas de seguridad informática. ITIL.

audra
Télécharger la présentation

estándares y buenas prácticas de seguridad informática

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. estándares y buenas prácticas de seguridad informática Juan Sebastián Santacruz P. Andrés David Ríos L. Diego Fernando Figueroa V.

  2. estándares y buenas prácticas de seguridad informática

  3. ITIL • Propone el establecimiento de estándares que nos ayuden en el control, operación y administración de los recursos. • Plantea hacer una revisión y reestructuración de los procesos existentes en caso de que estos lo necesiten. • Otra de las cosas que propone es que para cada actividad que se realice se debe de hacer la documentación pertinente (con fechas de cambio y modificaciones), ya que esta puede ser de gran utilidad para otros miembros del área.

  4. Biblioteca ITIL • La biblioteca de infraestructura de ITIL toma este nombre por tener su origen en un conjunto de libros, cada uno dedicado a una práctica específica dentro de la gestión de TI. • El conjunto de mejores prácticas ITIL provee un conjunto completo de prácticas que abarca no sólo los procesos y requerimientos técnicos y operacionales, sino que se relaciona con la gestión estratégica, la gestión de operaciones y la gestión financiera de una organización moderna.

  5. Los ocho libros de ITIL y sus temas son: • Gestión de Servicios de TI 1. Prestación de Servicios 2. Soporte al Servicio • Otras guías operativas 3. Gestión de la infraestructura de TI 4. Gestión de la seguridad 5. Perspectiva de negocio 6. Gestión de aplicaciones 7. Gestión de activos de software • Para asistir en la implementación de prácticas ITIL, se publicó un libro adicional con guías de implementación 8. Planeando implementar la Gestión de Servicios • Adicional a los ocho libros originales, más recientemente se añadió una guía con recomendaciones para departamentos de TIC más pequeños: 9. Implementación de ITIL a pequeña escala

  6. Control ObjectivesforInformation and relatedTechnology (COBIT) • Es un estándar abierto desarrollado y promovido por el Instituto de Gobernación de TI. • Apoyado en las necesidades gerenciales en cuanto a monitoreo de los niveles apropiados de seguridad de TI que se deben seguir en las organizaciones. • El Modelo de Madurez en el cual se basa COBIT, consiste en un método que evalúa el grado de control sobre los procesos de TI de una organización en una escala de 0 a 5, donde el menor (0) significa "No existe" y el mayor "Optimizado" (5).

  7. La escala de madurez es la siguiente: • 0 No existe: Los procesos gerenciales no son aplicados: No existen procesos reconocidos. La organización no ha reconocido que existe un problema que debe ser resuelto. • 1 Inicial: Los procesos son AdHoc y desorganizados: Existe la evidencia de que la organización ha reconocido que existe un problema y la necesidad de resolverlo. • 2 Repetitivo: Los procesos siguen un patrón regular: Los procesos se han desarrollado a un determinado nivel y procedimientos similares son seguidos por diferentes personas que realizan la misma tarea dentro de la empresa.

  8. 3Definido: Los procesos están documentados y comunicados: Los procedimientos han sido estandarizados, documentados y comunicados por medio de entrenamiento. Sin embargo, está pendiente el cumplimiento de dichos procesos por cada individuo, con lo cual es poco probable que las desviaciones sean detectadas. • 4 Gerenciado: Los procesos son monitoreados y medidos: Es posible la medición y monitorización conforme a los procedimientos y realizar acciones donde existan procesos que no parezcan estar funcionando con efectividad. Los procesos están bajo constantes mejoras y se proveen de buenas prácticas. • 5 Optimizado: Basados en mejores prácticas y están automatizadas: Los procesos han sido refinados a nivel de mejores prácticas, basados en resultados de mejoras continuas y modelos de madurez respecto de otras organizaciones. Las TI son usadas para automatizar de manera integral el flujo de trabajo, suministrando herramientas para mejorar la efectividad y la calidad, haciendo que la organización se adapte de manera rápida a los cambios del entorno.

  9. NIST-National Institute of Standards and Technology • La guía del NIST está enfocada para su uso en agencias • Federales estadounidenses. • Entornos gubernamentales • Entornos privados. • Publicacionesdraft, es decir, un borrador, y no una versión final. • Fundado en 1901, es una agencia federal no regulador que forma parte del Departamento de Comercio (Department of Commerce) de los EE.UU.

  10. La misión del NIST consiste en • Elaborar y promover patrones de la medición. • Elaborar estándares y la tecnología con el fin de realzar la productividad. • Facilitar el comercio y mejorar la calidad de vida. • En el año fiscal 2008, los recursos totales de NIST son 931,5 millones de dólares.

  11. NIST lleva a cabo su misión a través de cuatro programas cooperativos: • Laboratorios del NIST (NIST Laboratories) • Programa de Calidad Nacional Baldrige(BaldrigeNationalQualityProgram) • La Asociación de Extensión Manufacturera (ManufacturingExtensionPartnership - MEP) • Programa de la Tecnología e Innovación (TIP)

  12. El NIST emplea aproximadamente • 2900 científicos, ingenieros, técnicos, y personal administrativo y de apoyo. • 2600 colegas y usuarios de las instalaciones de la academia, la industria y otros organismos gubernamentales. • 1600 especialistas en la fabricación MEP (asociación de extensión de manufacturero) http://www.nist.gov/

  13. NIST Draft SP 800-123 • Esta guía tiene como objetivo ayudar a las organizaciones a instalar, configurar y mantener servidores seguros. • Proporciona recomendaciones sobre cómo securizar el sistema operativo y el software de un servidor, así como mantener la configuración segura a través de parches y actualizaciones, tests de seguridad, monitorización de logs y backup de ficheros de datos y de sistema operativo.

  14. OSSTMM • Metodología Abierta de Comprobación de la Seguridad creada por la organización ISECOM, el Instituto para la Seguridad y las Metodologías Abiertas, es uno de los estándares profesionales más completos y comúnmente utilizados en Auditorías de Seguridad para revisar la Seguridad de los Sistemas desde Internet. Incluye un marco de trabajo que describe las fases que habría de realizar para la ejecución de la auditoría. • El "Manual de la Metodología Abierta de Testeo de Seguridad" es un documento que refiere, de forma estandarizada y ordenada, las diversas verificaciones y pruebas que debe realizar un profesional de la seguridad informática durante el desarrollo de las auditorias y verificaciones de la seguridad. • OSSTMM se centra en los detalles técnicos en exactamente qué artículos deben someterse a prueba, qué hacer antes, durante y después de una prueba de seguridad, y cómo medir los resultados.

  15. Sección A -Seguridad de la Información • Sección B - Seguridad de los Procesos • Sección C - Seguridad en las tecnologías de Internet • Sección D - Seguridad en las Comunicaciones • Sección E - Seguridad Inalámbrica • Sección F - Seguridad Física http://www.isecom.org/

  16. SANS • En 1999, se fundó SANS GIAC, el Global Information Assurance Certification, que ha permitido a más de 20.000 profesionales de seguridad demostrar sus habilidades y satisfacer las normas desafiantes. GIAC es único en el ámbito de las certificaciones de seguridad de la información no sólo la prueba de conocimientos de un candidato, sino también la prueba de la capacidad de un candidato para poner ese conocimiento en práctica en el mundo real. • Es una oorganización líder en capacitación en seguridad informática, el Instituto SANS es conocido por proveer capacitación intensiva en inmersión de diseñado para ayudar a tomar las medidas prácticas necesarias para la defensa de los sistemas y redes. Además de desarrollar, mantener y poner a disposición sin costo la mayor colección de documentos de investigación sobre diversos aspectos de la seguridad de la información • SANS cuenta con documentación certificada en temas como:

  17. Cliente Vulnerabilidades en:-Navegadores Web -Software de oficina -Clientes de correo electrónico • Servidor Vulnerabilidades en: -Aplicaciones Web - Servicios de Windows -Unix y Mac OS Servicios -Software de copia de seguridad -Anti-virus software - Servidores de administración - Base de datos de software • Seguridad común y de personal: -Excesiva de derechos de usuario y dispositivos no autorizados - Phishing / Spear phishing • Abuso de la aplicación: -Mensajería instantánea -Programas Peer-to-Peer • Los dispositivos de red:-Servidores de VoIP y Telefonía http://www.sans.org

  18. COMMON CRITERIA • En estos primeros años 90, es cuando la Organización Internacional para la Estandarización (ISO) también comienza su interés y trabajo en esta materia, que le llevará a dar como fruto, en 1999, lo que hoy conocemos como ISO-IEC 15408 o certificación Common Criteria (CC). • Define los criterios para evaluar la seguridad de los productos o sistemas de las TI. Este certificado establece el nivel más completo y riguroso de seguridad a nivel mundial. • El propósito de esta norma es permitir la especificación de los requisitos de seguridad a todos los niveles: usuarios, desarrolladores y evaluadores, siendo éstos últimos los que verifican si los requisitos que un usuario o desarrollador proclama se cumplen de un modo efectivo para un producto determinado • Es importante notar CC utiliza una graduación de requisitos llamada Evaluation Assurance Levels, normalmente conocidas como EALs, las cuales están numeradas del 1 al 7, siendo creciente el número de controles y requisitos a cumplir.

  19. 1: funcionalmente Probado • 2: Probado estructuralmente • 3: metódicamente Probado y comprobado • 4: metódicamente diseñado, probado y revisado • 5: Semi formalmente diseñado y probado • 6: Semi formalmente Verificado Diseño y Prueba • 7: Formalmente Verificado Diseño y Prueba • Beneficios y ventajas de la CC Entre los beneficios y ventajas de conseguir una certificación Common Criteria está, en primer lugar, el prestigio internacional en materia de seguridad que este sello posee. Por otra parte, el CCN destaca que el propio proceso de evaluación conlleva, por un lado, la mejora de las características de seguridad del producto y, en ocasiones, incluso la mejora de los procesos de desarrollo del fabricante. http://www.commoncriteriaportal.org/index.html

  20. MAGERIT-Methodology for Information Systems Risk Analysis and Management • Es una metodología de análisis y gestión de riesgos de los Sistemas de Información • Elaborada por el Consejo Superior de Administración Electrónica para minimizar los riesgos de la implantación y uso de las Tecnologías de la Información. • Actualmente está en su versión 2. • MAGERIT ofrece una aplicación, PILAR para el análisis y gestión de riesgos de un Sistema de Información.

  21. Evaluación del riesgo. • Conocer el riesgo al que están sometidos los elementos de trabajo es imprescindible para poder gestionarlos. • Por ello han aparecido multitud de guías informales, aproximaciones metódicas y herramientas de soporte todas las cuales buscan objetivar el análisis para saber cuán seguros (o inseguros) están y no llamarse a engaño. • Es por ello que Magerit persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.

  22. Guías: • Aproximación • Procedimientos • Técnicas • Responsables del dominio protegible • Desarrolladores de aplicaciones • Arquitectura de la información y especificaciones de la interfaz de intercambio de datos. • Referencias de Normas Legales y Técnicas( 31 de diciembre de 1996)

  23. ISM3 • Es un estandar de ISECOM para la gestión de la seguridad de la información. Está pensado para una mejorar la integración con otras metodologías y normas como COBIT, ITIL o CMMI. Ofrece muchas ventajas para la creación de sistemas de gestión de la seguridad • ISM3 ve como objetivo la seguridad de la información, el garantizar la consecución de objetivos de negocio.de la información. • ISM3 relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de una organización con los objetivos de seguridad (como dar acceso a las bases de datos sólo a los usuarios autorizados). • Algunas características significativas de ISM3 son: • Métricas de Seguridad de la Información • Niveles de Madurez • Basado en Procesos • Adopción de las Mejores Prácticas • Certificación • Accesible

  24. octave • Evalúa amenazas y vulnerabilidades de los recursos tecnológicos y operacionales importantes de una organización • Usa múltiples niveles de la organización, principalmente se enfocan en:  Identifica asuntos y labores críticas así como las amenazas a esos asuntos.  Identificar vulnerabilidades organizacionales y tecnológicas, que exponen amenazas creando riesgo a la organización.  Desarrollar una estrategia de protección basada en la práctica así como planes de migración de riesgos para mantener la misión y prioridades de la organización.

  25. Niveles Proceso 1 Identificación de la información a nivel gerencial Proceso 2 Identificación de la información a nivel operacional. Proceso 3 Identificación de la información a nivel de usuario final Proceso 4 Consolidación y creación de perfiles de amenaza Proceso 5 Identificación de componentes clave Proceso 6 Evaluación de componentes seleccionados Proceso 7 Análisis de riesgos y recursos críticos Proceso 8 Desarrollo de estrategias de protección

  26. Agencia Europea de Seguridad de Redes y de Información (ENISA) • ENISA permite mejorar la capacidad de los Estados miembros, de las Instituciones de la UE y de la comunidad empresarial de hacer frente a los problemas de seguridad de las redes y de la información • La misión de ENISA, es ayudar a la Comunidad a obtener unos niveles particularmente altos de seguridad de las redes y de la información.

  27. Para ello, las actividades de ENISA se centran en: • Asesorar y hacer frente a los problemas de seguridad del material y de los programas informáticos (hardware y software) en contacto con el sector empresarial. • Recoger y analizar datos sobre las incidencias que se producen en Europa en materia de seguridad. • Fomentar la evaluación y los métodos de gestión de los riesgos para mejorar la capacidad de hacer frente a cualquier amenaza a la seguridad de la información. • Respaldar el establecimiento de normas para productos y servicios relacionados con la sociedad de la información http://www.enisa.europa.eu/

  28. Guía del usuario: elaborar programas de sensibilización sobre la seguridad de la información • Ilustra los principales procesos para planificar, organizar y poner en práctica iniciativas destinadas a sensibilizar al público sobre la seguridad de la información: planificación y valoración, ejecución y gestión, evaluación y modificación. • En ella, se analiza cada uno de estos procesos y se identifican cronológicamente las actuaciones y dependencias.

More Related