cissp

TECNOLOGÍAS DE CERTIFICACIONES INGENIERÍA SEGURIDAD INFORMÁTICA 5 - 6. CERTIFIED INFORMATION SYSTEMS SECURITY PROFESSIONAL CISSP

Ing. Nicanor Sachahuaman Martínez CISM, ITIL, I TIL, COBIT COBIT,, CBCP CBC P, MCSE

Temas a Tratar

1

1

• CISSP

2

• Requisitos

3

• Dominios

4

• Descripción de los 10 dominios

5

• Desarrollo de los dominios

6

• Preguntas Ejemplo

7

• Información Adicional

Temas a Tratar

1

1

• CISSP

2

• Requisitos

3

• Dominios

4

• Descripción de los 10 dominios

5

• Desarrollo de los dominios

6

• Preguntas Ejemplo

7

• Información Adicional

1. Certified Information Systems Security Professional ) es una Certifie fied d Inform ati ation on Systems Se Security curity Professio nal • CISSP (Certi certificación de alto nivel profesional otorgada por la (ISC)2 (ISC)2 (International (International Information Systems Security Certification Consortium, Inc), con el objetivo de ayudar a las empresas a reconocer a los profesionales con formación f ormación en el área de seguridad de la información. • Crecimiento Crecimiento:: ▫En 1997 – 700 CISSP. ▫En 2002 – 15.000 CISSP. ▫En 2006 – 29.000 CISSP. ▫En 2009 – 64.000 CISSP

2

2. Requisitos • Los aspirantes a obtener la certificación CISSP deben cumplir con los siguientes requerimientos: • Aprobar el examen para CISSP: Este examen consta de 250 preguntas de selección simple y 6 horas de

duración, en el cual se evalúa el manejo que tiene el candidato sobre cada uno de los 10 dominios de conocimiento que conforman el Common Body of Knowledge (CBK). CISSP CBK ▫El Common Body of Knowledge del CISSP, es la base de conocimiento utilizada para la

–

certificación. La misma se encuentra separada en áreas temáticas, denominadas dominios. • Demostrar experiencia mínima de 5 años en al menos dos de los 10 dominios del CBK. • Adherirse al Código de Ética de la ISC2. • En caso de ser seleccionado para tal fin, el aspirante debe someterse y pasar un proceso de auditoría. • Con el objetivo de mantener su estado de CISSP, aquellos profesionales certificados deben realizar cierta

cantidad de actividades cuya finalidad primordial es asegurar que el profesional se ha mantenido activo en el área de la seguridad. Cada una de estas actividades reciben cierta cantidad de créditos (CPE) de los cuales el profesional debe reunir 120 cada 3 años. Si el CISSP no reúne los 120 CPEs en el tiempo definido, debe entonces volver a tomar y aprobar el examen si desea mantener su certificación.

3

3. Dominios • Seguridad de la Información y Gestión de Riesgos

(Information Security and Risk Management) • Sistemas y Metodología de Control de Acceso (Access

Control Systems and Methodology) • Criptografía (Cryptography) • Seguridad Física (Physical Security) • Arquitectura y Diseño de Seguridad (Security

Architecture and Design) • Legislación, Regulaciones, Cumplimiento de las

mismas e Investigación (Legal, Regulations, Compliance, and Investigation) • Seguridad de red y Telecomunicaciones

(Telecommunications and Network Security) • Planes de continuidad del negocio y de Recuperación

Frente a Desastres (Business Continuity and Disaster Recovery Planning) • Seguridad de Aplicaciones (Applications Security) 4

3. Descripción de los 10 dominios • Dominio 1: Prácticas de Gestión de la Seguridad: Identificación de los activos de una organización y

desarrollo, documentación e implementación de políticas, estándares, procedimientos y guías: –

Conceptos y objetivos.

–

Gestión del riesgo.

–

Procedimientos y políticas.

–

Clasificación de la información.

–

Responsabilidades y roles en la seguridad de la información.

–

Concienciación en la seguridad de la información.

• Dominio 2: Arquitectura y Modelos de Seguridad: Conceptos, principios, estructuras y estándares

empleados para diseñar, monitorizar y asegurar sistemas, equipos, redes, aplicaciones y controles usados para reforzar los diversos niveles de la disponibilidad, integridad y confidencialidad: –

Conceptos de control y seguridad.

–

Modelos de seguridad.

–

Criterios de evaluación.

–

Seguridad en entornos cliente/servidor y host.

–

Seguridad y arquitectura de redes.

5

Arquitectura de la seguridad IP.

• Dominio 3: Sistemas y Metodología de Control de Acceso: Conjunto de mecanismos que

permiten crear una arquitectura segura para proteger los activ os de los sistemas de información: –

Conceptos y tópicos.

–

Identificación y autenticación.

–

Equipo de e-security.

–

Single sign-on.

– Acceso

centralizado / descentralizado / distribuido.

–

Metodologías de control.

–

Monitorización y tecnologías de control de acceso.

• Dominio 4: Seguridad en el Desarrollo de Aplicaciones y Sistemas: Define el entorno

donde se diseña y desarrolla el software y engloba la importancia crítica del software dentro de la seguridad de los sistemas de información: ─ Arquitecturas seguras. – Definiciones. ─ Control de cambios. ─ Medidas de seguridad y desarrollo – Amenazas y metas de seguridad. de aplicaciones. – Ciclo de vida. ─ Bases de datos y data warehousing. ─ Knowledge-based systems. 6

• Dominio 5: Seguridad de las Operaciones: Usado para identificar los controles sobre el

hardware, medios y los operadores y administrador con privilegios de acceso a algún tipo de recurso: –

Recursos, Privilegios.

–

Mecanismos de control.

– Abusos –

potenciales.

Controles apropiados, Principios.

• Dominio 6: Criptografía: Los principios, medios y métodos de protección de la información

para asegurar su integridad, confidencialidad y autenticidad: ─ Criptografía simétrica / asimétrica. ─ Firma digital. – Historia y definiciones. ─ Seguridad en el correo electrónico e – Aplicaciones y usos de la criptografía. Internet empleando encriptación. ─ Gestión de claves. – Protocolos y estándares. ─ Public key infrastructure (PKI). – Tecnologías básicas. ─ Ataques y criptoanálisis. ─ Cuestiones legales en la exportación – Sistemas de encriptación. de criptografía. 7

• Dominio 7: Seguridad Física: Técnicas de protección de instalaciones, incluyendo los

recursos de los sistemas de información: –

Gestión de las instalaciones.

–

Seguridad del personal.

–

Defensa en profundidad.

–

Controles físicos.

• Dominio 8: Seguridad en Internet, Redes y Telecomunicaciones: Incluye los

dispositivos de la red, los métodos de transmisión, formatos de transporte, medidas de seguridad y autenticación: –

Gestión de la seguridad en la comunicaciones.

–

Protocolos de red.

–

Identificación y autenticación.

–

Comunicación de datos.

–

Seguridad de Internet y Web.

–

Métodos de ataque. Seguridad en Multimedia.

8

• Dominio 9: Recuperación ante Desastres y Planificación de la Continuidad del Negocio:

Dirige la preservación del negocio en el caso de producirse situaciones de parada para la restauración de las operaciones: –

Conceptos de recuperación ante desastres y de negocio.

–

Procesos de planificación de la recuperación.

–

Gestión del software.

– Análisis

de Vulnerabilidades.

–

Desarrollo, mantenimiento y testing de planes.

–

Prevención de desastres.

• Dominio 10: Legislación, investigaciones y Ética: Engloba las leyes y regulaciones de los

crímenes informáticos, las técnicas y medidas de investigación, recuperación de evidencias y códigos éticos: –

Leyes y regulaciones.

–

Gestión de incidentes.

–

Gestión de la respuesta ante incidentes.

–

Conducción de investigaciones.

–

Ética en la seguridad de la información.

–

Código ético del (ISC)².

9

Código de Ética: • Proteger a la sociedad, al bien común y a la infraestructura tecnológica. • Actuar en forma honorable, justa, responsable y legal. • Brindar servicios competentes y atentos. • Fomentar y proteger la profesión.

5. Desarrollo de los dominios I.

Do m in io 1: Prác tic as d e Gest ión d e la Se gurid ad:

Alcance • Este dominio examina: –

la identificación y valoración de los activos de la compañía

–

el desarrollo, documentación e implementación de políticas, estándares, procedimientos y guías para asegurar la confidencialidad, integridad y disponibilidad.

• Muy asociado a los aspectos requeridos por las normas ISO/IEC 27001 e ISO/IEC 17799

Desarrollo A. Los principios básicos de la seguridad CIA B.

C.

Gobierno de seguridad –

Políticas, procedimientos, etc

–

Estructuras organizativas

–

Roles y Responsabilidades

Clasificación 10

de la Información

A. Los principios básicos de la seguridad CIA • Confidencialidad –

·

Law, Regulations, and Policies: FISMA, SOX, GBL, National Security Act, USA PATRIOT ACT, etc. OMB A-130, A-11, etc. E.O. 13292, 12968, etc. DoD 5200.1-R, etc. ·

Permitir que sólo los individuos autorizados accedan a

·

·

la información

Security Objectives: Confidentiality Integrity Availability

• Integridad

·

–

Permitir que sólo los individuos autorizados puedan

·

·

modificar la información Standards and Best Practices NIST FIPS, SP 800-x, etc. COBIT, ITIL, Common Criteria ISO/IEC 27001, 21827, etc. DoDI 8500.2, 8510.01

• Disponibilidad

·

– Asegurar

que la información y los recursos estén

·

·

disponibles cuando sea necesario

·

• Uso de la CIA

Security Implementation Principles: Confidentiality, Integrity, Availability Need-to-Know Least Privilege Separation of Duties

• Piense en términos de los principios de seguridad básicos

·

de información

·

·

• ¿Cómo afecta esta amenaza al CIA?

·

• ¿Qué controles se pueden utilizar para reducir el riesgo en

función de la CIA? • Si aumentamos la confidencialidad, vamos a disminuir la 11

disponibilidad?

·

Benchmarks and Guidelines: NIST National Checklist, DISA STIGs, CIS Benchmarks, etc.

B. Gobierno de seguridad • Gobierno de seguridad son los procesos de organización y relaciones para la gestión del riesgo

•

–

Las políticas, procedimientos, normas, directrices, puntos de referencia

–

Estructuras organizativas

–

Roles y Responsabilidades

Mapa de la Política

Laws, Regulations, Requirements, Organizational Goals, Objectives

General Organizational Policies

Functional Policies

12

Procedures

Standards

Guidelines

Baselines

• Políticas –

Las políticas son declaraciones de intenciones y objetivos de gestión

– Apoyo

a la Alta Dirección y la aprobación es vital para el éxito

–

Generales, objetivos de alto nivel

–

El uso aceptable, acceso a Internet, el registro de seguridad de la información, etc

• Procedimientos –

Los procedimientos son los pasos detallados para realizar una tarea específica

–

Por lo general, requiere la política

–

Clausura, gestión de recursos de la adición de cuentas de usuario, eliminar cuentas de usuario, cambio, etc

• Normas –

Normas especifican el uso de tecnologías específicas de una manera uniforme

–

Se requiere uniformidad en toda la organización

–

Los sistemas operativos, aplicaciones, herramientas de servidor, configuraciones de router, etc.

• Directrices –

Directrices son los métodos recomendados para llevar a cabo una tarea

–

Recomendado, pero no es obligatorio

13

Limpieza de malware, eliminación de spyware, conversión de datos, desinfección, etc

• Las líneas de base –

Las líneas de base son similares a las normas, sino en cuenta las diferencias en las tecnologías y versiones de diferentes proveedores

–

Funcionamiento del sistema de líneas de base de seguridad • FreeBSD 6.2, Mac OS X Panther, Solaris 10, Red Hat Enterprise Linux 5,

Windows 2000, Windows XP, Windows Vista, etc • Estructura Organizacional –

Organización y responsabilidades del oficial de seguridad varían • BoD, CEO, BoD Comité • CFO, CIO, CSO, CISO • Director, Gerente

–

IT / SI de Seguridad

– Auditoría

14

• Roles y Responsabilidades • Mejores prácticas:

Privilegio mínimo – Vacaciones obligatorias – Tarea de rotación – Separación de tareas –

• Propietarios –

Determinar los requisitos de seguridad

• Custodios – Administración

de la seguridad basada en los requisitos

• Usuarios – Acceder

15

a lo permitido por los requisitos de seguridad

C. Clasificación de la Información • No toda la información tiene el mismo valor • Necesidad de evaluar el valor sobre la base de la CIA • Valor determina el nivel de protección • Los niveles de protección determinará los procedimientos • Clasificaciones del Gobierno: –

Ultrasecreto

–

Secreto

–

Confidencial

–

Sensible pero sin clasificar

–

Sin clasificar

• Clasificaciones del sector privado: –

Confidencial

–

Privado

–

Sensible

–

Público

16

D. Gestión de Riesgos • Gestión de riesgos es identificar, evaluar y mitigar los

riesgos de una organización –

Es un proceso cíclico y continuo

–

¿Necesita saber lo que tiene

–

¿Necesita saber qué amenazas son probablemente

–

–

¿Necesita saber cómo y qué tan bien está protegido ¿Necesita saber dónde están las brechas

• Identificación

Threat Agent

Threat

Exploits

Vulnerability s t c e f f a y l t c e r i

d n I

• Bienes

Give rise to

Risk Reduces/ Eliminates

Asset Can damage

• Amenazas – Amenazas

fuentes: artificial, natural

• Vulnerabilidades –

Leads to

Debilidad

• Controles –17 Salvaguardar

Exposure And causes an

Counter measure

Can be countered by a

• Análisis / Evaluación • Cuantitativo

Objetivo valores numéricos – Análisis coste-beneficio – Baja Suposiciones • Cualitativo – Subjetivos valores intangibles – Tiempo involucrados bajo – Altas suposiciones –

• Remedio / Mitigación • Reducir

Use los controles para limitar o reducir las amenazas • Quitar – Deje de usar • Transferir – Obtener un seguro o subcontratar • Aceptar 18 Espera lo mejor –

Modelo de Seguridad de Información – Defensa en profundidad Successful Organization Functions

Information Assurance “Defense-In-Depth” Strategy

People Operations Technology

People Executing Operations Supported by Technology

Information Assurance Technical Framework (IATF) Overlapping Approaches & Layers of Protection Defending the Network & Infrastructure

Defending the Enclave Boundary

Defending the Computing Environment

Supporting the Infrastructure

Referencias: • NSA IA Solution Directions, Information Assurance Technical Framework , Release 3.1 • ISO/IEC 27002:2005, Code of Practice for Information Security Management - 19 -

II. Dom inio 2: A rqu itectu ra y Mod elos de Seguridad: • Alcance

Este dominio examina los conceptos, principios, y estándares para el diseño, implementación, monitoreo y protección de aplicaciones y sistemas operativos. – Esto cubre estándares internacionales de evaluación y su significado para distintos tipos de plataformas. –

•

Algunos de los temas cubiertos son: Organización de redes y computadores, arquitecturas y diseños. – Modelos de seguridad, arquitecturas y criterios de evaluación –

– 20

•

TCSEC

•

Common Criteria

Fallas más comunes y aspectos de seguridad en las arquitecturas de sistemas y diseños.

• Arquitectura Distribuida • La migración de arquitectura independiente para convertirlo en un ciclo completo

( Modelo PDCA) • Amenazas: – La información confidencial puede encontrarse en los escritorios – Los usuarios pueden carecer de conciencia se seguridad de información – Desktops tal vez utilizados para lanzar ataques – Descarga de datos aumenta el riesgo de infección • Contramedidas: – Cifrado de archivos – Controles de acceso – Seguridad física – Clasificación de Activos – Buena copia de seguridad y prácticas de recuperación – Conciencia de Seguridad – El control de tráfico IP – Registro de transacciones 21

Modelos de Seguridad de la Información • Modelo de seguridad especifica tanto en una PC o un sistema de

información deberá cumplir con las políticas de seguridad. • Hay muchos modelos de seguridad:

Modelo Graham-Denning –sistema formal de las normas de protección. – Modelo State-Machine – modelo matemático abstracto, que representa la variable del estado del sistema. Las funciones de transición definidos en el sistema se mueve entre cada uno de los estados – Modelo Information-Flow – demuestra los flujos de datos, canales de comunicaciones, y los controles de seguridad – Modelo Non-Interference – un subconjunto del modelo de flujo de información, que impide que los sujetos que operan en un dominio pueden afectar a los demás ante la violación de la política de seguridad. –

- 22 -

Modelo de Seguridad Graham-Denning

Graham-Denning es un modelo de acceso a la información opera sobre un conjunto de sujetos, los objetos, los derechos y una matriz de acceso. • Niveles de protección

1.

No compartir en absoluto

2.

Compartiendo copias de los programas /

• Operaciones

archivos de datos 3.

Compartir originales de los programas / archivos de datos

4.

Cómo compartir sistemas de programación / subsistemas

5.

Subsistemas Permitir la cooperación de los subsistemas mutuamente sospechosas, por

–

Cómo crear una forma segura objeto / sujeto.

–

Cómo eliminar de forma segura un objeto / sujeto.

–

de acceso de lectura. –

Proporcionar menos memoria subsistemas

7.- 23 - Proporcionar "certificados" subsistemas

Cómo proporcionar de forma segura el derecho de acceso subvención.

–

Cómo proporcionar de forma segura el derecho de acceso borrado.

ejemplo, depuración / propietario 6.

Cómo proporcionar de forma segura el derecho

–

Cómo proporcionar de forma segura el derecho de acceso

Modelo Graham-Denning Security Matriz de Control de Acceso: especifica los modos de acceso • Sujeto-Objeto • Una fila por cada sujeto • Una columna por objeto

s t c e j b u S

S1 S2 S3 S4 S5

Objects S1 S2 S3 S4 S5 O1 ----Cntrl rwx ------Cntrl ------Cntrl r-x --------Cntrl --------Cntrl

O2 rw----r-x r-x

O3 ----x -------

O4 -----------

O5 ------r-x ---

Modelo Bell-LaPadula Security Bell-LaPadula confidencialidad de políticas: • Propiedad de seguridad simple – El sujeto no puede leer el objeto de una mayor sensibilidad.

• Estrella propiedad (property *) – El sujeto no puede escribir en objeto de una menor sensibilidad.

• Propiedad Estrella Strong (Fuerte propiedad *) – El sujeto no puede leer / escribir en objeto de sensibilidad superior / inferior Read t e r c e S p o T t e r c e S l a i t n e d i f n o C

Write

Object: A

Subject: Alfred (Secret)

Object: B

Object: C

Simple Security Property

t e r c e S p o T t e r c e S

Read/Write

Object: A


l a i t n e d i f n o C

Object: B

Object: C

* Star Property

t e r c e S p o T t e r c e S

Object: A


l a i t n e d i f n o C

Object: B

Object: C

Strong * Property

Arquitectura de la Implementación Framework Security Architecture – FEA • Federal Enterprise Architecture Framework (FEAF) se enfoca en

negocios

- 26 -

Reference Federal Enterprise Architecture Consolidated Reference Model, May 2005

Modelo Biba Security Política de seguridad Biba: • Condición integridad simple – El sujeto no puede leer los objetos de menor integridad.

• Integridad * Principales propiedades – El sujeto no puede escribir en objetos de mayor integridad.

• Invocación de la propiedad – El sujeto no puede enviar mensajes (petición lógico para el servicio) a objeto de

mayor integridad. Read h g i H

Object: A

e l d Subject: Alfred d i (Secret) M

w o L

Write

Object: B

Object: C

Simple Integrity Property

h g i H

e l d d i M

w o L

Object: A


Object: B

Object: C

* Star Integrity Property

Modelo de Seguridad Clark-Wilson Clark-Wilson Estemodelo de seguridad corrige las metas de integridad de: La prevención de sujetos no autorizados de modificar objetos La prevención de los sujetos autorizados de hacer modificación incorrecta de los objetos – Mantener la consistencia interna y externa – –

• Transacción bien-formada – –

Preservar / asegurar la coherencia interna El Suejto puede manipular objetos (es decir, datos), solamente de forma que garanticen la coherencia interna.

• Triple Acceso: Sujeto-Objeto-Program – –

Sujeto a programa y programa a objetos. Separación de funciones

Objects Subject

- 28 -

Program

Modelo de Seguridad Brewer-Nash (Muralla China) Brewer-Nash modelo de seguridad que se utiliza para implementar cambios dinámicos a permisos de accesos. • Una “Muralla" se define como un conjunto de reglas que no

garantiza la protección de un lado, pero se puede acceder a los objetos en el otro lado de la muralla. Client Alpha Corporate Assets

Client Beta Corporate Assets

Corporate Assets

Corporate Assets

Corporate Assets

Corporate Assets

Corporate Assets

Corporate Assets

Conflict of Interest Class Subject: Alfred

Reference: The Chinese Wall Security Policy , D.F.C. Brewer, M. Nash,

Modelo de flujo de Información El Modelo de flujo ilustra la dirección del flujo de datos entre objetos • Basado en los niveles de seguridad de objetos • Objeto-objeto flujo de información que está restringida de acuerdo con los atributos de seguridad de los objetos • El análisis se simplifica canal asegurado Note: Covert channel is moving of information to and from unauthorized transport

Object

A

A

N/A

B C D

B N/A

X

C

D

X

X

A

B

C

D

X N/A

X N/A

Modelo Non-interference El modelo de No Interferencia (también conocido como modelo de seguridad Goguen-Meseguer) se inspira en el modelo de flujo de información, sin embargo, se centra en: High

• ¿Cómo las acciones se sujetan a un nivel de sensibilidad más alto?

• Afectar el estado del sistema ? • Las acciones se sujetan en una menor sensibilidad?

Non-interference Policy

• Nivel. (es decir, la interferencia) • Los usuarios (sujetos) están en sus propios compartimentos para que

Low

la información no fluye o contamine otros compartimentos • Con la afirmación de la política de seguridad de no interferencia, el

modelo multi-level security (MLS), pasa a brindar: capacidad, compartimento, acceso discrecional, clave de acceso multi-user/multi, distribución automática y cadenas de autorización y degradación.

- 31 -

Reference: Security Policies and Security Models , J.A. Goguen, J. Meseguer, IEEE, 1982.

Arquitectura de Seguridad y Metodología de la Construcción • Arquitectura de seguridad es una visión integrada de la arquitectura del sistema desde una perspectiva de seguridad.

• Arquitectura de seguridad se describe

Security Operational Controls

w i e V l a n i t o r a e p O

Security Management Controls

cómo el sistema debe ser implementado para satisfacer los requisitos de seguridad.

S t a T n e c d h a n r d i s c a V l i e w

Systems View

Ver Operaciones = Un conjunto de empresas Misión / Negocios procesos operativos que influye en la selección de la Seguridad Operacional, controles de gestión y Técnicos – Ver Sistemas= El sistema en toda la empresa que influye en la selección de Gestión de la Seguridad, Controles técnicos, operativos – Ver Normas Técnicas = Las tecnologías implementadas que influyen en la selección de Seguridad técnica, Controles Operativos y de Gestión –

Security Technical Controls

Relación entre la arquitectura del sistema Empresarial y los controles de Seguridad References: • DoD Architecture Framework (DoD AF) V1.0 • FIPS 200, Minimum Security Controls for Federal Information Systems

Framework de Arquitectura de Seguridad – FEA • Federal Enterprise Architecture Framework (FEAF) se enfoca en

negocios

- 33 -

Referencia: Federal Enterprise Architecture Consolidated Reference Model, May 2005

Ingeniería de Seguridad de Sistemas - Modelo de Madurez de la Capacidad (SSE-CMM) • Describe las prácticas esenciales de seguridad recomendadas • Definición de mejores prácticas y mejorar la capacidad • Formula las mismas áreas que aborda el CISSP • Proporciona métricas para comparar la seguridad • La Ingeniería de Seguridad se basa en dos dimensiones Dominio y Capacidad –

Dominio • Todas las prácticas se denominan Prácticas Bases (PB) • Las prácticas relacionadas se agrupan en áreas de proceso (PA)

• Proporciona ingeniería de seguridad basado en 11 Practicas relacionadas (PA) –

Capacidad • Prácticas Genéricas (GP) • En relación con la gestión de procesos • Proporciona 11 Proyectos y Áreas Prácticas Organizacionales

34

Modelo de Madurez SSE-CMM En cuanto a los 5 niveles: • Nivel 1: Informalmente Se tiene que hacer actividades adicionales antes de manejar los procesos • Nivel 2: Planificado

Se entiende lo que está sucediendo en el proyecto antes de definir los procesos de toda la organización • Nivel 3: Bien definido

Utiliza lo mejor de lo aprendido en sus proyectos para crear procesos de toda la organización • Nivel 4: Cuantitativamente Controlado

No se puede medir hasta que no sepa qué es lo que se quiere medir • Nivel 5: Mejora continua

Base 35 de una buena gestión y generación de conciencia

III. Dominio 3: Sistemas y Metodología de Control de Acceso: • Alcance.

Este dominio examina los mecanismos y métodos utilizados para brindarle a los administradores y gerentes el control sobre: • lo que corresponda que los usuarios puedan o no acceder, • la posibilidad de extender sus capacidades luego de la adecuada autenticación y autorización, y la auditoria y monitoreo de estas actividades. • Algunos de los temas cubiertos son: – Responsabilidad. “Obligación de rendir Cuentas‟ – Técnicas de Control de Acceso. – Administración del Control de Acceso. – Modelos de Control de Acceso. – Técnicas de Autenticación e identificación. – Metodologías e implementaciones de control de acceso. – Custodia y propiedad de los datos. 36 –

Control de Acceso • Definición y Principios • Amenazas • Tipos de control de acceso –

Identificación, Autenticación, Autorización y responsabilidad

• Modelos de control de acceso

Modelos de Seguridad – Centralizada y Descentralizada / Distribuido –

• Gestión y Monitoreo

IPS e IDS – Evaluación de la Seguridad y Evaluación –

- 37 -

Control de Acceso • El acceso es el flujo de información entre un sujeto (por ejemplo,

usuario, programa, proceso o dispositivo, etc) y un objeto (por ejemplo, archivo, base de datos, programa, proceso o dispositivo, etc) • Los controles de acceso son un conjunto de mecanismos que funcionan en conjunto para proteger los activos de información de la empresa contra el acceso no autorizado. • Los controles de acceso permiten la gestión de: Especificar qué usuarios pueden acceder a los recursos contenidos en el sistema de información – Especifique qué recursos pueden acceder – Especifique qué operaciones se pueden realizar – Mantener la responsabilidad individual –

Reference: - 38 -

• CISSP All-in-One Exam Guide, 4th Ed., S. Harris, McGraw-Hill • Official (ISC)2 Guide To The CISSP CBK , H. Tipton and K. Henry, (ISC) 2 Press,

Auerbach Publications

Clasificación de la Información • Identifica y caracteriza los activos de información

críticos (es decir, la sensibilidad) • Explica el nivel de protección (nivel de protección) o cómo los activos de información deben ser manejados (sensibilidad y confidencialidad).

Comercial • • •

- 39 -

Pública. Privado / Sensible. Confidencial / propietaria

Gobierno Militar y Civil • • • • •

Sin clasificación. Sensible pero sin clasificar (SBU). Confidencial. Secreto. Ultra Secret.

Categorías de los Controles de Seguridad • Gestión (administración) de controles. • Las políticas, normas, procesos, procedimientos y directrices – Las entidades administrativas: a nivel ejecutivo, Manejo a nivel medio

• Controles Operacionales (y fisicos) . • Seguridad Operacional (Ejecución de Políticas, Normas y Procesos, Educación y

Conciencia)

– Proveedores de servicios: Programa de Seguridad, Personal de Seguridad, Control de

Documentos (o CM), recursos humanos, finanzas, etc

• Seguridad Física (Fondo para la Protección de Infraestructuras o)

Cerraduras, puertas, paredes, cercas, Cortina, etc • Proveedores de servicios: FSO, guardias, perros

• Controles Tecnicos (Logicos). • Controles de acceso, identificación y autorización, Confidencialidad, Integridad

disponibilidad, no repudio.

– Proveedores de servicios: Arquitectura empresarial, Ingeniero de Seguridad, CERT,

NOSC, Helpdesk

- 40 -

Tipo de controles de seguridad • Controles informativos. Política y estándar que informar a los

•

•

•

•

empleados sobre el comportamiento esperado para la protección de los activos de una organización la información de accesos no autorizados. Controles Preventivos. Medidas físicas, administrativas y técnicas destinadas a prevenir el acceso no autorizado a los activos de información de la organización. Controles Detectivos. Prácticas, procesos y herramientas que identifican y posiblemente reaccionar a un acceso no autorizado a los activos de información. Controles Correctivos. Contramedidas físicas, administrativas y técnicas diseñadas para reaccionar ante incidentes de seguridad (s) con el fin de reducir o eliminar la posibilidad de que el evento no deseado que se repita. Controels de Recuperacion. El acto de restablecer los controles de acceso para proteger los activos de información de la organización. - 41 -







- 42 -

Ejemplo de lista de amenaza relacionada con el Control de Acceso

• Amenazas físicas: • Amenazas Informática: – Acceso físico no autorizado – Amenaza de denegacion de • Dumpster diving (buscar en el servicio (DoS) • Ping de la muerte • Pitufeo • Inundacion SYN • DoS Distribuido (DDoS)

– Software no Autorizado • El código malicioso • código móvil

– Defectos de software • Desbordamiento de búfer • encubierto canal • trampa - 43 -

basurero) • Shoulder surfing (seguimiento a una

persona) • Eavesdropping (escuha no

autorizado)

– Emanaciones electrónicas

• Personal / amenazas de

ingeniería social

– Disgustar / empleados

descuidados • La minería de datos selectiva / "navegación“ • Espionaje







- 44 -

Ejemplos y Tipos de control – Administrativa

(o controles de la Directiva) • Los reglamentos, las políticas, normas, directrices, procesos y procedimientos

– Controles físicos y Técnica

• • • • •

Preventivos Los controles que eviten incidentes Disuasivo - Los controles que desalientan incidente Detectivo - Los controles que identifican incidente Correctivo - Controla el incidente remedio Recuperación - Los controles que restaura la base del incidente

Autenticación, Autorización y Responsabilidad (AAA) • El control de acceso no está completo sin acoplado con la

auditoría de cuentas. Monitor de referencia proporciona el mecanismo para el control de acceso. (es decir, AAA) Reference Monitor: - Identification - Authentication - Authorization - Accountability

Object 1 Object 2

Security Kernel Subject

Object 3

Auditing of Transactions: - 46 -

- What, who, how and when







- 47 -

Método de control de acceso centralizado AAA (Authentication, Authorization, Accounting) protocolos. • RADIUS (Remote Access Dial-In User Service)  Use UDP / IP protocolos basados en fotogramas: SLIP (Serial Line Internet Protocol) y PPP (Point-to-Point Protocol).  En una configuración de cliente / servidor. • TACACS (Terminal Access Controller Access Control System)

Proprietary (Cisco Systems), TACACS + un proyecto de norma IETF. TCP / IP basada en transacción incluye CHAP o PAP. • Diámetro (no una sigla) • RFC 3588 para el control de acceso de dispositivos móviles. • Utiliza el transporte UDP en una configuración peer-to-peer.

- 48 -

Método de control de acceso descentralizado Single Sign-On (SSO): Key facilitador de SSO es "cadena de certificados y tokens".

DOI Remote Site (NPS) (Trusted sub-domain A) DOI NBC

Policy

Paso 1: Sign-On • Asunto (usuario) autentica contra una autoridad principal de certificados (CA) utilizando uno, dos, o tres factores como método de autenticación. • Un token de seguridad se emite al sujeto autenticado junto con la política de acceso.

TRUST

Sec. Token

Sec. Token

1

DOI User

Sec. Token

Principal CA/RA / LDAP Directory

Local subordinate CA (AD/DC)

1

PIV Card Reader

` User Workstation

Policy

Fingerprint Scanner

Policy

Security token from the requestor trusted sub-domain A.







- 50 -

De prevención de intrusiones y detección • Intrusion Prevention System (IPS)

Dentro de la línea de dispositivo de control preventivo. – Paquetes activamente interceptar y seguir. – Control de acceso y aplicación de políticas. – Por lo general, un dispositivo basado en la red. –

• Intrusion Detection Systems (IDS)

Los dispositivos pasivos de seguimiento. – Basado en red (N-IDS) y basadas en host (H-IDS). – Pasivamente monitorear y auditar los paquetes transmitidos. – Patron / Firma coincidencia o basada en anomalías –

• Motor y Métodos de Análisis IDS

Patrón / estado de coincidencia del motor. – Anomalía basado el motor. –

- 51 -

Red – Basado en IPS (N-IPS) N-IPS es un dispositivo de seguridad en línea para los controles preventivos. • Capacidad de bloquear ataques en tiempo real. • Paquetes activamente interceptar y seguir. Redundant Routers using diverse path uplinks to external networks

N-IPS Exterior Firewalls Multi-Service Switches Content Switch for load balacing

DMZ

DMZ

Primary

Backup

Red Basada en IDS (N-IDS)

Primary

Backup

Exterior Perimeter Firewalls

N-IDS es un dispositivo de vigilancia

pasiva

de

Multi-Service Switches

los

` `` ` ` User Workstations

controles policiales. • Supervisa los paquetes de

red y el tráfico en enlaces

` `` ` ` User Workstations

` `` ` `

LANs

• Analiza

Interior Enclave Firewalls Business Specific VLAN Layer 2 Switches N-IDS Sensor

N-IDS Sensor

Mail Srvr.

y protocolos de

Interior Firewall

User Workstations

de transmisión en tiempo real.

Campus/ Building LANs

Domain Controller

N-IDS Sensor

Directory Srvr.

Certificate Srvr.

DB Srvr.

File Srvr.

Domain Controller

N-IDS Sensor

Business Specific VLAN

N-IDS Sensor

N-IDS Sensor


Certificate Srvr.

Directory Srvr.

tráfico basadas en firmas y patrones. Dos

interfaces:

Monitor

File Srvr.

Mission Critical Application Srvrs.

Mission Critical Application Srvrs.

(promiscua) y de gestión.

Monitor & Management VLAN

IDS Event Collector

L2 Switch with Port Span on VLAN



Listening I/F

N-IDS Sensor

DB Srvr.

Listening I/F

N-IDS Sensor

IV. Dominio 4: Seguridad en el Desarrollo de Aplicaciones y Sistemas: • Alcance

Este dominio examina los controles incorporados en los sistemas operativos y las aplicaciones, y los pasos involucrados en su desarrollo. – Se analiza al ciclo de vida del software, control de cambios, controles, y seguridad de las aplicaciones. –

• Algunos de los temas cubiertos son:

Conceptos de aplicaciones. ▫Conceptos de bases de datos. – Componentes de almacenamiento y procesamiento. – Sistemas basados en el conocimiento. – Controles en el desarrollo de sistemas – Amenazas en código. – Métodos de ataque. –

54

Dominio Seguridad en el Desarrollo de Software • • • • • •

- 55 -

Gobernabilidad y Gestión Seguridad y Ciclo de Vida de Sistemas Entorno de software y controles de seguridad Lenguajes de programación Base de datos y base de datos de vulnerabilidades, amenazas, Almacenamiento y Protecciones Las vulnerabilidades de software y Amenazas

Gobernabilidad y Gestión

Gobierno de la Seguridad de Información • Política. Gestión de directivas que establecen las expectativas (metas y objetivos), y asignar

roles y responsabilidades. • Normas. Normas. Actividades Actividades funcionales específicas obligatorias, obligatorias, acciones y reglas. • Procedimiento. Describe el paso a paso de las instrucciones de la aplicación. • Línea de base (o proceso). Descripción Obligatorio de cómo implementar paquetes de

seguridad para garantizar la consistencia y postura de seguridad. seguridad. • Directrices. Declaración general, un marco o recomendaciones para aumentar las líneas de

base o procedimientos. Law, Regulations

Law, Regulations

Standards

Process & Procedure

Organizational Policies

Executive Orders DoD Directives Joint Doctrines

Functional Implementation Policies

DoD Instructions DoD Agency Policies & MOUs

Baselines (/ Process)

Guidelines

Standards: DoD Regulations

Process & Procedure: DITSCAP / DIACAP

Baselines: MAC Security Controls

Guidelines: DISA STIGs NSA SNAC SCGs


Framework Federal Enterprise Architecture (FEA) • Federal Enterprise Architecture Framework (FEAF) se enfoca en

el negocio

- 57 -Reference: Federal Enterprise Architecture Consolidated Reference Model, May 2005


Framework de Gobierno COBIT • Objetivos de Control para la Información y Tecnologías

Relacionadas (COBIT) es un marco de gobernanza de TI creada por la Asociación de Sistemas de Información de Auditoría y Control (ISACA) • Los controles de COBIT abarcan Controles de seguridad de la información (por ejemplo, NIST SP 800-53, CNSS 1253, ISO / IEC IT 17799) – Los procesos de TI marcos de gestión (por ejemplo, ITIL, CMMI, ISO / IEC 2000 IT Service Management, PMBOK) –

• El gobierno de COBIT está compuesto por 5 áreas de enfoques?: – Alineación estratégica – Entrega de valor – Gestión de los recursos – Gestión del riesgo – Medición del desempeño

58


ISO / IEC 15288:2008, Procesos del Ciclo de Vida del Sistema • ISO / IEC 15288 * se compone

de: Los sistemas / procesos de ingeniería de software (Procesos Técnicos) – Procesos de gestión de proyectos – Proyecto de infraestructura de apoyo (Proyecto de organización de HabilitaciónProcesos) – Contrato / negocio (procesos de gestión de procesos de concertación)

Agreement Processes

Project Processes

Technical Processes

Acquisition Process

Project Planning Process

Stakeholder Requirements Definition Process

Supply Process

Project Assessment and Control Process

Requirements Analysis Process

Decision Management Process

Architecture Design Process

Organizational Project-Enabling Processes

Risk Management Process

Implementation Process

Life Cycle Model Management Process

Configuration Management Process

Integration Process

Infrastructure Management Process

Information Management Process

Verification Process

Project Portfolio Management Process

Management Process

Transition Process

–

Human Resource Management Process

Validation Process

Quality Management Process

Operation Process

Maintenance Process

* Note: ISO/IEC 15288 is identical to IEEE Std 15288 - 59 -

Disposal Process


Modelo de Madurez de la Capacidad de Software (SW-CMM) •

Nivel 1: Inicial ─ El proceso de desarrollo de software se caracteriza como ad-hoc. El éxito

depende del esfuerzo individual y el heroísmo. •

Nivel 2: Repetible ─ Básicos de gestión de proyectos (PM) los procesos se han establecido para el s eguimiento

del rendimiento, costo y horario. •

Nivel 3: Definido ─ Ingeniería de software personalizada y procesos de desarrollo serán

documentados y utilizados en toda la organización. •

Nivel 4: Gestionado ─ Las medidas detalladas de mejora de productos y procesos son

cuantitativamente controlada. •

Nivel 5: Optimización - 60 - ─ Mejora continua del proceso está institucionalizado.


ISO/IEC 21827: SSE-CMM • Sistema de Ingeniería de Seguridad – Modelo de Madurez de

la Capacidad (SSE-CMM)

0 Not Performed

1 Performed Informally

·

Base practices performed

2 Planned & Tracked

· · · ·

Committing to perform Planning performance Tracking performance Verifying performance

3 Well Defined

·

· · ·

- 61 -

Defining a standard process Tailoring standard process Using data Perform a defined process

4 Qualitatively Controlled

·

·

·

Establishing measurable quality goals Determining process capability to achieve goals Objectively managing performance

5 Continuously Improving

·

·

Establishing quantitative process effectiveness goals Improving process effectiveness


- 62 -


Sistemas / Desarrollo del Ciclo de Vida del Software (SDLC) •

•

•

Modelos Cascada de Desarrollo •

Cascada: DOD-STD-2167A (reemplazado por MIL-STD-498 en 11/1994).

•

Modificado Cascada: MIL-STD-498 (cancelado en 5/1998)

Modelos de Desarrollo Iterativo •

Modelo espiral de Boehm.

•

Rapid Application Development (RAD) y Desarrollo de Aplicación Conjunta (JAD)

Procesos SDLC •

ISO / IEC 12207, software de procesos de ciclo de vida (IEEE / EIA 12207 EE.UU. implementación) (basado en la norma MIL-STD-499B)

•

ISO / IEC 15288, Ingeniería de Sistemas - Sistema de Procesos del Ciclo de Vida (IEEE Std 1220 a 2005, EE.UU. implementación)

- 63 -

Sistemas / Desarrollo del Ciclo de Vida del Software (SDLC)

Modelos de Desarrollo en Cascada • Cascada Clásica :

•

DoD-STD-2167A

Cascada Modificado : MILSTD-498

Requirements

Requirements

Design

Design

Implementation

Implementation

Verification

Verification

Maintenance

Maintenance


Modelo de espiral Boehm’s

- 65 -


Modelo de Desarrollo rápido de aplicaciones (RAD) Modelo •

Es iterativo, pero los ciclos espirales son mucho más pequeños.

Basado en el riesgo, sino que se centran en "lo suficientemente bueno" resultado. • Los fundamentos del SDLC siguen vigentes •

─ La gestión de requisitos, configuración y calidad, proceso de diseño,

codificación, prueba e integración, técnico y revisiones de proyectos, etc

s e l u d e h c S e r a w t f o S m t d l i h . W D A g n R i / m s n a i T a : t m o n d e / m r p e o n l a e m v / e u d D e . d u i p s a g R b .

, s l e c n . w : n o w e C w c c / n / : M e p r . t t e S h f e R - -

- 66 -


Modelo Incremental de Compromisos

- 67 -

Reference: B. Boehm, J.A. Lane, Using the Incremental Commitment Model to Integrate System Acquisition, Systems Engineering, and Software Engineering, CrossTalk, October 2007.


- 69 -


Entorno de software y controles de seguridad

Revisión del Modelo de Arquitectura de Operaciones de los Computadores • Referencia del monitor es una abstracción conceptual de una "máquina", sistema

o software que el acceso media de objetos por temas. • Base informática de confianza es un sistema de controles de seguridad que

cumple con la confidencialidad y la integridad de los objetivos de seguridad. • Referencia del monitor es una abstracción conceptual de una "máquina", sistema

o software que el acceso media de objetos por temas. • Base informática de confianza es un sistema de controles de seguridad que

cumple con la confidencialidad y la integridad de los objetivos de seguridad. • Kernel Secure es una base de computación de confianza que implementa

referencia concepto monitor. es una base de computación de confianza que implementa referencia concepto monitor. - 70 -


Trusted Computing Base (TCB) • La base informática de confianza (TCB) es la totalidad de los

mecanismos de protección dentro de un sistema de computación hardware, firmware, software, procesos, medios de transporte • La TCB mantiene la confidencialidad y la integridad de cada dominio

y controla cuatro funciones básicas: Proceso de activación – Ejecución de dominio de conmutación – Protección de la memoria – Operación de Entrada / salida –

- 71 -

Reference: DoD 5200.28-STD, Department of Defense Trusted Computer System Evaluation Criteria (TCSEC), August 15, 1983


Kernel seguro • Kernel seguro es una implementación de

un mecanismo de seguimiento de referencia encargado de hacer cumplir las políticas de seguridad. • Responde a las siguientes tres (3) condiciones siguientes: Integridad. Todos los accesos a la información debe pasar por el kernel. – Aislamiento. El núcleo en sí debe ser protegido de cualquier tipo de acceso no autorizado. – Verificabilidad. El núcleo debe ser probado para cumplir con las especificaciones de diseño.

In the kernel model, the inside layer controls basic OS services, such as: - memory management, - security, - I/O, - request management, etc.

–

User applications, environment subsystems, and subsystem DLLs exist on the outer layers.


Controles de seguridad para el ambiente de desarrollo • Para el examen CISSP, las contramedidas son también llamados

"controles de seguridad" ...

Controles de seguridad para Desbordamientos de búfer Protección de la memoria Controles encubiertos Canal criptografía – Técnicas de protección de contraseñas – Granularidad inadecuada de los controles – Control y separación de ambientes – Hora de Check / Tiempo de uso (TOC / TOU) – ingeniería social – Controles de copia de seguridad – Código malicioso / malware controles – Los controles de protección contra virus – Controles móviles Código – arenero – Programación Soporte de idiomas Controles de acceso – – –

- 73 -

Reference: Official (ISC)2 Guide to The CISSP CBK , H. Tipton, et. al., (ISC) 2


- 74 -


Lenguajes de programación • Un conjunto de instrucciones y reglas que indican a la

computadora qué operaciones realizar. • Las lenguas han evolucionado en "generaciones" 1 ª Generación: Máquina idioma – 2 ª generación: El lenguaje ensamblador – 3 ª generación: Lenguaje de alto nivel –

• COBOL, BASIC, FORTRAN, Pascal, C, C+, C++, C#, Java

–

4 ª Generación: Muy lenguaje de alto nivel • SQL, JavaScript, Perl, SGML (Standard General Markup Language):

HTML, XML, SAML, XACML. –

5 ª generación: el lenguaje natural • BPEL (Business Process Execution Language), BQEL (Business

Query Language)

- 75 -


- 76 -


Base de datos y base de datos de vulnerabilidades, amenazas, Almacenamiento y Protecciones

Sistema de Gestión de Base de Datos (DBMS) • Las bases de datos se han desarrollado para gestionar la

información de muchas fuentes en una ubicación. Eliminar la necesidad de duplicación de la información en el sistema (por lo tanto conserva el espacio de almacenamiento). – Evitar la inconsistencia en los datos, haciendo cambios en una ubicación central. –

• DBMS se compone de: hardware, software y bases de datos

utilizadas para manejar grandes conjuntos estructurados (o activo de información).

de

datos

Permite a varios usuarios y aplicaciones para acceder, ver y modificar los datos según sea necesario. – Puede aplicar restricciones de control. – Proporciona integridad de los datos y la redundancia. – Los procedimientos establecidos para la manipulación de datos. –

- 77 -


Modelos DBMS • DBMS jerárquico – Almacena los registros de información (datos) en una sola – Utiliza relaciones padre / hijo – Limitado a un solo árbol, sin vínculos entre las sucursales

tabla

• DBMS de Red – –

Relación de los registros de información son del mismo tipo Todas las asociaciones son directas conecta, que forma una red

• DBMS Relacionales – –

Los registros de información están estructurados en tablas Las columnas son los "atributos", las filas son los "registros"

• DBMS Orientada a objetos y DBMS de objeto relacional – –

- 78 -

Los registros de información son objetos Relaciones de los objetos son dinámicos. La asociación se puede hacer mediante una red jerárquica, o relacional


DBMS Relacional (RDBMS) • Los registros de información (datos) están estructurados en tablas de

bases de datos Las columnas (atributos) representan las variables – Las filas (registros) contiene la instancia específica de los registros de información –

• Relación atómica - cada fila / columna de posición es siempre

exactamente un valor de datos y no un conjunto de valores Attributes

Traveler Manifest Table

Tuples / Rows

Unique ID

Last Name

First Name

Port of Entry (POE)

123456-123456

Smith

John

DCA

234567-123456

Rogers

Mike

LGA

345678-123456

Johnson

John

SFO

456789-123456

Smith

Jack

SAN

Primary Key


- 80 -


Amenazas y Vulnerabilidad

Los defectos estructurales, debilidades, errores y vulnerabilidades • Las vulnerabilidades son debilidades que permiten a los atacantes para

comprometer los objetivos de seguridad de la información y / o sistemas de información. • Los defectos pueden ser errores de diseño y / o debilidades de implementación. • Los errores son de nivel de aplicación, las debilidades

Information Systems Security Engineering (ISSE) Life Cycle Discover Information Protection Needs

Define Requirements

Inception Business Requirements Modeling Requirements and Use Cases - 81 -

Design System Architecture

Develop Detailed System Design & Security Controls

Implement System & Security Controls

Software Development: Rational Unified Process Elaboration Construction Analysis & Design

Implementation

McGraw’s Software Security Tou Touch ch Points Test Test & Test Architecture & Design Code Plans Results

Focus on software structural defects

Focus on software weaknesses

Continuous Monitoring

Transition Deployment/CM

Feedback From The Fields


Enumeración de las Ddebilidades comúnes (CWE) • CWE es un diccionario en línea de las debilidades del software.

- 82 -


Categorías de los puntos débiles del software • Interacción insegura entre los componentes –

"Las deficiencias relacionadas con formas inseguras en que los datos son enviados y recibidos entre los componentes separados, módulos, programas, procesos, amenazas o sistemas .“

• Riesgos de Gestión de los recursos –

"Las deficiencias relacionadas con la forma en que el software soft ware no gestionar adecuadamente la creación, uso, transferencia o destrucción de los recursos importantes del sistema .“

• Defensas débiles –

"Las deficiencias relacionadas con las técnicas defensivas que a menudo son mal utilizados, abusados, abusados, o simplemente ignoradas sin

formato". - 83 -

V. Dominio 5: Seguridad de las Operaciones: • Alcance

Este dominio examina los distintos controles sobre el hardware, los sistemas, los datos, y el personal con derecho de acceso sobre ellos. – Se analizan las técnicas de auditoría y monitoreo, cubriendo los posibles medios para perpetuar abuso y como reconocerlos y enfrentarlos. –

•

Algunos de los temas cubiertos son: – Responsabilidades administrativas pertenecientes al personal y sus funciones de trabajo. – Tipos de controles – Controles sobre las operaciones. – Protección de recursos. – Auditoría. – Monitoreo – Detección de intrusos. 84

Temas

Dominio Operaciones de seguridad • • • •

- 85 -

Concepto y Definición Identificación de las Necesidades de Protección de Recursos Las amenazas a las operaciones de información Controles de seguridad y contramedidas

Concepto y definición

Prácticas de seguridad? • Necesidad de conocer –

Los usuarios sólo deberían tener acceso a los objetos que les permita desempeñar sus funciones de trabajo asignados.

• Privilegios mínimos –

Los usuarios sólo debe contar con privilegios de acceso suficiente que les permita realizar su trabajo asignado.

• Separación de funciones –

Ninguna persona debe ser responsable de la aprobación de su propio trabajo.

• Rotación de Trabajo –

Para reducir el riesgo de colusión y garantizar la existencia de ningún punto único de fallo.

• Vacaciones Obligatorias – - 86 -

Para permitir que los auditores puedan revisar los registros.

Concepto y Definición

Categorías de los Controles de Seguridad • Controles de gestión (administración) –

Las políticas, normas, procesos, procedimientos y directrices • Administrative Entities: Executive-Level, Mid.-Level Management. • Entidades Administrativas: a nivel ejecutivo, Gestión de Nivel Medio.

• Controles Operacionales (y físico) –

Seguridad de Operacional (Ejecución de las Políticas , Estándares Proceso, Educación y Conciencia). • Proveedores de servicios: de InfoSec / IA del Departamento, Programa de

Seguridad, personal de seguridad, controles de documentos (o CM), recursos humanos, finanzas, etc.

–

Seguridad Física ( Facilidad o Protección de la Infraestructura) • Cerraduras, puertas, paredes, cercas, Cortina, etc • Proveedores de servicios: Servicio de Seguridad del Departamento, guardias,

perros

• Controles Técnicos (Lógico) –

Controles de acceso, identificación y autenticación, autorización, confidencialidad, integridad, disponibilidad, no repudio. • Proveedores de servicios: Arquitectura empresarial, Ingeniero de Seguridad,

CERT, SOC, NOSC, Helpdesk.

- 87 -

Concepto y definición

Tipos de controles de seguridad • Controles Directivos: a menudo llamados controles administrativos, éstos tienen por objeto

informar a los empleados de la conducta que se espera de ellos durante sus interfaces con o utilizar sistemas de información de la organización. • Controles preventivos: Incluido en los medios de prevención son las medidas físicas,

administrativas y técnicas destinadas a excluir acciones que violen la política o el aumento de riesgo para los recursos del sistema. • Controles disuasivos: implican el uso de advertencias de consecuencias a violaciones de

seguridad. • Controles Detectivos: implican el uso de las prácticas, procesos y herramientas que

identifican y posiblemente reacciona ante violaciones de seguridad. • Controles correctivos: Los controles correctivos implican también medidas físicas,

administrativas y técnicas diseñadas para reaccionar ante la detección de un incidente con el fin de reducir o eliminar la posibilidad de que el evento no deseado se repita. • Controles de recuperación: Una vez que ocurre un incidente que resulta en el compromiso

de la integridad o disponibilidad, la aplicación de controles de recuperación es necesaria para restaurar el sistema o la operación a un estado de funcionamiento normal. - 88 -

Temas


- 89 -


Identificación de las Necesidades de Protección de Recursos • La información es un activo de la organización

Clasificación de la Información • Identificar los activos de información • Identificar los activos de TI que almacenan, procesan y transmiten datos • Definir el nivel de protección – Definir los objetivos de seguridad • La confidencialidad, integridad y disponibilidad (es decir, FIPS 199) • Protección de los activos de información, es un "sistema" que se compone de: – Personas (es decir, la gestión y los controles operacionales) – Proceso (es decir, la gestión y los controles operacionales) – Tecnología (es decir, controles técnicos) –

- 90 -

Identificación de las Necesidades de Protección de Recursos

Ejemplo: Protección de los Medios

• La mayoría, si no todos los medios de almacenamiento de

datos (como documento en papel) son "móviles", excepto ... • La protección incluye: Marcado y etiquetado de los medios de comunicación – La manipulación de los medios de comunicación –

• Transporte • Acceso

• Integridad de los medios de comunicación

- 91 -

Identificación de las Necesidades de Protección de Recursos

Ejemplo: Protección de los activos de TI

• Al igual que en los medios de almacenamiento de datos, las

operaciones también se ocupa de la protección de los activos de IT (informática, redes y plataformas móviles) • La protección incluye: –

Gestión de activos de inventario (sabes lo que tienes) • Hardware, software y elementos de configuración de máquinas virtuales

(HWCIs, SWCIs y VMCIs) –

La gestión de configuración (saber cómo están configurados) • 80-90% de las vulnerabilidades conocidas se pueden atribuir a errores

de configuración y parches que faltan - 92 -

–

Gestión de incidentes

Temas


- 93 -


Las amenazas a las operaciones de información

Agentes de amenaza • Fuentes de amenaza varía, pero "las personas interesadas" y

socios de negocios son una gran preocupación ... –

En 2008, la revista CSO informó: Source of Incidents Unknown Employees Hackers Former employees Business partner Customer Other Terrorist/ foreign government

–

2008 42% 34% 28% 16% 15% 8% 8% 4%

En 2009, Verizon Data Breach en su Informe de Investigación indica: Source of Data Breach Incidents External threat sources Insiders Business partner Involved multiple parties

- 94 -

2007 N/A 48% 41% 21% 19% 9% 20% 6%

2008 73% 18% 39% 30%

Reference: The Global State of Information Security 2008. CSO Online.

2009 74% 20% 32% 39%

Las amenazas a las operaciones de información

Agentes de amenaza • Amenazas Avanzadas Persistentes (APT) es muy real

Malware es ahora una herramienta para los hackers – Ellos están robando datos ... –

- 95 -

Temas


- 96 -


Controles de seguridad y contramedidas

Controles de seguridad - Sistemas de Información Federal CLASS

Management

Operational

Technical

FAMILY

IDENTIFIER

Risk Assessment

RA

Planning

PL

System and Services Acquisition

SA

Certification, Accreditation, and Security Assessment

CA

Program Management

PM

Personnel Security

PS

Physical and Environmental Protection

PE

Contingency Planning

CP

Configuration Management

CM

Maintenance

MA

System and Information Integrity

SI

Media Protection

MP

Incident Response

IR

Awareness and Training

AT

Identification and Authentication

IA

Access Control

AC

Audit and Accountability

AU

System and Communications Protection

SC

r o f s l o r t n o C y t i r u c e S d e d n e m m o c e R

, 3 . v e R , s 3 m 5 - e 0 t 0 s y 8 S P S n o i T t S I a N m r : f o e n c I n l a e r r e e f d e e R F


Controles de seguridad - Sistemas de Información Comercial ISO/IEC 27001:2005, Tecnología de la información - Técnicas de seguridad - Sistema de Gestión de la Seguridad - Requisitos CONTROL CATEGORIES

SUB-CATEGORY OF CONTROLS

Security Policy

Information security policy

Organization of Information Security

Internal organization; External parties

Asset Management

Responsibility for assets; Information classification

Human Resource Security

Prior to employment; During employment; Termination or change of employment

Physical and Environmental Security

Secure areas; Equipment security

Communications and Operations Management

Operational procedures and responsibilities; Third party service delivery management; System planning and acceptance; Protection against malicious and mobile code; Back-up; Network security management; Media handling; Exchange of information; Electronic commerce services; Monitoring

Access Control

Business requirement for access control; User a ccess management; User responsibilities; Network access control; Operating system access control; Application and information access control; Mobile computing and teleworking

Information Systems Acquisition, Development, and Maintenance

Security requirements of information systems; Correct processing in applications; Cryptographic controls; Security of system files; Security in development and support processes; Technical vulnerability management

Information Security Incident Management

Reporting information security events and weaknesses; Management of information security incidents and improvements

Business Continuity Management

Information security aspects of business continuity management

Compliance

Compliance with legal requirements; Compliance with security policies and standards, and technical compliance; Information system audit considerations


Planes de Contingencia • Controles Directivos: –

Planificación de Contingencia, políticas y procedimientos.

• Controles Preventivos –

Planes de contingencia • Abordar las funciones, responsabilidades y definir "la cadena de

comandos" / estructura de informes. • Alinear los objetivos de la Planificación de Continuidad de Negocio (BCP), utilizando la Evaluación de Impacto de Empresas (BIA). • Coordinar la planificación de recuperación de desastres, COOP y respuesta a incidentes. –

Formación en Contingencia • Transversal - Entrenamiento funcional en diferentes roles. (Rotación de

puestos)

–

- 99 -

Realizar copias de seguridad de sistemas de información (nivel 0: total, parcial y gradual).


Planes de Contingencia • Controles detectivos –

Prueba del Plan de Contingencia • Tutoriales (ejercicio práctico), lista de verificación, simulación o prueba

interrupción completa.

• Controles correctivos: –

Realizar actualización del Plan de Contingencia para garantizar la alineación con los objetivos de negocio y el cambio de configuración.

• Controles de recuperación: –

Recuperacion de los Sistemas de Información y su reconstrucción. • Realizar una recuperación de confiable, • Recuperar copias de seguridad de los sitios de almacenamiento (primaria,

suplente), • Sitios de procesamiento alterno, y • Restaurar o activar los servicios alternativos de telecomunicaciones. - 100 -


Planificación de Contingencia - Las copias de seguridad de datos • Acciones de recuperación: • Full + copia de seguridad

diferencial

• Acciones de recuperación: la

secuencia de copias de seguridad completas + incrementales

- 101 -

Security Controls & Countermeasures Contingency Planning – Data Backups …(3/4) • Three types of electronic vaulting: –

Online tape vaulting: Data is transported through a trusted communications channel to a tape backup service.

–

Remote transaction journaling: Journal of transactions are created in the primary system and sent to the secondary system. Journal Data Transfer Primary Data Volumes

Secondary Data Volumes Journal Journal Volumes Volumes

- 102 -

Journal Journal Volumes Volumes


Respuesta a Incidentes • Controles Detectivos: –

Incidente de monitoreo • Definir la gravedad del suceso, asociar y correlacionar syslogs, registros de

eventos, registros de acceso, firewall, IDS, antivirus registros del sistema. • Eventos e incidentes de seguridad del documento. Conservar las pruebas.

• Corrective controls:

Manejo de incidentes. – Notificación de incidentes. – Asistencia a la respuesta del incidente. –

- 103 -


Sensibilización y formación • Controles Directivos: –

Sensibilización y formación de políticas y procedimientos.

–

Definir las necesidades de capacitación de acuerdo con los roles y responsabilidades.

–

Profesionalizar la disciplina de la certificación.

• Controles Preventivos: –

Conciencia de seguridad (todos los usuarios).

–

Formación en seguridad (basada en roles y responsabilidades).

• Controles Correctivos: –

Lleve un registro de entrenamiento de seguridad

–

Registros para asegurar la calidad de la fuerza laboral. - 104 -

VI. Dominio 6: Criptografía: • Uno de los dominios más complejos. • Alcance –

Este dominio examina los métodos y técnicas para cifrar y descifrar información con el propósito de mantener su integridad, confidencialidad y autenticidad. Esto involucra diferentes técnicas criptográficas, enfoques y tecnologías.


Usos de la criptografía. – Conceptos, metodologías y practicas criptográficas. – Algoritmos simétricos y asimétricos. ▫Infraestructura de clave publica (PKI). – Arquitecturas para la implementación de funciones criptográficas. ▫Métodos de ataque. –

105

Dominio Cryptografia • La utilización de la criptografía

Infraestructura de Clave Pública (PKI) – HTTP, S-HTTP, IPSec, SSH, SET – Single Sign-On (SSO) – E-mail protegido –

• Tipos de ataques criptográficos – Ataques

Crypto-analíticos – Ataques criptográficos • Discusiones sobre la exportación de tecnologías de cifrado

- 106 -

Términos y Definiciones

Criptografía • Criptografía - la ciencia de la escritura secreta. • Criptología - el estudio de la criptografía y el criptoanálisis. • Criptosistema - hardware y / o software de aplicación de la

criptografía. • Algoritmo - una regla precisa (o conjunto de normas) que especifican

cómo resolver algún problema o realizar una tarea específica. • Cifrado - operación criptográfica transformación con bits o

caracteres.

- 107 -


Criptografía • Plaintext / Cleartext - datos en formato codificado.

Texto cifrado / Criptograma - datos codificados. • Cifrar / Encriptar / Encodear - actuar de codificación mediante clave.

Descifrar / Desencritar / Decodificar - descifrar con la clave. • Criptoanálisis - la práctica de romper criptosistemas o la obtención

de texto plano a partir del texto cifrado sin una llave. • Factor de trabajo - tiempo, esfuerzo y recursos necesarios para

romper un sistema de cifrado.

- 108 -


Criptografía • Clave para Crypto, un valor secreto en la forma de una secuencia de

caracteres que se utilizan para cifrar y descifrar. • Clustering Key - caso en el que dos teclas sirven para generar el texto cifrado mismo de texto plano mismo. Keyspace - Todos los posibles valores utilizados para la construcción llaves. El espacio de claves más grandes mejor. • Vector de inicialización (VI) - En criptografía, IV es un bloque de bits que se utilizan como entrada del algoritmo de inicialización para el cifrado de una secuencia de bloques de texto claro. –

El vector de inicialización (VI) aumenta la seguridad mediante la introducción de varianza criptográfico adicional y para sincronizar los equipos criptográficos

- 109 -


Algoritmo criptográfico y Operación • Algoritmo criptográfico - Un conjunto de funciones matemáticas y

las reglas que se lleva a texto plano y una llave como entrada y como producto de salida de texto cifrado. • Operación criptográfica - Cifrado / descifrado Encriptado - Una Actividad para convertir texto plano en texto cifrado con el fin de preservar la confidencialidad de los datos. – Descifrado - Una Actividad para convertir texto cifrado de nuevo a texto –

Encryption

Decryption

Cryptosystem

Cryptosystem

Plaintext

Ciphertext

Ciphertext

Message Sender

Plaintext

Message Recipient

Secret key

Algoritmos de cifrado

Llave de Criptografía Simétrica La criptografía simétrica clave consiste en un solo secreto (simétrica) • Tanto el remitente como el destinatario deben tener la misma clave secreta. Es utilizado por el emisor para cifrar el mensaje y el destinatario para • descifrarlo. Encryption

Decryption

Encrypt

Decrypt

Plaintext

Ciphertext

Ciphertext

Message Sender

Plaintext

Message Recipient

Secret key

Algoritmos de cifrado

Llave de Criptografía Asimétrica • Formato de mensaje seguro: Encryption

Decryption

Encrypt

Decrypt

Plaintext

Ciphertext

Ciphertext

Recipient’s public key

Plaintext

Recipient’s private key

Message Sender

Message Recipient

• Formato de mensaje abierto: Encryption

Decryption

Encrypt

Decrypt

Plaintext

Ciphertext

Sender’s private key

- 112 -

Message Sender

Ciphertext

Plaintext

Sender’s public key

Message Recipient

VII. Dominio 7: Seguridad Física: • Alcance

Este dominio examina las amenazas, riesgos, y medidas correctivas para proteger físicamente los establecimientos, el hardware, los datos, y al personal. – Esto incluye la elección del establecimiento, los métodos de autorización de acceso, y los procedimientos de seguridad física y ambiental. –

•

Algunos de los temas cubiertos son: – Áreas

restringidas, métodos y controles de autorización. ▫Controles técnicos. – Elementos de seguridad ambiental. – Amenazas a la seguridad física. – Elementos de seguridad física.

113

Temas

Dominio de Seguridad Física • Términos y Definiciones • Tipo de Amenazas y Medio Ambiente de Protección de Datos • Contramedidas de seguridad y tecnologías

- 114 -

Concepto y Definición

Categorías de los Controles de Seguridad • Controles de gestión (administración) –

Las políticas, normas, procesos, procedimientos y directrices • Administrative Entities: Executive-Level, Mid.-Level Management • Las entidades administrativas: a nivel ejecutivo, Manejo a nivel Medio

• Controles físicos –

Seguridad Física (Fondo para la Protección de Infraestructuras) • Cerraduras, puertas, paredes, cercas, Cortina, etc

• Proveedores de servicios: FOE, guardias de seguridad, perros

• Técnicos (lógico) Controles –

Controles de acceso, identificación y autorización, confidencialidad, integridad, disponibilidad, no repudio. • CCTV y cámara, IDS, sistema de detección de humedad, Fuego / Humo

Sistema de detección, extinción de incendios, sistema de control ambiental, UPS, etc • Proveedores de servicios: Arquitecto Construcción, Protección de - 115 -

Infraestructura Crítica (CIP) Ingeniero, Centro de Operaciones.

Temas


- 116 -

Tipo de Amenazas y Medio Ambiente de Protección de Datos

Tipo de amenazas al ambiente físico • Natural / Medio Ambiente

Terremotos, inundaciones, tormentas, huracanes, incendios, nieve / hielo – Consecuencia de los fenómenos naturales –

• Hecho por el hombre / Eventos Políticos

Explosivos, empleados descontentos, acceso no autorizado, errores de los empleados, el espionaje, el incendio / fuego, sabotaje, derrames peligrosos / tóxicos, la contaminación química, el código malicioso, vandalismo y robo – Los actos de comisión u omisión –

- 117 -

Contramedidas de seguridad y tecnologías

Objetivos de Seguridad y Controles Salvaguardar y proteger los activos físicos contra daños, pérdida o robo de los eventos naturales / ambientales y hechor por el hombre/políticos • Los controles administrativos Ubicación de las instalaciones, construcción y gestión. – Riesgos de seguridad física, amenazas y contramedidas. –

• Los controles técnicos – Autenticación

de personas y detección de intrusiones. – Problemas eléctricos y medidas para combatirlo. – La prevención de incendios, detección y extinción. • Los controles físicos

Perimeter & Building Grounds. – La construcción de punto de entrada. – Sala dentro de una sala en los planos de cada piso – Centros de datos o sala de servidores de seguridad. –

- 118 -

Temas


- 119 -


Enfoque Estratégico para la Seguridad Física

• Defense-in-depth

- 120 -

Ejemplos de fallo de diseño

- 121 -

Más ejemplos de fallos de Diseño

- 122 -


Controles Administrativos • Políticas y procedimientos de seguridad física –

Las medidas de respuesta y procedimientos • Integración con la continuidad del negocio, COOP, y los planes de

recuperación de desastres. • Las inspecciones periódicas e informes.

• La sensibilización, pruebas y ejercicios.

–

Procesos de gestión de riesgos • Evaluación de riesgos para identificar las amenazas y los agentes de amenaza • Mitigación de riesgos para planificar para el cambio y actualización de línea de

base • Evaluación de riesgos para verificar y validar las contramedidas.

– Auditorías

de seguridad y evaluaciones

• Pistas de auditoría para la evaluación de las entradas y salidas. • Realizar evaluaciones utilizando tutorial (ejercicio de escritorio), lista de - 123 -

verificación, simulación o prueba a toda interrupción.


Controles físicos - Construcción de instalaciones • Barreras estructurados: Norma para puertas de vehículos (Norma

UL 325) Clase I: Operación puerta residencial – Clase II: Comercial, tal como un estacionamiento o garaje – Clase III: Acceso Industrial / limitada, como un almacén, fábrica o carga de documentos – Clase IV: Acceso restringido operación que requiere la supervisión de personal de seguridad, tales como los que están en una zona de seguridad de la prisión o del aeropuerto –

- 124 -


ProtectionControles técnicos - Protección de entrada Entrada sistemas de control de acceso • Giratoria Las puertas giratorias que se pueden activar para "bloquear" y no permitir que personas no autorizadas a entrar o salir de las instalaciones – Para evitar " piggybacking (lleva a cuestas)". –

• Entrampadas

Enrutamiento de personas a través de dos puertas fijas

–

• A prueba de fallos –

Puerta por defecto a ser desbloqueado

• Asegurado contra fallos –

Puerta por defecto a estar encerrado.

- 125 -


Controles técnicos Sistemas de control de accesos de entrada - Cerraduras • Cerraduras mecánicas:

Clave – Cerraduras de combinación – Cerraduras magnéticas –

• Cerraduras electrónicas:

Cerradura de combinación – La proximidad / RFID tarjeta – Bio-métrica –

- 126 -

Contramedidas de seguridad y tecnologías de Controles técnicos: Detección de intrusos y sistemas de vigilancia • Circuito cerrado de televisión (CCTV)

Detectar la presencia de un objeto. – El reconocimiento de tipo de objeto. – Identificación de los detalles del objeto. –

- 127 -

VIII. Dominio 8: Seguridad en Internet, Redes y Telecomunicaciones: • El dominio más extenso. • Alcance –

Este dominio examina: • los sistemas de comunicaciones internos, externos, públicos y privados, • y las medidas de seguridad utilizadas para brindarle integridad, confidencialidad y disponibilidad a las trasmisiones. • Analizando las estructura de redes, tipos de dispositivos, protocolos, métodos de acceso y su administración.


Modelos ISO/OSI – Seguridad en redes y comunicaciones. – Internet/Intranet/Extranet. – Protocolos de Seguridad. – Seguridad en el Comercio/E-mail/ etc. – Comunicaciones de voz seguras. 128 –

Temas Dominio Telecomunicaciones y de seguridad de red • Principios de Seguridad y Arquitectura de Internet Protocol (IP)

Términos y Definiciones – – – –

Tipos de estructura de datos de red Métodos y Modalidades de datos de la Red de Comunicaciones Tipos de redes de datos Tipos de datos de topología de redes

• Modelo de referencia OSI y el modelo TCP / IP – – – – – – –

- 129 -

Capa Física (Capa 1) Capa de enlace de datos (Capa 2) Capa de red (Capa 3) Capa de Transporte (Capa 4) Capa de Sesión (Capa 5) Capa de Presentación (Capa 6) Capa de aplicación (Capa 7)

Términos y definiciones

Tipos de estructuras de redes de datos • Red de área local (LAN). Principalmente se limita a una pequeña área • • •

• • •

•

geográfica o de un solo sitio (es decir, un edificio de oficinas). Red de área personal (PAN). Datos de la red de comunicaciones de corta distancia (por ejemplo, Bluetooth, Infra-Red). Red de área amplia (WAN). Las comunicaciones de datos de red para múltiples áreas de distribución a lo largo de una área geográfica. Metropolitan Area Network (MAN). Las comunicaciones de datos de red para una ciudad grande (por ejemplo Metropolitana de Washington, Nueva York o Boston, Lima, Buenos Aires etc.) Campus Area Network. Las comunicaciones de datos de red para un campus de edificios (campus universitario por ejemplo, la base militar) Internet. Sistema mundial de redes interconectadas. Intranet. Un tipo de red donde los clientes (usuarios) hacen uso de los distintos servicios internos a través de una gran variedad de redes de telecomunicaciones. Extranet. Un tipo de red donde los clientes hacen uso de servicios externos en la amplia gama de redes de telecomunicaciones. - 130 -

rm nos y e n c ones

Métodos y Modalidades de datos de la Red de Comunicaciones • Métodos de Comunicaciones de Red de Datos

Comunicaciones analógicas. Un método de interconexión de redes que utiliza la señal analógica a través de combinación de señal de amplitud, frecuencia y fase. (por ejemplo, voz, fax, modem, radio analógica, etc.) – Comunicaciones Digitales. Un método de interconexión de redes a través de la utilización de la señal digital binaria de 1/0s. –

• Modos de comunicaciones de datos de red

Comunicaciones síncronas. Modo de comunicación basándose en un conjunto de sistemas sincronizados de reloj para determinar emisor y receptor de señales de comunicación. – Comunicaciones asíncronas. Modo de comunicación controlado por un conjunto de bits de inicio y de parada en cada extremo de las señales de datos (cabeceras y pies), los paquetes de datos son discretas (es decir, encapsulados) –

- 131 -

Términos y definiciones Tipos de datos de red • Circuito de conmutación de red. Los datos se envían a través de un

circuito dedicado entre dos puntos finales. (por ejemplo, red telefónica pública conmutada (PSTN)) • Red de conmutación de paquetes. Los datos se segmentan en paquetes y se envían a través de un circuito compartido por varios suscriptores. • Circuito virtual. Los datos se envía a través de un circuito lógico creado sobre una red de conmutación de paquetes. Circuito virtual conmutado (SVC). – Circuito virtual permanente (PVC). –

- 132 -

Términos y definiciones

Tipos de topología de redes de datos Hay cinco tipos de topologías de red física: • Topología bus. • Topología Árbol. • Topología estrella. • Topología Anillo. • Topología Malla `

`

`

`

`

`

`

Data Packet

Hub

`

`

`

`

MUX

` Switch

RTR

FW

`

MUX

MUX `

`

Switch

`

`

MUX

- 133 -

`

`

MUX `

Temas Dominio Telecomunicaciones y de seguridad de red • Principios de Seguridad y Arquitectura de Internet Protocol (IP)

Términos y Definiciones – – – –

Tipos de estructura de datos de red Métodos y Modalidades de datos de la Red de Comunicaciones Tipos de redes de datos Tipos de datos de topología de redes

• Modelo de referencia OSI y el modelo TCP / IP – – – – – – –

- 134 -

Capa Física (Capa 1) Capa de enlace de datos (Capa 2) Capa de red (Capa 3) Capa de Transporte (Capa 4) Capa de Sesión (Capa 5) Capa de Presentación (Capa 6) Capa de aplicación (Capa 7)

Modelo de referencia OSI y Arquitectura del protocolo TCP/IP s y n t o i r i t u a c r e e S p O

n o i t a t i d e r c c A d n a n o i t a c i f i t r e C

r , s e s n u o d P i t O a e N r c o r O e p P C O & y t y s i t r i s u r e c u c e c e S S o r P

s e r u s a e , , m e r m s u r i t n c e a e t t h i n c e h c r u m A y o t i m e C r u t s l c e y a S S c i n h c e T

. c e S l a c i s y h P - 135 -

l , a c i y t t i e i r r r u u C t c f c e o u r S n t y o s t a i i t r l i c f c e n a t I F o r P

DEFENSE-IN-DEPTH OSI Reference Model

TCP/IP Protocol Architecture

Internet Protocol Suite

Application

Presentation

Information Assurance Technical Framework (IATF)

Defense Information Infrastructure (DII) & Security Mechanisms

Defending the Computing Environment

OS + Host-based IDS + Secure Messaging + Trusted RDBMS

NFS

Application Layer

FTP, Telnet, SMTP, HTTP, SNMP… etc .

XDR

RPC

Session

Supporting the Infrastructure Transport

Host-to-Host Transport Layer

TCP

UDP Defending the Enclave

Network

Internet Layer

Data-Link

Network Access Layer

Physical

Routing Protocols

IP

ARP, RARP

Domain Controller + Active Directory Service + DIICOE APM (+ Directory Services + X.509-based PKI/KMI/ CA)

Memorization

Away

Pizza

Sausage

Throw

Firewall + Network-based IDS + Switchs

Not

ICMP

Defending the Network & Infrastructure

Routers + KGs

Do

People

IX. Dominio 9: Recuperación ante Desastres y Planificación de la Continuidad del Negocio: • Alcance

Este dominio examina la preservación de las actividades del negocio cuando se enfrenta a una interrupción o desastre. – Esto involucra la identificación de riesgos reales, una adecuada evaluación de riesgos e implementación de medidas correctivas. –

•

Algunos de los temas cubiertos son: – Identificación de los activos del negocio y la asignación de valor. – Análisis de impacto sobre el negocio y la predicción de posibles perdidas. – Determinación de áreas prioritarias. – Administración de la crisis. – Desarrollo, implementación, testeo y mantenimiento del plan.

136

Tema

Dominio Planificación de la Continuidad de Negocio (BCP) • • • • • • • •

Términos y Definiciones Fase I: Gestión de Proyectos e Iniciación Fase II: Análisis de Impacto al Negocio (BIA) Fase III: Estrategia de Recuperación Fase IV: Plan de Diseño y Desarrollo Fase V: Implementación Fase VI: Pruebas Fase VII: El mantenimiento, sensibilización y formación

- 137 -


Planificación de la Continuidad de Negocio (BCP) • Planificación de la continuidad del negocio (BCP) se refiere a la

preservación y recuperación de la actividad en caso de interrupciones en las operaciones comerciales normales. • Plan de continuidad del negocio es un conjunto aprobado de

disposiciones y procedimientos que permiten a una organización: Facilitar la recuperación de las operaciones comerciales – Minimizar las pérdidas – Reparar o reemplazar las instalaciones dañadas o componentes tan pronto como sea posible. –

• Análisis de impacto al negocio (BIA) es el proceso de determinar los

efectos de una interrupción del servicio de TI para las operaciones de negocio en términos de pérdidas económicas. El BIA es una parte de BCP. - 138 -


Planificación de la Continuidad de Negocio (BCP) • Plan de continuidad de operaciones (COOP) se centra en la restauración de las

funciones esenciales de una organización de negocios en un sitio alternativo y la realización de esas funciones por hasta 30 días antes de volver a las operaciones normales. Es una parte de BCP.

• Plan de Reanudación del Negocio (BRP) (o Planificación de Recuperación de

Negocios) se ocupa de la restauración de los procesos de negocio después de una emergencia. A menudo es una parte del BCP.

• Plan de comunicaciones de cricis , es un plan de comunicaciones internas y

públicas en un evento de crisis. A menudo es una parte del BCP. – Interna para la coordinación de los recursos de la organización. – Externa para garantizar que las declaraciones aprobadas sólo se liberan al público. • Plan de Gestión de eventos de Crisis o CEM Es un mecanismo de respuesta que asegura la dirección y el control del sistema durante un trastorno operacional. Estos planes incluyen la identificación, la evaluación, el dictamen o la declaración del incidente, la activación y desactivación del plan y los procedimientos de restauración. - 139 -


Planes de Contingencia de TI • Plan de Contingencias de TIC o Plan de Continuidad del Soporte o SCP (Support

Continuity Plan), Su utilidad es proporcionar una guía que incluya los procedimientos y las capacidades para recuperar una aplicación principal o un sistema de soporte general. Su ámbito es el mismo que el Plan de Contingencias de las TIC. Trata los trastornos ocasionados en los sistemas TIC y no se enfoca en el proceso de negocios, sino que se enfoca en el desarrollo y mantenimiento de los planes de continuidad del negocio, para dar soporte general a los sistemas y a los planes de contingencia de las aplicaciones principales. Esta guía considera la planificación de la continuidad de soporte como sinónimo de planificación de contingencias de TIC. Debido a que es conveniente desarrollar un plan de contingencias de las TIC para cada aplicación principal y para cada sistema de soporte general, se puede mantener dentro del BCP de la organización varios planes de contingencia. • Plan de respuesta a Incidente cibernético , es un plan específico del BCP que establece procedimientos para hacer frente a los ataques cibernéticos contra los sistema de TI de una organización. - 140 -


Planes de Contingencia de TI • Planificación de recuperación de desastres (DRP), se ocupa de la recuperación

de una instalación dañada o nuevos componentes que respaldan las operaciones comerciales normales. • Plan de recuperación de desastres (DRP) es un conjunto de procedimientos que permiten a una organización: – Perform salvage & repair. – Responder a los desastres de acuerdo a un nivel predefinido de desastre. – Evaluar los daños y el tiempo estimado necesario para reanudar las operaciones. – Realizar la recuperación y reparación.

141


Facilidad de la Planificación de Contingencia • Plan de emergencia del ocupante (OEP) (Occupant Emergency Plan) se

indican los procedimientos de respuesta para los ocupantes de una instalación en el caso de una situación que representa una amenaza potencial para la salud y seguridad de las personas, el medio ambiente o la propiedad. Esta encaminado a proporcionar unos procedimientos coordinados para minimizar la perdida de vidas humanas o las lesiones a personas y proteger el daño a la propiedad en respuesta a amenazas físicas, Su ámbito se enfoca en el personal y en la propiedad particular para la instalación o servicio especifico. No se basa en el proceso de negocios o en la funcionalidad del sistema TIC, sino que proporciona los procedimientos de respuesta para los ocupantes de una instalación o servicio, en caso de amenaza potencial para la salud y seguridad del personal, entorno o propiedad, como un incendio, un huracán, un ataque terrorista, una emergencia medica, etc. - 142 -


Ciclo de Vida de la Continuidad del Negocio • Mantener las operaciones del negocio • Recuperar / reanudar las operaciones comerciales • Proteger los los activos de las empresas (personas, la reputación y

los activos tangibles)

Creación de un BCP

Proceso para la Creación de un BCP • Fase I: Iniciación del

proyecto Fase II: Análisis de Impacto en el Negocio (BIA) Fase III: Estrategia de Recuperación Fase IV: Plan de Diseño y Desarrollo Fase V: Implementación Fase VI: Pruebas Fase VII: El mantenimiento, sensibilización y formación

2

(ISC) : Project Initiation

NIST: Develop policy statement

2

(ISC) : Business Impact Analysis (BIA)

NIST: Conduct BIA

2

(ISC) : Recovery Strategy

NIST: Identify preventive controls 2

(ISC) : Plan Design & Development

NIST: Develop recovery strategy NIST: Develop contingency plan

2

(ISC) : Implement

NIST: Plan testing, training, & excercises

2

(ISC) : Testing

2

(ISC) : Continual Maintenance

NIST: Plan maintenance

X. Dominio 10: Legislación, investigaciones y Ética: • Alcance

Este dominio examina los distintos tipos de delitos, legislaciones y reglamentaciones. A su vez, se analizan técnicas en la investigación de delitos, la obtención de evidencias, y el manejo de procedimientos. – También cubre como desarrollar e implementar un programa de manejo de incidentes. –

•

Algunos de los temas cubiertos son: Legislaciones, reglamentaciones y delitos. – Licenciamiento y piratería de software. – Temas y leyes de importación y exportación de software. – Tipos de evidencias y la admisión de las mismas en caso de juicio. – Manejo de incidentes. – Ética –

145

Temas

Dominio de Investigaciones Legales, regulaciones y cumplimiento • Leyes y Cumplimiento Normativo • Investigaciones • Ética

- 146 -

Concepto

Leyes y Regulaciones Información - Requisitos de Seguridad • Las leyes y reglamentos son la fuente de los requisitos de la directiva (por ejemplo,

políticas de organización) • Requisitos de la Directiva para interpretar las leyes: – Gestión de las normas, política y procedimiento para mantener la organización y evitar que sus empleados violen la ley. – Ingeniería de seguridad y diseño para mantener • El orden de la organización y sus empleados

Law, Regulations

• Cumplimiento de la ley. Organizational Policies (Policies, Directives)

Functional Implementation Policies (Instructions, Regulations)

- 147 -

Standards (FIPS)

Process & Procedure (Instructions,

Guidelines (NIST SP 800-x, STIGs, SNAC

Leyes y Regulaciones

Categorías de la Ley • Derecho Civil: basada en reglas, no basado en precedencia. (por ejemplo,

Código de Estados Unidos (USC)) – Codificación: Las reglas escritas. (por ejemplo, Derecho Romano, código napoleónico de Francia, el Código Civil francés de 1804.) – El derecho administrativo: Reglamento que establece los estándares de desempeño y conducta. (por ejemplo, normas, reglamentos SEC Banca, Seguros, FAR, EAR, ITAR.)

Reference: - 148 -


Categorías de la Ley • Ley común: Basado en precedencia.

El derecho penal (prisión, multa $, etc) – Civil / derecho de daños (daños compensatorios, $ restitución, sin tiempo de cárcel). –

Reference: • CISSP ® All-in-One Exam Guide, S. Harris • http://www.juriglobe.ca/eng/rep-geo/cartes/amer-nord.php

- 149 -


Categorías de la Ley • Derecho referido a las costumbres : En base a sus costumbres culturales,

tradiciones, creencias comunes. (por ejemplo, China, India, las naciones musulmanas, etc) • Derecho referido a la Religión: En base a las religiones (la ley islámica, por ejemplo)

- 150 -


Categorías de la Ley • Sistema de derecho mixto : En base a la cultura, la religión, y costumbres.

Derecho civil: basado en normas. – Derecho común: Precedencia-basado. – Derecho referido a las costumbres Con base en las costumbres culturales, tradiciones y creencias comunes. – Derecho referido a la religión: Basado en las religiones. –

Reference: • CISSP ® All-in-One Exam Guide, S. Harris • http://www.juriglobe.ca/eng/index.php

- 151 -

Temas


- 152 -

Investigaciones

Proceso de Investigación del Ciclo de Vida vs Evidencia • El proceso de investigación comprende • Evidence Life Cycle

Identificación de un incidente – Preservación de la "escena“ – Reunión de pruebas – El examen de la evidencia – Análisis del incidente – Presentación de pruebas – Decisión para actuar

• Ciclo de Vida de la evidencia

–

– Adquisición

colección e identificación – Almacenamiento, conservación y transporte – Análisis – Se presenta ante el tribunal – Retorno a la víctima

Investigation Process Identification

Preservation

Collection

Collect Evidence

- 153 -

Examination

Analysi s

Presentation

Decision

Analyze Evid ence

Evidence Life Cycle

Present Evidence

Return Evidence

Temas


- 154 -

Plan de Acción de Ética • Elaborar una guía de ética computacional de la organización • Desarrollar una política de ética informática como complemento a la

política de seguridad informática • Agregar información sobre ética de la computación para el manual del empleado. • Averiguar si la organización cuenta con una política de ética empresarial, y ampliarla para incluir la ética informática. • Obtener más información acerca de la ética informática y difundir lo aprendido.

- 155 -

6. Preguntas Ejemplo: 1)

2)

Un Propósito de los Programas de concientización en Seguridad es el Modificar –

Comportamientos y actitudes del personal.

–

Gestión de la Dirección.

– Actitudes

de empleados con información sensible.

– Actitudes

corporativas acerca del cuidado de la información.

¿Cuáles son las tres categorías de delitos informáticos? ─

Acceso no autorizado

─

Actos dañinos o circulación de material dañino

─

3)

Interceptación no autorizada

¿Por qué el derecho internacional contra la delincuencia informática no se aplican a "todas las naciones"? Por que cada nación cuenta con sus propias leyes y en algunos países impacta en sus costumbres o ideologías.

3)

¿Cuál es la diferencia entre derechos de autor y secretos comerci ales ─ La protección de las patentes (derechos de autor) se adquiere mediante un trámite l egal. ─ En los secretos comerciales no es necesario un trámite

legal, con la adopción de las medidas necesarias para evitar su divulgación será suficiente. 156

5) ¿Cuál es el nombre de un plan de manejo aprobado que se refiere a la preservación y recuperación de la empresa en caso de apagones? –

Business Continuity Plan (BCP)

6) ¿Cuál es el nombre de un plan de manejo aprobado que se refiere a la restauración de las funciones de una organización de negocios esenciales en un sitio alternativo para un máximo de 30 días? –

Continuity Of Operations Plan (COOP)

7) ¿Cuál es el nombre de un plan de manejo aprobado que se ocupa de las comunicaciones internas y público en un evento de crisis? –

Crisis Communications Plan

8) ¿Cuáles son los tres tipos de copias de seguridad de datos? Copia de seguridad completa – Copia de seguridad incremental – Copia de seguridad diferencial –

157

9) ¿Cuáles son los cinco tipos de topologías de red física? –

Topología Bus, árbol, estrella, Anillo y malla

10) ¿Cuáles son dos métodos de comunicaciones de datos de la red? – Analógica –

Digital

11) ¿Cuáles son dos formas de comunicaciones de datos de la red? –

Sincrónico

– Asincrónico

12) ¿Cuál es el mecanismo de protección dentro de la computadora que se encarga de aplicar la política de seguridad? –

Kernel seguro (es decir, anillos de protección)

13) ¿Cual es el sistema (por ejemplo, hardware, firmware, sistema operativo y aplicaciones de software) que implementa el concepto de monitor de referencia? –

Trusted computing base “base confiable de la Computación”(TCB)

158

7. Información Adicional • Sitios de Interés:

http://www.isc2.org – http://www.cccure.org – http://www.sans.org – http://http://csrc.nist.gov/ • Software. – http://www.lostclusterz.com/quiz/quiz.php – http://www.boson.com – http://www.bfq.com/ – http://www.srvbooks.com/ • Libros ▫The CISSP Prep Guide - Krutz ▫ All In One CISSP Certification - Harris ▫The CISSP Official Guide. –

159

cissp

Recommend Documents