570 likes | 728 Vues
Escuela Superior Politécnica del Litoral. Gestión De Seguridad Informática Para El Control De Acceso A Redes En Cc. ISO/IEC 27002. Gestión De Seguridad Informática Para El Control De Acceso A Redes. ISO/IEC 27002. Autores: Mariela Zambrano R. Dario Palacios F.
E N D
Escuela Superior Politécnica del Litoral Gestión De Seguridad Informática Para El Control De Acceso A Redes En Cc ISO/IEC 27002
Gestión De Seguridad InformáticaPara El Control De Acceso A Redes ISO/IEC 27002 • Autores: • Mariela Zambrano R. • Dario Palacios F. Presentación de Seminario Graduación
ISO/IEC 27002 Gestión De Seguridad InformáticaPara El Control De Acceso A Redes INTRODUCCIÓN Seguridad de la Información Presentación de Seminario Graduación
Gestión De Seguridad InformáticaPara El Control De Acceso A Redes ISO/IEC 27002 La seguridad de la Información La seguridad de la información es la preservación de los principios básicos de la confidencialidad, integridad y disponibilidad de la misma y de los sistemas implicados en su tratamiento. Estos tres pilares se definen como: Presentación de Seminario Graduación
ISO/IEC 27002 Gestión De Seguridad InformáticaPara El Control De Acceso A Redes CAPITULO 1 DEFINICIÓN DE CONCEPTOS Presentación de Seminario Graduación
Gestión De Seguridad InformáticaPara El Control De Acceso A Redes ISO/IEC 27002 Etapas de un SGSI Presentación de Seminario Graduación
Gestión De Seguridad InformáticaPara El Control De Acceso A Redes ISO/IEC 27002 Beneficios de implementar un SGSI Presentación de Seminario Graduación
ISO/IEC 27002 Gestión De Seguridad InformáticaPara El Control De Acceso A Redes CAPITULO 2 LA EMPRESA Presentación de Seminario Graduación
Gestión De Seguridad InformáticaPara El Control De Acceso A Redes ISO/IEC 27002 Antecedentes - Organigrama Presentación de Seminario Graduación
Gestión De Seguridad InformáticaPara El Control De Acceso A Redes ISO/IEC 27002 Antecedentes Desarrolladora de software Consultoría de negocios Orientada a satisfacer las necesidades y aspiraciones de los clientes. Kennedy Norte, Av. Miguel H. Alcivar y Eleodoro Arboleda, Edificio Plaza Center Piso 8, Of. 803 Teléf.: 2-280217 ext. 124 Guayaquil – Ecuador Presentación de Seminario Graduación
Gestión De Seguridad InformáticaPara El Control De Acceso A Redes ISO/IEC 27002 Justificación - Antecedentes Presentación de Seminario Graduación
ISO/IEC 27002 Gestión De Seguridad InformáticaPara El Control De Acceso A Redes CAPITULO 3 ETAPA DE PLANEACIÓN Presentación de Seminario Graduación
Gestión De Seguridad InformáticaPara El Control De Acceso A Redes ISO/IEC 27002 Controles según la Norma Iso 20072 • 11. CONTROL DE ACCESO. • 11.1 Requisitos de negocio para el control de acceso. • 11.1.1 Política de control de acceso. • 11.2 Gestión de acceso de usuario. • 11.2.1 Registro de usuario. • 11.2.2 Gestión de privilegios. • 11.2.3 Gestión de contraseñas de usuario. • 11.2.4 Revisión de los derechos de acceso de usuario. • 11.3 Responsabilidades de usuario. • 11.3.1 Uso de contraseñas. • 11.3.2 Equipo de usuario desatendido. • 11.3.3 Política de puesto de trabajo despejado y pantalla limpia. • 11.4 Control de acceso a la red. • 11.4.1 Política de uso de los servicios en red. • 11.4.2 Autenticación de usuario para conexiones externas. • 11.4.3 Identificación de los equipos en las redes. • 11.4.4 Protección de los puertos de diagnóstico y configuración remotos. • 11.4.5 Segregación de las redes. • 11.4.6 Control de la conexión a la red. • 11.4.7 Control de encaminamiento (routing) de red. • 11.5 Control de acceso al sistema operativo. • 11.5.1 Procedimientos seguros de inicio de sesión. • 11.5.2 Identificación y autenticación de usuario. • 11.5.3 Sistema de gestión de contraseñas. • 11.5.4 Uso de los recursos del sistema. • 11.5.5 Desconexión automática de sesión. • 11.5.6 Limitación del tiempo de conexión. • 11.6 Control de acceso a las aplicaciones y a la información. • 11.6.1 Restricción del acceso a la información. • 11.7 Ordenadores portátiles y teletrabajo. • 11.7.1 Ordenadores portátiles y comunicaciones móviles. • 11.7.2 Teletrabajo. Presentación de Seminario Graduación
Gestión De Seguridad InformáticaPara El Control De Acceso A Redes ISO/IEC 27002 Controles según la Norma Iso 20072 Presentación de Seminario Graduación
Política de uso de los serviciosde red Consiste en Controlar: Los usuarios sólo deben tener acceso a los servicios para los cuales han sido específicamente autorizados a usar. Presentación de Seminario Graduación
Autenticación del usuario para conexiones externas. Consiste en controlar: Se debe utilizar métodos de autenticación para controlar el acceso de usuarios remotos Las conexiones externas son una fuente potencial de accesos no autorizados a la información. Por tanto, el acceso por usuarios remotos debería ser objeto de su autenticación. Presentación de Seminario Graduación
Identificación de equipos en las redes Consiste en Controlar: Se debe considerar la identificación automática del equipo como un medio para autenticar las conexiones desde equipos y ubicaciones específicas. Recomendación a Implementar: La identificación del equipo se puede utilizar si es importante que la comunicación sólo sea iniciada desde una ubicación o equipo específico. Presentación de Seminario Graduación
Protección de puerto de Diagnóstico remoto • Consiste en: • Se debe controlar el acceso físico y lógico a los puertos de diagnóstico y configuración • Recomendación a Implementar: • Para dicho procedimientos se debe asegurar que el diagnostico y configuración de puertos sean solo accesibles por arreglo entre el director del servicio de computo y elpersonal de mantenimiento de hardware/software que requiere acceso. Presentación de Seminario Graduación
Segregación en las redes Consiste en Controlar: Los servicios de información, usuarios y sistemas de información se deben segregar en las redes. Recomendación a Implementar: Un método para controlar la seguridad de grandes redes es dividirlas en dominios de red lógicos separados; Presentación de Seminario Graduación
Control de conexiones de redes Consiste en Controlar: Se debe restringir la capacidad de conexión de los usuarios en las redes compartidas, especialmente aquellas que se extienden a través de los límites organizaciones; se debiera restringir la capacidad de los usuarios para conectarse a la red, en línea con la política de control de acceso y los requerimientos de las aplicaciones comerciales Recomendación a Implementar: Los derechos de acceso a la red de los usuarios se debieran mantener y actualizar conforme lo requiera la política de control de acceso Presentación de Seminario Graduación
Control de encaminamiento de red Consiste en Controlar: Se debieran implementar controles de routing en las redes para asegurar que las conexiones de la computadora y los flujos de información no violen la política de control de acceso de las aplicaciones comerciales.. • Recomendación a Implementar: • Asignación de direcciones únicas a todas las máquinas de la red, • independientes de la tecnología de los niveles de enlace. • Y Control de congestión Presentación de Seminario Graduación
ISO/IEC 27002 Gestión De Seguridad InformáticaPara El Control De Acceso A Redes CAPITULO 4 DEFINICIÓN DE POLITICAS Presentación de Seminario Graduación
Gestión De Seguridad InformáticaPara El Control De Acceso A Redes Políticas de seguridad • Busca garantizar el cumplimiento de los acuerdos de nivel de servicio en relación a la seguridad de la información establecidos con terceros. Las políticas a aplicar son las siguientes: • Uso aceptable de los activos • Uso contra software malicioso • Control de accesos • Uso de correo electrónico • Puestos de trabajo despejados • Uso de contraseñas de usuario • Uso de equipos portátiles Presentación de Seminario Graduación
ISO/IEC 27002 Gestión De Seguridad InformáticaPara El Control De Acceso A Redes CAPITULO 5 EVALUACIÓN DE RIESGO. Presentación de Seminario Graduación
Gestión De Seguridad InformáticaPara El Control De Acceso A Redes Presentación de Seminario Graduación
Gestión De Seguridad InformáticaPara El Control De Acceso A Redes Valorización De Los Activos Presentación de Seminario Graduación
Gestión De Seguridad InformáticaPara El Control De Acceso A Redes Valorización De Los Activos CONFIDENCIALIDAD + INTEGRIDAD + DISPONIBILIDAD) / Nº DE CRITERIOS Presentación de Seminario Graduación
Gestión De Seguridad InformáticaPara El Control De Acceso A Redes ISO/IEC 27002 Valorización del activo Presentación de Seminario Graduación
Gestión De Seguridad InformáticaPara El Control De Acceso A Redes ISO/IEC 27002 Gestión de Riesgo Presentación de Seminario Graduación
Físico Gestión De Seguridad InformáticaPara El Control De Acceso A Redes Gestión de Riesgo Niveles de seguridad Identificar Amenazas y Vulnerabilidades Físicas Red Host Aplicaciones Datos Debe considerar estas amenazas en cualquier evaluación de riesgos Presentación de Seminario Graduación
Datos Gestión De Seguridad InformáticaPara El Control De Acceso A Redes Gestión de Riesgo Niveles de seguridad Identificar Amenazas y Vulnerabilidades a la Red Físico Red Host Aplicaciones Acceso no autorizado a los recursos de intranet Visión no autorizada y modificación de los datos Uso no autorizado del ancho de banda Negación de servicio en el ancho de banda de la red Presentación de Seminario Graduación
Datos Gestión De Seguridad InformáticaPara El Control De Acceso A Redes Gestión de Riesgo Niveles de seguridad Identificar Amenazas y Vulnerabilidades a los Hosts Físico Red Host Aplicaciones • Acceso no autorizado a los recursos del host/servidor • Actualizaciónes de seguridad faltantes • Configuración errónea del host • Escalación de privilegios o imitación de la identidad • Contraseña perdida o robada • Creación no autorizada de cuentas Presentación de Seminario Graduación
Datos Gestión De Seguridad InformáticaPara El Control De Acceso A Redes Gestión de Riesgo Niveles de seguridad Identificar Amenazas y Vulnerabilidades a las Aplicaciones Físico Red Host Aplicaciones • Escalación de privilegios • Validación de entrada • Validación de parámetro • Administración de sesión • Acceso no autorizado a una aplicación • Faltan actualizaciones de seguridad • Configuración errónea Presentación de Seminario Graduación
Físico Gestión De Seguridad InformáticaPara El Control De Acceso A Redes Gestión de Riesgo Niveles de seguridad Identificar Amenazas y Vulnerabilidades a los Datos Red Host Aplicaciones Datos Visión no autorizada de los datos Modificación no autorizada de los datos Uso no autorizado de los datos Destrucción de los datos Presentación de Seminario Graduación
Gestión De Seguridad InformáticaPara El Control De Acceso A Redes Tipos de amenazas Presentación de Seminario Graduación
Gestión De Seguridad InformáticaPara El Control De Acceso A Redes Principales de amenazas Spamming Captura de PC desde el exterior Violación de contraseñas Incumplimiento de Políticas Robo de información Virus Hurto de equipos Mails anónimos con agresiones Programas “bomba, troyanos” Interrupción de los servicios Acceso clandestino a redes Robo o extravío de notebooks, palms Agujeros de seguridad de redes conectadas Acceso indebido a documentos impresos Indisponibilidad de información clave Intercepción de comunicaciones voz y wireless Falsificación de información para terceros Presentación de Seminario Graduación
Gestión De Seguridad InformáticaPara El Control De Acceso A Redes Principales de Vulnerabilidades Ataque Interno Internet Ataque Acceso Remoto Ataque Externo Presentación de Seminario Graduación
Gestión De Seguridad InformáticaPara El Control De Acceso A Redes Todos los riesgos que se presentan podemos: Asumir Transferir Reducir Eliminar Presentación de Seminario Graduación
Gestión De Seguridad InformáticaPara El Control De Acceso A Redes Presentación de Seminario Graduación
Gestión De Seguridad InformáticaPara El Control De Acceso A Redes Presentación de Seminario Graduación
Gestión De Seguridad InformáticaPara El Control De Acceso A Redes Riegos Presentación de Seminario Graduación
Gestión De Seguridad InformáticaPara El Control De Acceso A Redes Riegos Presentación de Seminario Graduación
ISO/IEC 27002 Gestión De Seguridad InformáticaPara El Control De Acceso A Redes CAPITULO 6 Presentación de Seminario Graduación
Gestión De Seguridad InformáticaPara El Control De Acceso A Redes Implementación Del Plan De Tratamiento Del Riesgo Presentación de Seminario Graduación
Gestión De Seguridad InformáticaPara El Control De Acceso A Redes Presentación de Seminario Graduación
Gestión De Seguridad InformáticaPara El Control De Acceso A Redes Presentación de Seminario Graduación
Gestión De Seguridad InformáticaPara El Control De Acceso A Redes Presentación de Seminario Graduación
Gestión De Seguridad InformáticaPara El Control De Acceso A Redes Controles - Ataques Maliciosos a.- Establecer una política formal prohibiendo el uso de software no-autorizado. b.- Realizar revisiones regulares del software y contenido de data de los sistemas que sostienen los procesos comerciales críticos; se debiera investigar formalmente la presencia de cualquier activo no-aprobado o enmiendas no-autorizadas 4.2.1 No utilizar CD s, disquetes, memorias USB de fuera de las instalaciones en los equipos del sistema de información de la organización a menos que haya sido previamente verificado que están libres de virus u otros agentes dañinos 4.2.2 Los mensajes que se reciban de remitentes extraños o con contenido clasificable como no relacionable con la actividad empresarial deben ser eliminados en el acto, sin proceder a abrirlos PTR Presentación de Seminario Graduación
Gestión De Seguridad InformáticaPara El Control De Acceso A Redes Controles – Acceso a Internet 11.4.1.2 el usuario no esta autorizado a instalar o retirar cables o dispositivos de la red PTR Presentación de Seminario Graduación
Gestión De Seguridad InformáticaPara El Control De Acceso A Redes Controles – Correo Electrónico 4.4.2 Todos los emails procesados por los Sistemas de Información corporativos y redes son considerados propiedad de la organización 4.5.1 No usar el correo electrónico para enviar información confidencial/sensible, particularmente a través de internet, a menos que ésta sea primero cifrada por un sistema de cifrado aprobado por el Dpto. Informático. 4.5.2 Para crear, enviar, reenviar o almacenar emails con mensajes o adjuntos que podrían ser ilegales o considerados ofensivos, sexualmente explícitos, racistas, difamatorios, abusivos, obscenos, discriminatorios u otros ofensivos PTR Presentación de Seminario Graduación