Embed Size (px)
Citation preview
ESTÁNDARES Y BUENAS PRÁCTICAS DE SEGURIDAD INFORMÁTICA
Juan Sebastián Santacruz P.Andrés David Ríos L.Diego Fernando Figueroa V.
ESTÁNDARES Y BUENAS PRÁCTICAS DE SEGURIDAD INFORMÁTICA
ITIL Propone el establecimiento de estándares
que nos ayuden en el control, operación y administración de los recursos.
Plantea hacer una revisión y reestructuración de los procesos existentes en caso de que estos lo necesiten.
Otra de las cosas que propone es que para cada actividad que se realice se debe de hacer la documentación pertinente (con fechas de cambio y modificaciones), ya que esta puede ser de gran utilidad para otros miembros del área.
BIBLIOTECA ITIL La biblioteca de infraestructura de ITIL toma
este nombre por tener su origen en un conjunto de libros, cada uno dedicado a una práctica específica dentro de la gestión de TI.
El conjunto de mejores prácticas ITIL provee un conjunto completo de prácticas que abarca no sólo los procesos y requerimientos técnicos y operacionales, sino que se relaciona con la gestión estratégica, la gestión de operaciones y la gestión financiera de una organización moderna.
LOS OCHO LIBROS DE ITIL Y SUS TEMAS SON:
Gestión de Servicios de TI 1. Prestación de Servicios2. Soporte al Servicio
Otras guías operativas 3. Gestión de la infraestructura de TI4. Gestión de la seguridad5. Perspectiva de negocio6. Gestión de aplicaciones7. Gestión de activos de software
Para asistir en la implementación de prácticas ITIL, se publicó un libro adicional con guías de implementación
8. Planeando implementar la Gestión de Servicios
Adicional a los ocho libros originales, más recientemente se añadió una guía con recomendaciones para departamentos de TIC más pequeños:
9. Implementación de ITIL a pequeña escala
CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (COBIT) Es un estándar abierto desarrollado y
promovido por el Instituto de Gobernación de TI.
Apoyado en las necesidades gerenciales en cuanto a monitoreo de los niveles apropiados de seguridad de TI que se deben seguir en las organizaciones.
El Modelo de Madurez en el cual se basa COBIT, consiste en un método que evalúa el grado de control sobre los procesos de TI de una organización en una escala de 0 a 5, donde el menor (0) significa "No existe" y el mayor "Optimizado" (5).
LA ESCALA DE MADUREZ ES LA SIGUIENTE:
0 No existe: Los procesos gerenciales no son aplicados: No existen procesos reconocidos. La organización no ha reconocido que existe un problema que debe ser resuelto.
1 Inicial: Los procesos son AdHoc y desorganizados: Existe la evidencia de que la organización ha reconocido que existe un problema y la necesidad de resolverlo.
2 Repetitivo: Los procesos siguen un patrón regular: Los procesos se han desarrollado a un determinado nivel y procedimientos similares son seguidos por diferentes personas que realizan la misma tarea dentro de la empresa.
3 Definido: Los procesos están documentados y comunicados: Los procedimientos han sido estandarizados, documentados y comunicados por medio de entrenamiento. Sin embargo, está pendiente el cumplimiento de dichos procesos por cada individuo, con lo cual es poco probable que las desviaciones sean detectadas.
4 Gerenciado: Los procesos son monitoreados y medidos: Es posible la medición y monitorización conforme a los procedimientos y realizar acciones donde existan procesos que no parezcan estar funcionando con efectividad. Los procesos están bajo constantes mejoras y se proveen de buenas prácticas.
5 Optimizado: Basados en mejores prácticas y están automatizadas: Los procesos han sido refinados a nivel de mejores prácticas, basados en resultados de mejoras continuas y modelos de madurez respecto de otras organizaciones. Las TI son usadas para automatizar de manera integral el flujo de trabajo, suministrando herramientas para mejorar la efectividad y la calidad, haciendo que la organización se adapte de manera rápida a los cambios del entorno.
NIST-NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY
La guía del NIST está enfocada para su uso en agencias
Federales estadounidenses. Entornos gubernamentales Entornos privados.
Publicaciones draft, es decir, un borrador, y no una versión final.
Fundado en 1901, es una agencia federal no regulador que forma parte del Departamento de Comercio (Department of Commerce) de los EE.UU.
La misión del NIST consiste en
Elaborar y promover patrones de la medición. Elaborar estándares y la tecnología con el fin de
realzar la productividad.
Facilitar el comercio y mejorar la calidad de vida.
En el año fiscal 2008, los recursos totales de NIST son 931,5 millones de dólares.
Laboratorios del NIST (NIST Laboratories)
Programa de Calidad Nacional Baldrige (Baldrige National Quality Program)
La Asociación de Extensión Manufacturera (Manufacturing Extension Partnership - MEP)
Programa de la Tecnología e Innovación (TIP)
NIST LLEVA A CABO SU MISIÓN A TRAVÉS DE CUATRO PROGRAMAS COOPERATIVOS:
El NIST emplea aproximadamente 2900 científicos, ingenieros, técnicos, y
personal administrativo y de apoyo. 2600 colegas y usuarios de las instalaciones
de la academia, la industria y otros organismos gubernamentales.
1600 especialistas en la fabricación MEP (asociación de extensión de manufacturero)
http://www.nist.gov/
NIST DRAFT SP 800-123 Esta guía tiene como objetivo ayudar a las
organizaciones a instalar, configurar y mantener servidores seguros.
Proporciona recomendaciones sobre cómo securizar el sistema operativo y el software de un servidor, así como mantener la configuración segura a través de parches y actualizaciones, tests de seguridad, monitorización de logs y backup de ficheros de datos y de sistema operativo.
OSSTMM
Metodología Abierta de Comprobación de la Seguridad creada por la organización ISECOM, el Instituto para la Seguridad y las Metodologías Abiertas, es uno de los estándares profesionales más completos y comúnmente utilizados en Auditorías de Seguridad para revisar la Seguridad de los Sistemas desde Internet. Incluye un marco de trabajo que describe las fases que habría de realizar para la ejecución de la auditoría.
El "Manual de la Metodología Abierta de Testeo de Seguridad" es un documento que refiere, de forma estandarizada y ordenada, las diversas verificaciones y pruebas que debe realizar un profesional de la seguridad informática durante el desarrollo de las auditorias y verificaciones de la seguridad.
OSSTMM se centra en los detalles técnicos en exactamente qué artículos deben someterse a prueba, qué hacer antes, durante y después de una prueba de seguridad, y cómo medir los resultados.
Sección A -Seguridad de la Información
Sección B - Seguridad de los Procesos
Sección C - Seguridad en las tecnologías de Internet
Sección D - Seguridad en las Comunicaciones
Sección E - Seguridad Inalámbrica
Sección F - Seguridad Física
http://www.isecom.org/
SANS
En 1999, se fundó SANS GIAC, el Global Information Assurance Certification, que ha permitido a más de 20.000 profesionales de seguridad demostrar sus habilidades y satisfacer las normas desafiantes. GIAC es único en el ámbito de las certificaciones de seguridad de la información no sólo la prueba de conocimientos de un candidato, sino también la prueba de la capacidad de un candidato para poner ese conocimiento en práctica en el mundo real.
Es una oorganización líder en capacitación en seguridad informática, el Instituto SANS es conocido por proveer capacitación intensiva en inmersión de diseñado para ayudar a tomar las medidas prácticas necesarias para la defensa de los sistemas y redes. Además de desarrollar, mantener y poner a disposición sin costo la mayor colección de documentos de investigación sobre diversos aspectos de la seguridad de la información
SANS cuenta con documentación certificada en temas como:
Cliente Vulnerabilidades en: -Navegadores Web -Software de oficina -Clientes de correo electrónico
Servidor Vulnerabilidades en: -Aplicaciones Web - Servicios de Windows -Unix y Mac OS Servicios -Software de copia de seguridad -Anti-virus software - Servidores de administración - Base de datos de software
Seguridad común y de personal:-Excesiva de derechos de usuario y dispositivos no autorizados - Phishing / Spear phishing
Abuso de la aplicación: -Mensajería instantánea -Programas Peer-to-Peer
Los dispositivos de red: -Servidores de VoIP y Telefonía http://www.sans.org
COMMON CRITERIA En estos primeros años 90, es cuando la Organización Internacional para
la Estandarización (ISO) también comienza su interés y trabajo en esta materia, que le llevará a dar como fruto, en 1999, lo que hoy conocemos como ISO-IEC 15408 o certificación Common Criteria (CC).
Define los criterios para evaluar la seguridad de los productos o sistemas de las TI. Este certificado establece el nivel más completo y riguroso de seguridad a nivel mundial.
El propósito de esta norma es permitir la especificación de los requisitos de seguridad a todos los niveles: usuarios, desarrolladores y evaluadores, siendo éstos últimos los que verifican si los requisitos que un usuario o desarrollador proclama se cumplen de un modo efectivo para un producto determinado
Es importante notar CC utiliza una graduación de requisitos llamada Evaluation Assurance Levels, normalmente conocidas como EALs, las cuales están numeradas del 1 al 7, siendo creciente el número de controles y requisitos a cumplir.
1: funcionalmente Probado 2: Probado estructuralmente 3: metódicamente Probado y comprobado 4: metódicamente diseñado, probado y revisado 5: Semi formalmente diseñado y probado 6: Semi formalmente Verificado Diseño y Prueba 7: Formalmente Verificado Diseño y Prueba
Beneficios y ventajas de la CC
Entre los beneficios y ventajas de conseguir una certificación Common Criteria está, en primer lugar, el prestigio internacional en materia de seguridad que este sello posee. Por otra parte, el CCN destaca que el propio proceso de evaluación conlleva, por un lado, la mejora de las características de seguridad del producto y, en ocasiones, incluso la mejora de los procesos de desarrollo del fabricante.
http://www.commoncriteriaportal.org/index.html
MAGERIT-METHODOLOGY FOR INFORMATION SYSTEMS RISK ANALYSIS AND MANAGEMENT Es una metodología de análisis y gestión de
riesgos de los Sistemas de Información
Elaborada por el Consejo Superior de Administración Electrónica para minimizar los riesgos de la implantación y uso de las Tecnologías de la Información.
Actualmente está en su versión 2.
MAGERIT ofrece una aplicación, PILAR para el análisis y gestión de riesgos de un Sistema de Información.
Evaluación del riesgo.
Conocer el riesgo al que están sometidos los elementos de trabajo es imprescindible para poder gestionarlos.
Por ello han aparecido multitud de guías informales, aproximaciones metódicas y herramientas de soporte todas las cuales buscan objetivar el análisis para saber cuán seguros (o inseguros) están y no llamarse a engaño.
Es por ello que Magerit persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.
Guías: Aproximación Procedimientos Técnicas Responsables del dominio protegible Desarrolladores de aplicaciones Arquitectura de la información y
especificaciones de la interfaz de intercambio de datos.
Referencias de Normas Legales y Técnicas( 31 de diciembre de 1996)
ISM3 Es un estandar de ISECOM para la gestión de la seguridad de la información. Está
pensado para una mejorar la integración con otras metodologías y normas como COBIT, ITIL o CMMI. Ofrece muchas ventajas para la creación de sistemas de gestión de la seguridad
ISM3 ve como objetivo la seguridad de la información, el garantizar la consecución de objetivos de negocio.de la información.
ISM3 relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de una organización con los objetivos de seguridad (como dar acceso a las bases de datos sólo a los usuarios autorizados).
Algunas características significativas de ISM3 son:
Métricas de Seguridad de la Información Niveles de Madurez Basado en Procesos Adopción de las Mejores Prácticas Certificación Accesible
OCTAVE Evalúa amenazas y vulnerabilidades de los recursos
tecnológicos y operacionales importantes de una organización
Usa múltiples niveles de la organización, principalmente se enfocan en:
Identifica asuntos y labores críticas así como las amenazas a esos asuntos. Identificar vulnerabilidades organizacionales y tecnológicas, que exponen amenazas creando riesgo a la organización. Desarrollar una estrategia de protección basada en la práctica así como planes de migración de riesgos para mantener la misión y prioridades de la organización.
NIVELES
Proceso 1Identificación
de la información a nivel gerencial
Proceso 2Identificación de la información a
nivel operacional.
Proceso 3Identificación de la información a nivel de usuario
final
Proceso 4Consolidación y creación de
perfiles de amenaza
Proceso 5Identificación
de componentes
clave
Proceso 6Evaluación de componentes seleccionados
Proceso 7Análisis de riesgos y recursos críticos
Proceso 8Desarrollo de estrategias de
protección
AGENCIA EUROPEA DE SEGURIDAD DE REDES Y DE INFORMACIÓN (ENISA) ENISA permite mejorar la capacidad de los
Estados miembros, de las Instituciones de la UE y de la comunidad empresarial de hacer frente a los problemas de seguridad de las redes y de la información
La misión de ENISA, es ayudar a la Comunidad a obtener unos niveles particularmente altos de seguridad de las redes y de la información.
Para ello, las actividades de ENISA se centran en: Asesorar y hacer frente a los problemas de
seguridad del material y de los programas informáticos (hardware y software) en contacto con el sector empresarial.
Recoger y analizar datos sobre las incidencias que se producen en Europa en materia de seguridad.
Fomentar la evaluación y los métodos de gestión de los riesgos para mejorar la capacidad de hacer frente a cualquier amenaza a la seguridad de la información.
Respaldar el establecimiento de normas para productos y servicios relacionados con la sociedad de la información
http://www.enisa.europa.eu/
GUÍA DEL USUARIO: ELABORAR PROGRAMAS DE SENSIBILIZACIÓN SOBRE LA SEGURIDAD DE LA INFORMACIÓN Ilustra los principales procesos para
planificar, organizar y poner en práctica iniciativas destinadas a sensibilizar al público sobre la seguridad de la información: planificación y valoración, ejecución y gestión, evaluación y modificación.
En ella, se analiza cada uno de estos procesos y se identifican cronológicamente las actuaciones y dependencias.
