TECNOLOGÍAS DE CERTIFICACIONES INGENIERÍA SEGURIDAD INFORMÁTICA 5 - 6. CERTIFIED INFORMATION SYSTEMS SECURITY PROFESSIONAL CISSP
Ing. Nicanor Sachahuaman Martínez CISM, ITIL, I TIL, COBIT COBIT,, CBCP CBC P, MCSE
Temas a Tratar
1
1
• CISSP
2
• Requisitos
3
• Dominios
4
• Descripción de los 10 dominios
5
• Desarrollo de los dominios
6
• Preguntas Ejemplo
7
• Información Adicional
Temas a Tratar
1
1
• CISSP
2
• Requisitos
3
• Dominios
4
• Descripción de los 10 dominios
5
• Desarrollo de los dominios
6
• Preguntas Ejemplo
7
• Información Adicional
1. Certified Information Systems Security Professional ) es una Certifie fied d Inform ati ation on Systems Se Security curity Professio nal • CISSP (Certi certificación de alto nivel profesional otorgada por la (ISC)2 (ISC)2 (International (International Information Systems Security Certification Consortium, Inc), con el objetivo de ayudar a las empresas a reconocer a los profesionales con formación f ormación en el área de seguridad de la información. • Crecimiento Crecimiento:: ▫En 1997 – 700 CISSP. ▫En 2002 – 15.000 CISSP. ▫En 2006 – 29.000 CISSP. ▫En 2009 – 64.000 CISSP
2
2. Requisitos • Los aspirantes a obtener la certificación CISSP deben cumplir con los siguientes requerimientos: • Aprobar el examen para CISSP: Este examen consta de 250 preguntas de selección simple y 6 horas de
duración, en el cual se evalúa el manejo que tiene el candidato sobre cada uno de los 10 dominios de conocimiento que conforman el Common Body of Knowledge (CBK). CISSP CBK ▫El Common Body of Knowledge del CISSP, es la base de conocimiento utilizada para la
–
certificación. La misma se encuentra separada en áreas temáticas, denominadas dominios. • Demostrar experiencia mínima de 5 años en al menos dos de los 10 dominios del CBK. • Adherirse al Código de Ética de la ISC2. • En caso de ser seleccionado para tal fin, el aspirante debe someterse y pasar un proceso de auditoría. • Con el objetivo de mantener su estado de CISSP, aquellos profesionales certificados deben realizar cierta
cantidad de actividades cuya finalidad primordial es asegurar que el profesional se ha mantenido activo en el área de la seguridad. Cada una de estas actividades reciben cierta cantidad de créditos (CPE) de los cuales el profesional debe reunir 120 cada 3 años. Si el CISSP no reúne los 120 CPEs en el tiempo definido, debe entonces volver a tomar y aprobar el examen si desea mantener su certificación.
3
3. Dominios • Seguridad de la Información y Gestión de Riesgos
(Information Security and Risk Management) • Sistemas y Metodología de Control de Acceso (Access
Control Systems and Methodology) • Criptografía (Cryptography) • Seguridad Física (Physical Security) • Arquitectura y Diseño de Seguridad (Security
Architecture and Design) • Legislación, Regulaciones, Cumplimiento de las
mismas e Investigación (Legal, Regulations, Compliance, and Investigation) • Seguridad de red y Telecomunicaciones
(Telecommunications and Network Security) • Planes de continuidad del negocio y de Recuperación
Frente a Desastres (Business Continuity and Disaster Recovery Planning) • Seguridad de Aplicaciones (Applications Security) 4
3. Descripción de los 10 dominios • Dominio 1: Prácticas de Gestión de la Seguridad: Identificación de los activos de una organización y
desarrollo, documentación e implementación de políticas, estándares, procedimientos y guías: –
Conceptos y objetivos.
–
Gestión del riesgo.
–
Procedimientos y políticas.
–
Clasificación de la información.
–
Responsabilidades y roles en la seguridad de la información.
–
Concienciación en la seguridad de la información.
• Dominio 2: Arquitectura y Modelos de Seguridad: Conceptos, principios, estructuras y estándares
empleados para diseñar, monitorizar y asegurar sistemas, equipos, redes, aplicaciones y controles usados para reforzar los diversos niveles de la disponibilidad, integridad y confidencialidad: –
Conceptos de control y seguridad.
–
Modelos de seguridad.
–
Criterios de evaluación.
–
Seguridad en entornos cliente/servidor y host.
–
Seguridad y arquitectura de redes.
5
Arquitectura de la seguridad IP.
• Dominio 3: Sistemas y Metodología de Control de Acceso: Conjunto de mecanismos que
permiten crear una arquitectura segura para proteger los activ os de los sistemas de información: –
Conceptos y tópicos.
–
Identificación y autenticación.
–
Equipo de e-security.
–
Single sign-on.
– Acceso
centralizado / descentralizado / distribuido.
–
Metodologías de control.
–
Monitorización y tecnologías de control de acceso.
• Dominio 4: Seguridad en el Desarrollo de Aplicaciones y Sistemas: Define el entorno
donde se diseña y desarrolla el software y engloba la importancia crítica del software dentro de la seguridad de los sistemas de información: ─ Arquitecturas seguras. – Definiciones. ─ Control de cambios. ─ Medidas de seguridad y desarrollo – Amenazas y metas de seguridad. de aplicaciones. – Ciclo de vida. ─ Bases de datos y data warehousing. ─ Knowledge-based systems. 6
• Dominio 5: Seguridad de las Operaciones: Usado para identificar los controles sobre el
hardware, medios y los operadores y administrador con privilegios de acceso a algún tipo de recurso: –
Recursos, Privilegios.
–
Mecanismos de control.
– Abusos –
potenciales.
Controles apropiados, Principios.
• Dominio 6: Criptografía: Los principios, medios y métodos de protección de la información
para asegurar su integridad, confidencialidad y autenticidad: ─ Criptografía simétrica / asimétrica. ─ Firma digital. – Historia y definiciones. ─ Seguridad en el correo electrónico e – Aplicaciones y usos de la criptografía. Internet empleando encriptación. ─ Gestión de claves. – Protocolos y estándares. ─ Public key infrastructure (PKI). – Tecnologías básicas. ─ Ataques y criptoanálisis. ─ Cuestiones legales en la exportación – Sistemas de encriptación. de criptografía. 7
• Dominio 7: Seguridad Física: Técnicas de protección de instalaciones, incluyendo los
recursos de los sistemas de información: –
Gestión de las instalaciones.
–
Seguridad del personal.
–
Defensa en profundidad.
–
Controles físicos.
• Dominio 8: Seguridad en Internet, Redes y Telecomunicaciones: Incluye los
dispositivos de la red, los métodos de transmisión, formatos de transporte, medidas de seguridad y autenticación: –
Gestión de la seguridad en la comunicaciones.
–
Protocolos de red.
–
Identificación y autenticación.
–
Comunicación de datos.
–
Seguridad de Internet y Web.
–
Métodos de ataque. Seguridad en Multimedia.
8
• Dominio 9: Recuperación ante Desastres y Planificación de la Continuidad del Negocio:
Dirige la preservación del negocio en el caso de producirse situaciones de parada para la restauración de las operaciones: –
Conceptos de recuperación ante desastres y de negocio.
–
Procesos de planificación de la recuperación.
–
Gestión del software.
– Análisis
de Vulnerabilidades.
–
Desarrollo, mantenimiento y testing de planes.
–
Prevención de desastres.
• Dominio 10: Legislación, investigaciones y Ética: Engloba las leyes y regulaciones de los
crímenes informáticos, las técnicas y medidas de investigación, recuperación de evidencias y códigos éticos: –
Leyes y regulaciones.
–
Gestión de incidentes.
–
Gestión de la respuesta ante incidentes.
–
Conducción de investigaciones.
–
Ética en la seguridad de la información.
–
Código ético del (ISC)².
9
Código de Ética: • Proteger a la sociedad, al bien común y a la infraestructura tecnológica. • Actuar en forma honorable, justa, responsable y legal. • Brindar servicios competentes y atentos. • Fomentar y proteger la profesión.
5. Desarrollo de los dominios I.
Do m in io 1: Prác tic as d e Gest ión d e la Se gurid ad:
Alcance • Este dominio examina: –
la identificación y valoración de los activos de la compañía
–
el desarrollo, documentación e implementación de políticas, estándares, procedimientos y guías para asegurar la confidencialidad, integridad y disponibilidad.
• Muy asociado a los aspectos requeridos por las normas ISO/IEC 27001 e ISO/IEC 17799
Desarrollo A. Los principios básicos de la seguridad CIA B.
C.
Gobierno de seguridad –
Políticas, procedimientos, etc
–
Estructuras organizativas
–
Roles y Responsabilidades
Clasificación 10
de la Información
A. Los principios básicos de la seguridad CIA • Confidencialidad –
·
Law, Regulations, and Policies: FISMA, SOX, GBL, National Security Act, USA PATRIOT ACT, etc. OMB A-130, A-11, etc. E.O. 13292, 12968, etc. DoD 5200.1-R, etc. ·
Permitir que sólo los individuos autorizados accedan a
·
·
la información
Security Objectives: Confidentiality Integrity Availability
• Integridad
·
–
Permitir que sólo los individuos autorizados puedan
·
·
modificar la información Standards and Best Practices NIST FIPS, SP 800-x, etc. COBIT, ITIL, Common Criteria ISO/IEC 27001, 21827, etc. DoDI 8500.2, 8510.01
• Disponibilidad
·
– Asegurar
que la información y los recursos estén
·
·
disponibles cuando sea necesario
·
• Uso de la CIA
Security Implementation Principles: Confidentiality, Integrity, Availability Need-to-Know Least Privilege Separation of Duties
• Piense en términos de los principios de seguridad básicos
·
de información
·
·
• ¿Cómo afecta esta amenaza al CIA?
·
• ¿Qué controles se pueden utilizar para reducir el riesgo en
función de la CIA? • Si aumentamos la confidencialidad, vamos a disminuir la 11
disponibilidad?
·
Benchmarks and Guidelines: NIST National Checklist, DISA STIGs, CIS Benchmarks, etc.
B. Gobierno de seguridad • Gobierno de seguridad son los procesos de organización y relaciones para la gestión del riesgo
•
–
Las políticas, procedimientos, normas, directrices, puntos de referencia
–
Estructuras organizativas
–
Roles y Responsabilidades
Mapa de la Política
Laws, Regulations, Requirements, Organizational Goals, Objectives
General Organizational Policies
Functional Policies
12
Procedures
Standards
Guidelines
Baselines
• Políticas –
Las políticas son declaraciones de intenciones y objetivos de gestión
– Apoyo
a la Alta Dirección y la aprobación es vital para el éxito
–
Generales, objetivos de alto nivel
–
El uso aceptable, acceso a Internet, el registro de seguridad de la información, etc
• Procedimientos –
Los procedimientos son los pasos detallados para realizar una tarea específica
–
Por lo general, requiere la política
–
Clausura, gestión de recursos de la adición de cuentas de usuario, eliminar cuentas de usuario, cambio, etc
• Normas –
Normas especifican el uso de tecnologías específicas de una manera uniforme
–
Se requiere uniformidad en toda la organización
–
Los sistemas operativos, aplicaciones, herramientas de servidor, configuraciones de router, etc.
• Directrices –
Directrices son los métodos recomendados para llevar a cabo una tarea
–
Recomendado, pero no es obligatorio
13
Limpieza de malware, eliminación de spyware, conversión de datos, desinfección, etc
• Las líneas de base –
Las líneas de base son similares a las normas, sino en cuenta las diferencias en las tecnologías y versiones de diferentes proveedores
–
Funcionamiento del sistema de líneas de base de seguridad • FreeBSD 6.2, Mac OS X Panther, Solaris 10, Red Hat Enterprise Linux 5,
Windows 2000, Windows XP, Windows Vista, etc • Estructura Organizacional –
Organización y responsabilidades del oficial de seguridad varían • BoD, CEO, BoD Comité • CFO, CIO, CSO, CISO • Director, Gerente
–
IT / SI de Seguridad
– Auditoría
14
• Roles y Responsabilidades • Mejores prácticas:
Privilegio mínimo – Vacaciones obligatorias – Tarea de rotación – Separación de tareas –
• Propietarios –
Determinar los requisitos de seguridad
• Custodios – Administración
de la seguridad basada en los requisitos
• Usuarios – Acceder
15
a lo permitido por los requisitos de seguridad
C. Clasificación de la Información • No toda la información tiene el mismo valor • Necesidad de evaluar el valor sobre la base de la CIA • Valor determina el nivel de protección • Los niveles de protección determinará los procedimientos • Clasificaciones del Gobierno: –
Ultrasecreto
–
Secreto
–
Confidencial
–
Sensible pero sin clasificar
–
Sin clasificar
• Clasificaciones del sector privado: –
Confidencial
–
Privado
–
Sensible
–
Público
16
D. Gestión de Riesgos • Gestión de riesgos es identificar, evaluar y mitigar los
riesgos de una organización –
Es un proceso cíclico y continuo
–
¿Necesita saber lo que tiene
–
¿Necesita saber qué amenazas son probablemente
–
–
¿Necesita saber cómo y qué tan bien está protegido ¿Necesita saber dónde están las brechas
• Identificación
Threat Agent
Threat
Exploits
Vulnerability s t c e f f a y l t c e r i
d n I
• Bienes
Give rise to
Risk Reduces/ Eliminates
Asset Can damage
• Amenazas – Amenazas
fuentes: artificial, natural
• Vulnerabilidades –
Leads to
Debilidad
• Controles –17 Salvaguardar
Exposure And causes an
Counter measure
Can be countered by a
• Análisis / Evaluación • Cuantitativo
Objetivo valores numéricos – Análisis coste-beneficio – Baja Suposiciones • Cualitativo – Subjetivos valores intangibles – Tiempo involucrados bajo – Altas suposiciones –
• Remedio / Mitigación • Reducir
Use los controles para limitar o reducir las amenazas • Quitar – Deje de usar • Transferir – Obtener un seguro o subcontratar • Aceptar 18 Espera lo mejor –
Modelo de Seguridad de Información – Defensa en profundidad Successful Organization Functions
Information Assurance “Defense-In-Depth” Strategy
People Operations Technology
People Executing Operations Supported by Technology
Information Assurance Technical Framework (IATF) Overlapping Approaches & Layers of Protection Defending the Network & Infrastructure
Defending the Enclave Boundary
Defending the Computing Environment
Supporting the Infrastructure
Referencias: • NSA IA Solution Directions, Information Assurance Technical Framework , Release 3.1 • ISO/IEC 27002:2005, Code of Practice for Information Security Management - 19 -
II. Dom inio 2: A rqu itectu ra y Mod elos de Seguridad: • Alcance
Este dominio examina los conceptos, principios, y estándares para el diseño, implementación, monitoreo y protección de aplicaciones y sistemas operativos. – Esto cubre estándares internacionales de evaluación y su significado para distintos tipos de plataformas. –
•
Algunos de los temas cubiertos son: Organización de redes y computadores, arquitecturas y diseños. – Modelos de seguridad, arquitecturas y criterios de evaluación –
– 20
•
TCSEC
•
Common Criteria
Fallas más comunes y aspectos de seguridad en las arquitecturas de sistemas y diseños.
• Arquitectura Distribuida • La migración de arquitectura independiente para convertirlo en un ciclo completo
( Modelo PDCA) • Amenazas: – La información confidencial puede encontrarse en los escritorios – Los usuarios pueden carecer de conciencia se seguridad de información – Desktops tal vez utilizados para lanzar ataques – Descarga de datos aumenta el riesgo de infección • Contramedidas: – Cifrado de archivos – Controles de acceso – Seguridad física – Clasificación de Activos – Buena copia de seguridad y prácticas de recuperación – Conciencia de Seguridad – El control de tráfico IP – Registro de transacciones 21
Modelos de Seguridad de la Información • Modelo de seguridad especifica tanto en una PC o un sistema de
información deberá cumplir con las políticas de seguridad. • Hay muchos modelos de seguridad:
Modelo Graham-Denning –sistema formal de las normas de protección. – Modelo State-Machine – modelo matemático abstracto, que representa la variable del estado del sistema. Las funciones de transición definidos en el sistema se mueve entre cada uno de los estados – Modelo Information-Flow – demuestra los flujos de datos, canales de comunicaciones, y los controles de seguridad – Modelo Non-Interference – un subconjunto del modelo de flujo de información, que impide que los sujetos que operan en un dominio pueden afectar a los demás ante la violación de la política de seguridad. –
- 22 -
Modelo de Seguridad Graham-Denning
Graham-Denning es un modelo de acceso a la información opera sobre un conjunto de sujetos, los objetos, los derechos y una matriz de acceso. • Niveles de protección
1.
No compartir en absoluto
2.
Compartiendo copias de los programas /
• Operaciones
archivos de datos 3.
Compartir originales de los programas / archivos de datos
4.
Cómo compartir sistemas de programación / subsistemas
5.
Subsistemas Permitir la cooperación de los subsistemas mutuamente sospechosas, por
–
Cómo crear una forma segura objeto / sujeto.
–
Cómo eliminar de forma segura un objeto / sujeto.
–
de acceso de lectura. –
Proporcionar menos memoria subsistemas
7.- 23 - Proporcionar "certificados" subsistemas
Cómo proporcionar de forma segura el derecho de acceso subvención.
–
Cómo proporcionar de forma segura el derecho de acceso borrado.
ejemplo, depuración / propietario 6.
Cómo proporcionar de forma segura el derecho
–
Cómo proporcionar de forma segura el derecho de acceso
Modelo Graham-Denning Security Matriz de Control de Acceso: especifica los modos de acceso • Sujeto-Objeto • Una fila por cada sujeto • Una columna por objeto
s t c e j b u S
S1 S2 S3 S4 S5
Objects S1 S2 S3 S4 S5 O1 ----Cntrl rwx ------Cntrl ------Cntrl r-x --------Cntrl --------Cntrl
O2 rw----r-x r-x
O3 ----x -------
O4 -----------
O5 ------r-x ---
Modelo Bell-LaPadula Security Bell-LaPadula confidencialidad de políticas: • Propiedad de seguridad simple – El sujeto no puede leer el objeto de una mayor sensibilidad.
• Estrella propiedad (property *) – El sujeto no puede escribir en objeto de una menor sensibilidad.
• Propiedad Estrella Strong (Fuerte propiedad *) – El sujeto no puede leer / escribir en objeto de sensibilidad superior / inferior Read t e r c e S p o T t e r c e S l a i t n e d i f n o C
Write
Object: A
Subject: Alfred (Secret)
Object: B
Object: C
Simple Security Property
t e r c e S p o T t e r c e S
Read/Write
Object: A
Subject: Alfred (Secret)
l a i t n e d i f n o C
Object: B
Object: C
* Star Property
t e r c e S p o T t e r c e S
Object: A
Subject: Alfred (Secret)
l a i t n e d i f n o C
Object: B
Object: C
Strong * Property
Arquitectura de la Implementación Framework Security Architecture – FEA • Federal Enterprise Architecture Framework (FEAF) se enfoca en
negocios
- 26 -
Reference Federal Enterprise Architecture Consolidated Reference Model, May 2005
Modelo Biba Security Política de seguridad Biba: • Condición integridad simple – El sujeto no puede leer los objetos de menor integridad.
• Integridad * Principales propiedades – El sujeto no puede escribir en objetos de mayor integridad.
• Invocación de la propiedad – El sujeto no puede enviar mensajes (petición lógico para el servicio) a objeto de
mayor integridad. Read h g i H
Object: A
e l d Subject: Alfred d i (Secret) M
w o L
Write
Object: B
Object: C
Simple Integrity Property
h g i H
e l d d i M
w o L
Object: A
Subject: Alfred (Secret)
Object: B
Object: C
* Star Integrity Property
Modelo de Seguridad Clark-Wilson Clark-Wilson Estemodelo de seguridad corrige las metas de integridad de: La prevención de sujetos no autorizados de modificar objetos La prevención de los sujetos autorizados de hacer modificación incorrecta de los objetos – Mantener la consistencia interna y externa – –
• Transacción bien-formada – –
Preservar / asegurar la coherencia interna El Suejto puede manipular objetos (es decir, datos), solamente de forma que garanticen la coherencia interna.
• Triple Acceso: Sujeto-Objeto-Program – –
Sujeto a programa y programa a objetos. Separación de funciones
Objects Subject
- 28 -
Program
Modelo de Seguridad Brewer-Nash (Muralla China) Brewer-Nash modelo de seguridad que se utiliza para implementar cambios dinámicos a permisos de accesos. • Una “Muralla" se define como un conjunto de reglas que no
garantiza la protección de un lado, pero se puede acceder a los objetos en el otro lado de la muralla. Client Alpha Corporate Assets
Client Beta Corporate Assets
Corporate Assets
Corporate Assets
Corporate Assets
Corporate Assets
Corporate Assets
Corporate Assets
Conflict of Interest Class Subject: Alfred
Reference: The Chinese Wall Security Policy , D.F.C. Brewer, M. Nash,
Modelo de flujo de Información El Modelo de flujo ilustra la dirección del flujo de datos entre objetos • Basado en los niveles de seguridad de objetos • Objeto-objeto flujo de información que está restringida de acuerdo con los atributos de seguridad de los objetos • El análisis se simplifica canal asegurado Note: Covert channel is moving of information to and from unauthorized transport
Object
A
A
N/A
B C D
B N/A
X
C
D
X
X
A
B
C
D
X N/A
X N/A
Modelo Non-interference El modelo de No Interferencia (también conocido como modelo de seguridad Goguen-Meseguer) se inspira en el modelo de flujo de información, sin embargo, se centra en: High
• ¿Cómo las acciones se sujetan a un nivel de sensibilidad más alto?
• Afectar el estado del sistema ? • Las acciones se sujetan en una menor sensibilidad?
Non-interference Policy
• Nivel. (es decir, la interferencia) • Los usuarios (sujetos) están en sus propios compartimentos para que
Low
la información no fluye o contamine otros compartimentos • Con la afirmación de la política de seguridad de no interferencia, el
modelo multi-level security (MLS), pasa a brindar: capacidad, compartimento, acceso discrecional, clave de acceso multi-user/multi, distribución automática y cadenas de autorización y degradación.
- 31 -
Reference: Security Policies and Security Models , J.A. Goguen, J. Meseguer, IEEE, 1982.
Arquitectura de Seguridad y Metodología de la Construcción • Arquitectura de seguridad es una visión integrada de la arquitectura del sistema desde una perspectiva de seguridad.
• Arquitectura de seguridad se describe
Security Operational Controls
w i e V l a n i t o r a e p O
Security Management Controls
cómo el sistema debe ser implementado para satisfacer los requisitos de seguridad.
S t a T n e c d h a n r d i s c a V l i e w
Systems View
Ver Operaciones = Un conjunto de empresas Misión / Negocios procesos operativos que influye en la selección de la Seguridad Operacional, controles de gestión y Técnicos – Ver Sistemas= El sistema en toda la empresa que influye en la selección de Gestión de la Seguridad, Controles técnicos, operativos – Ver Normas Técnicas = Las tecnologías implementadas que influyen en la selección de Seguridad técnica, Controles Operativos y de Gestión –
Security Technical Controls
Relación entre la arquitectura del sistema Empresarial y los controles de Seguridad References: • DoD Architecture Framework (DoD AF) V1.0 • FIPS 200, Minimum Security Controls for Federal Information Systems
Framework de Arquitectura de Seguridad – FEA • Federal Enterprise Architecture Framework (FEAF) se enfoca en
negocios
- 33 -
Referencia: Federal Enterprise Architecture Consolidated Reference Model, May 2005
Ingeniería de Seguridad de Sistemas - Modelo de Madurez de la Capacidad (SSE-CMM) • Describe las prácticas esenciales de seguridad recomendadas • Definición de mejores prácticas y mejorar la capacidad • Formula las mismas áreas que aborda el CISSP • Proporciona métricas para comparar la seguridad • La Ingeniería de Seguridad se basa en dos dimensiones Dominio y Capacidad –
Dominio • Todas las prácticas se denominan Prácticas Bases (PB) • Las prácticas relacionadas se agrupan en áreas de proceso (PA)
• Proporciona ingeniería de seguridad basado en 11 Practicas relacionadas (PA) –
Capacidad • Prácticas Genéricas (GP) • En relación con la gestión de procesos • Proporciona 11 Proyectos y Áreas Prácticas Organizacionales
34
Modelo de Madurez SSE-CMM En cuanto a los 5 niveles: • Nivel 1: Informalmente Se tiene que hacer actividades adicionales antes de manejar los procesos • Nivel 2: Planificado
Se entiende lo que está sucediendo en el proyecto antes de definir los procesos de toda la organización • Nivel 3: Bien definido
Utiliza lo mejor de lo aprendido en sus proyectos para crear procesos de toda la organización • Nivel 4: Cuantitativamente Controlado
No se puede medir hasta que no sepa qué es lo que se quiere medir • Nivel 5: Mejora continua
Base 35 de una buena gestión y generación de conciencia
III. Dominio 3: Sistemas y Metodología de Control de Acceso: • Alcance.
Este dominio examina los mecanismos y métodos utilizados para brindarle a los administradores y gerentes el control sobre: • lo que corresponda que los usuarios puedan o no acceder, • la posibilidad de extender sus capacidades luego de la adecuada autenticación y autorización, y la auditoria y monitoreo de estas actividades. • Algunos de los temas cubiertos son: – Responsabilidad. “Obligación de rendir Cuentas‟ – Técnicas de Control de Acceso. – Administración del Control de Acceso. – Modelos de Control de Acceso. – Técnicas de Autenticación e identificación. – Metodologías e implementaciones de control de acceso. – Custodia y propiedad de los datos. 36 –
Control de Acceso • Definición y Principios • Amenazas • Tipos de control de acceso –
Identificación, Autenticación, Autorización y responsabilidad
• Modelos de control de acceso
Modelos de Seguridad – Centralizada y Descentralizada / Distribuido –
• Gestión y Monitoreo
IPS e IDS – Evaluación de la Seguridad y Evaluación –
- 37 -
Control de Acceso • El acceso es el flujo de información entre un sujeto (por ejemplo,
usuario, programa, proceso o dispositivo, etc) y un objeto (por ejemplo, archivo, base de datos, programa, proceso o dispositivo, etc) • Los controles de acceso son un conjunto de mecanismos que funcionan en conjunto para proteger los activos de información de la empresa contra el acceso no autorizado. • Los controles de acceso permiten la gestión de: Especificar qué usuarios pueden acceder a los recursos contenidos en el sistema de información – Especifique qué recursos pueden acceder – Especifique qué operaciones se pueden realizar – Mantener la responsabilidad individual –
Reference: - 38 -
• CISSP All-in-One Exam Guide, 4th Ed., S. Harris, McGraw-Hill • Official (ISC)2 Guide To The CISSP CBK , H. Tipton and K. Henry, (ISC) 2 Press,
Auerbach Publications
Clasificación de la Información • Identifica y caracteriza los activos de información
críticos (es decir, la sensibilidad) • Explica el nivel de protección (nivel de protección) o cómo los activos de información deben ser manejados (sensibilidad y confidencialidad).
Comercial • • •
- 39 -
Pública. Privado / Sensible. Confidencial / propietaria
Gobierno Militar y Civil • • • • •
Sin clasificación. Sensible pero sin clasificar (SBU). Confidencial. Secreto. Ultra Secret.
Categorías de los Controles de Seguridad • Gestión (administración) de controles. • Las políticas, normas, procesos, procedimientos y directrices – Las entidades administrativas: a nivel ejecutivo, Manejo a nivel medio
• Controles Operacionales (y fisicos) . • Seguridad Operacional (Ejecución de Políticas, Normas y Procesos, Educación y
Conciencia)
– Proveedores de servicios: Programa de Seguridad, Personal de Seguridad, Control de
Documentos (o CM), recursos humanos, finanzas, etc
• Seguridad Física (Fondo para la Protección de Infraestructuras o)
Cerraduras, puertas, paredes, cercas, Cortina, etc • Proveedores de servicios: FSO, guardias, perros
• Controles Tecnicos (Logicos). • Controles de acceso, identificación y autorización, Confidencialidad, Integridad
disponibilidad, no repudio.
– Proveedores de servicios: Arquitectura empresarial, Ingeniero de Seguridad, CERT,
NOSC, Helpdesk
- 40 -
Tipo de controles de seguridad • Controles informativos. Política y estándar que informar a los
•
•
•
•
empleados sobre el comportamiento esperado para la protección de los activos de una organización la información de accesos no autorizados. Controles Preventivos. Medidas físicas, administrativas y técnicas destinadas a prevenir el acceso no autorizado a los activos de información de la organización. Controles Detectivos. Prácticas, procesos y herramientas que identifican y posiblemente reaccionar a un acceso no autorizado a los activos de información. Controles Correctivos. Contramedidas físicas, administrativas y técnicas diseñadas para reaccionar ante incidentes de seguridad (s) con el fin de reducir o eliminar la posibilidad de que el evento no deseado que se repita. Controels de Recuperacion. El acto de restablecer los controles de acceso para proteger los activos de información de la organización. - 41 -
Control de Acceso • Definición y Principios • Amenazas • Tipos de control de acceso –
Identificación, Autenticación, Autorización y responsabilidad
• Modelos de control de acceso
Modelos de Seguridad – Centralizada y Descentralizada / Distribuido –
• Gestión y Monitoreo
IPS e IDS – Evaluación de la Seguridad y Evaluación –
- 42 -
Ejemplo de lista de amenaza relacionada con el Control de Acceso
• Amenazas físicas: • Amenazas Informática: – Acceso físico no autorizado – Amenaza de denegacion de • Dumpster diving (buscar en el servicio (DoS) • Ping de la muerte • Pitufeo • Inundacion SYN • DoS Distribuido (DDoS)
– Software no Autorizado • El código malicioso • código móvil
– Defectos de software • Desbordamiento de búfer • encubierto canal • trampa - 43 -
basurero) • Shoulder surfing (seguimiento a una
persona) • Eavesdropping (escuha no
autorizado)
– Emanaciones electrónicas
• Personal / amenazas de
ingeniería social
– Disgustar / empleados
descuidados • La minería de datos selectiva / "navegación“ • Espionaje
Control de Acceso • Definición y Principios • Amenazas • Tipos de control de acceso –
Identificación, Autenticación, Autorización y responsabilidad
• Modelos de control de acceso
Modelos de Seguridad – Centralizada y Descentralizada / Distribuido –
• Gestión y Monitoreo
IPS e IDS – Evaluación de la Seguridad y Evaluación –
- 44 -
Ejemplos y Tipos de control – Administrativa
(o controles de la Directiva) • Los reglamentos, las políticas, normas, directrices, procesos y procedimientos
– Controles físicos y Técnica
• • • • •
Preventivos Los controles que eviten incidentes Disuasivo - Los controles que desalientan incidente Detectivo - Los controles que identifican incidente Correctivo - Controla el incidente remedio Recuperación - Los controles que restaura la base del incidente
Autenticación, Autorización y Responsabilidad (AAA) • El control de acceso no está completo sin acoplado con la
auditoría de cuentas. Monitor de referencia proporciona el mecanismo para el control de acceso. (es decir, AAA) Reference Monitor: - Identification - Authentication - Authorization - Accountability
Object 1 Object 2
Security Kernel Subject
Object 3
Auditing of Transactions: - 46 -
- What, who, how and when
Control de Acceso • Definición y Principios • Amenazas • Tipos de control de acceso –
Identificación, Autenticación, Autorización y responsabilidad
• Modelos de control de acceso
Modelos de Seguridad – Centralizada y Descentralizada / Distribuido –
• Gestión y Monitoreo
IPS e IDS – Evaluación de la Seguridad y Evaluación –
- 47 -
Método de control de acceso centralizado AAA (Authentication, Authorization, Accounting) protocolos. • RADIUS (Remote Access Dial-In User Service) Use UDP / IP protocolos basados en fotogramas: SLIP (Serial Line Internet Protocol) y PPP (Point-to-Point Protocol). En una configuración de cliente / servidor. • TACACS (Terminal Access Controller Access Control System)
Proprietary (Cisco Systems), TACACS + un proyecto de norma IETF. TCP / IP basada en transacción incluye CHAP o PAP. • Diámetro (no una sigla) • RFC 3588 para el control de acceso de dispositivos móviles. • Utiliza el transporte UDP en una configuración peer-to-peer.
- 48 -
Método de control de acceso descentralizado Single Sign-On (SSO): Key facilitador de SSO es "cadena de certificados y tokens".
DOI Remote Site (NPS) (Trusted sub-domain A) DOI NBC
Policy
Paso 1: Sign-On • Asunto (usuario) autentica contra una autoridad principal de certificados (CA) utilizando uno, dos, o tres factores como método de autenticación. • Un token de seguridad se emite al sujeto autenticado junto con la política de acceso.
TRUST
Sec. Token
Sec. Token
1
DOI User
Sec. Token
Principal CA/RA / LDAP Directory
Local subordinate CA (AD/DC)
1
PIV Card Reader
` User Workstation
Policy
Fingerprint Scanner
Policy
Security token from the requestor trusted sub-domain A.
Control de Acceso • Definición y Principios • Amenazas • Tipos de control de acceso –
Identificación, Autenticación, Autorización y responsabilidad
• Modelos de control de acceso
Modelos de Seguridad – Centralizada y Descentralizada / Distribuido –
• Gestión y Monitoreo
IPS e IDS – Evaluación de la Seguridad y Evaluación –
- 50 -
De prevención de intrusiones y detección • Intrusion Prevention System (IPS)
Dentro de la línea de dispositivo de control preventivo. – Paquetes activamente interceptar y seguir. – Control de acceso y aplicación de políticas. – Por lo general, un dispositivo basado en la red. –
• Intrusion Detection Systems (IDS)
Los dispositivos pasivos de seguimiento. – Basado en red (N-IDS) y basadas en host (H-IDS). – Pasivamente monitorear y auditar los paquetes transmitidos. – Patron / Firma coincidencia o basada en anomalías –
• Motor y Métodos de Análisis IDS
Patrón / estado de coincidencia del motor. – Anomalía basado el motor. –
- 51 -
Red – Basado en IPS (N-IPS) N-IPS es un dispositivo de seguridad en línea para los controles preventivos. • Capacidad de bloquear ataques en tiempo real. • Paquetes activamente interceptar y seguir. Redundant Routers using diverse path uplinks to external networks
N-IPS Exterior Firewalls Multi-Service Switches Content Switch for load balacing
DMZ
DMZ
Primary
Backup
Red Basada en IDS (N-IDS)
Primary
Backup
Exterior Perimeter Firewalls
N-IDS es un dispositivo de vigilancia
pasiva
de
Multi-Service Switches
los
` `` ` ` User Workstations
controles policiales. • Supervisa los paquetes de
red y el tráfico en enlaces
` `` ` ` User Workstations
` `` ` `
LANs
• Analiza
Interior Enclave Firewalls Business Specific VLAN Layer 2 Switches N-IDS Sensor
N-IDS Sensor
Mail Srvr.
y protocolos de
Interior Firewall
User Workstations
de transmisión en tiempo real.
Campus/ Building LANs
Domain Controller
N-IDS Sensor
Directory Srvr.
Certificate Srvr.
DB Srvr.
File Srvr.
Domain Controller
N-IDS Sensor
Business Specific VLAN
N-IDS Sensor
N-IDS Sensor
Business Specific VLAN
Certificate Srvr.
Directory Srvr.
tráfico basadas en firmas y patrones. Dos
interfaces:
Monitor
File Srvr.
Mission Critical Application Srvrs.
Mission Critical Application Srvrs.
(promiscua) y de gestión.
Monitor & Management VLAN
IDS Event Collector
L2 Switch with Port Span on VLAN
Business Specific VLAN
Business Specific VLAN
Listening I/F
N-IDS Sensor
DB Srvr.
Listening I/F
N-IDS Sensor
IV. Dominio 4: Seguridad en el Desarrollo de Aplicaciones y Sistemas: • Alcance
Este dominio examina los controles incorporados en los sistemas operativos y las aplicaciones, y los pasos involucrados en su desarrollo. – Se analiza al ciclo de vida del software, control de cambios, controles, y seguridad de las aplicaciones. –
• Algunos de los temas cubiertos son:
Conceptos de aplicaciones. ▫Conceptos de bases de datos. – Componentes de almacenamiento y procesamiento. – Sistemas basados en el conocimiento. – Controles en el desarrollo de sistemas – Amenazas en código. – Métodos de ataque. –
54
Dominio Seguridad en el Desarrollo de Software • • • • • •
- 55 -
Gobernabilidad y Gestión Seguridad y Ciclo de Vida de Sistemas Entorno de software y controles de seguridad Lenguajes de programación Base de datos y base de datos de vulnerabilidades, amenazas, Almacenamiento y Protecciones Las vulnerabilidades de software y Amenazas
Gobernabilidad y Gestión
Gobierno de la Seguridad de Información • Política. Gestión de directivas que establecen las expectativas (metas y objetivos), y asignar
roles y responsabilidades. • Normas. Normas. Actividades Actividades funcionales específicas obligatorias, obligatorias, acciones y reglas. • Procedimiento. Describe el paso a paso de las instrucciones de la aplicación. • Línea de base (o proceso). Descripción Obligatorio de cómo implementar paquetes de
seguridad para garantizar la consistencia y postura de seguridad. seguridad. • Directrices. Declaración general, un marco o recomendaciones para aumentar las líneas de
base o procedimientos. Law, Regulations
Law, Regulations
Standards
Process & Procedure
Organizational Policies
Executive Orders DoD Directives Joint Doctrines
Functional Implementation Policies
DoD Instructions DoD Agency Policies & MOUs
Baselines (/ Process)
Guidelines
Standards: DoD Regulations
Process & Procedure: DITSCAP / DIACAP
Baselines: MAC Security Controls
Guidelines: DISA STIGs NSA SNAC SCGs
Gobernabilidad y Gestión
Framework Federal Enterprise Architecture (FEA) • Federal Enterprise Architecture Framework (FEAF) se enfoca en
el negocio
- 57 -Reference: Federal Enterprise Architecture Consolidated Reference Model, May 2005
Gobernabilidad y Gestión
Framework de Gobierno COBIT • Objetivos de Control para la Información y Tecnologías
Relacionadas (COBIT) es un marco de gobernanza de TI creada por la Asociación de Sistemas de Información de Auditoría y Control (ISACA) • Los controles de COBIT abarcan Controles de seguridad de la información (por ejemplo, NIST SP 800-53, CNSS 1253, ISO / IEC IT 17799) – Los procesos de TI marcos de gestión (por ejemplo, ITIL, CMMI, ISO / IEC 2000 IT Service Management, PMBOK) –
• El gobierno de COBIT está compuesto por 5 áreas de enfoques?: – Alineación estratégica – Entrega de valor – Gestión de los recursos – Gestión del riesgo – Medición del desempeño
58
Gobernabilidad y Gestión
ISO / IEC 15288:2008, Procesos del Ciclo de Vida del Sistema • ISO / IEC 15288 * se compone
de: Los sistemas / procesos de ingeniería de software (Procesos Técnicos) – Procesos de gestión de proyectos – Proyecto de infraestructura de apoyo (Proyecto de organización de HabilitaciónProcesos) – Contrato / negocio (procesos de gestión de procesos de concertación)
Agreement Processes
Project Processes
Technical Processes
Acquisition Process
Project Planning Process
Stakeholder Requirements Definition Process
Supply Process
Project Assessment and Control Process
Requirements Analysis Process
Decision Management Process
Architecture Design Process
Organizational Project-Enabling Processes
Risk Management Process
Implementation Process
Life Cycle Model Management Process
Configuration Management Process
Integration Process
Infrastructure Management Process
Information Management Process
Verification Process
Project Portfolio Management Process
Management Process
Transition Process
–
Human Resource Management Process
Validation Process
Quality Management Process
Operation Process
Maintenance Process
* Note: ISO/IEC 15288 is identical to IEEE Std 15288 - 59 -
Disposal Process
Gobernabilidad y Gestión
Modelo de Madurez de la Capacidad de Software (SW-CMM) •
Nivel 1: Inicial ─ El proceso de desarrollo de software se caracteriza como ad-hoc. El éxito
depende del esfuerzo individual y el heroísmo. •
Nivel 2: Repetible ─ Básicos de gestión de proyectos (PM) los procesos se han establecido para el s eguimiento
del rendimiento, costo y horario. •
Nivel 3: Definido ─ Ingeniería de software personalizada y procesos de desarrollo serán
documentados y utilizados en toda la organización. •
Nivel 4: Gestionado ─ Las medidas detalladas de mejora de productos y procesos son
cuantitativamente controlada. •
Nivel 5: Optimización - 60 - ─ Mejora continua del proceso está institucionalizado.
Gobernabilidad y Gestión
ISO/IEC 21827: SSE-CMM • Sistema de Ingeniería de Seguridad – Modelo de Madurez de
la Capacidad (SSE-CMM)
0 Not Performed
1 Performed Informally
·
Base practices performed
2 Planned & Tracked
· · · ·
Committing to perform Planning performance Tracking performance Verifying performance
3 Well Defined
·
· · ·
- 61 -
Defining a standard process Tailoring standard process Using data Perform a defined process
4 Qualitatively Controlled
·
·
·
Establishing measurable quality goals Determining process capability to achieve goals Objectively managing performance
5 Continuously Improving
·
·
Establishing quantitative process effectiveness goals Improving process effectiveness
Dominio Seguridad en el Desarrollo de Software • • • • • •
- 62 -
Gobernabilidad y Gestión Seguridad y Ciclo de Vida de Sistemas Entorno de software y controles de seguridad Lenguajes de programación Base de datos y base de datos de vulnerabilidades, amenazas, Almacenamiento y Protecciones Las vulnerabilidades de software y Amenazas
Sistemas / Desarrollo del Ciclo de Vida del Software (SDLC) •
•
•
Modelos Cascada de Desarrollo •
Cascada: DOD-STD-2167A (reemplazado por MIL-STD-498 en 11/1994).
•
Modificado Cascada: MIL-STD-498 (cancelado en 5/1998)
Modelos de Desarrollo Iterativo •
Modelo espiral de Boehm.
•
Rapid Application Development (RAD) y Desarrollo de Aplicación Conjunta (JAD)
Procesos SDLC •
ISO / IEC 12207, software de procesos de ciclo de vida (IEEE / EIA 12207 EE.UU. implementación) (basado en la norma MIL-STD-499B)
•
ISO / IEC 15288, Ingeniería de Sistemas - Sistema de Procesos del Ciclo de Vida (IEEE Std 1220 a 2005, EE.UU. implementación)
- 63 -
Sistemas / Desarrollo del Ciclo de Vida del Software (SDLC)
Modelos de Desarrollo en Cascada • Cascada Clásica :
•
DoD-STD-2167A
Cascada Modificado : MILSTD-498
Requirements
Requirements
Design
Design
Implementation
Implementation
Verification
Verification
Maintenance
Maintenance
Sistemas / Desarrollo del Ciclo de Vida del Software (SDLC)
Modelo de espiral Boehm’s
- 65 -
Sistemas / Desarrollo del Ciclo de Vida del Software (SDLC)
Modelo de Desarrollo rápido de aplicaciones (RAD) Modelo •
Es iterativo, pero los ciclos espirales son mucho más pequeños.
Basado en el riesgo, sino que se centran en "lo suficientemente bueno" resultado. • Los fundamentos del SDLC siguen vigentes •
─ La gestión de requisitos, configuración y calidad, proceso de diseño,
codificación, prueba e integración, técnico y revisiones de proyectos, etc
s e l u d e h c S e r a w t f o S m t d l i h . W D A g n R i / m s n a i T a : t m o n d e / m r p e o n l a e m v / e u d D e . d u i p s a g R b .
, s l e c n . w : n o w e C w c c / n / : M e p r . t t e S h f e R - -
- 66 -
Sistemas / Desarrollo del Ciclo de Vida del Software (SDLC)
Modelo Incremental de Compromisos
- 67 -
Reference: B. Boehm, J.A. Lane, Using the Incremental Commitment Model to Integrate System Acquisition, Systems Engineering, and Software Engineering, CrossTalk, October 2007.
Dominio Seguridad en el Desarrollo de Software • • • • • •
- 69 -
Gobernabilidad y Gestión Seguridad y Ciclo de Vida de Sistemas Entorno de software y controles de seguridad Lenguajes de programación Base de datos y base de datos de vulnerabilidades, amenazas, Almacenamiento y Protecciones Las vulnerabilidades de software y Amenazas
Entorno de software y controles de seguridad
Revisión del Modelo de Arquitectura de Operaciones de los Computadores • Referencia del monitor es una abstracción conceptual de una "máquina", sistema
o software que el acceso media de objetos por temas. • Base informática de confianza es un sistema de controles de seguridad que
cumple con la confidencialidad y la integridad de los objetivos de seguridad. • Referencia del monitor es una abstracción conceptual de una "máquina", sistema
o software que el acceso media de objetos por temas. • Base informática de confianza es un sistema de controles de seguridad que
cumple con la confidencialidad y la integridad de los objetivos de seguridad. • Kernel Secure es una base de computación de confianza que implementa
referencia concepto monitor. es una base de computación de confianza que implementa referencia concepto monitor. - 70 -
Entorno de software y controles de seguridad
Trusted Computing Base (TCB) • La base informática de confianza (TCB) es la totalidad de los
mecanismos de protección dentro de un sistema de computación hardware, firmware, software, procesos, medios de transporte • La TCB mantiene la confidencialidad y la integridad de cada dominio
y controla cuatro funciones básicas: Proceso de activación – Ejecución de dominio de conmutación – Protección de la memoria – Operación de Entrada / salida –
- 71 -
Reference: DoD 5200.28-STD, Department of Defense Trusted Computer System Evaluation Criteria (TCSEC), August 15, 1983
Entorno de software y controles de seguridad
Kernel seguro • Kernel seguro es una implementación de
un mecanismo de seguimiento de referencia encargado de hacer cumplir las políticas de seguridad. • Responde a las siguientes tres (3) condiciones siguientes: Integridad. Todos los accesos a la información debe pasar por el kernel. – Aislamiento. El núcleo en sí debe ser protegido de cualquier tipo de acceso no autorizado. – Verificabilidad. El núcleo debe ser probado para cumplir con las especificaciones de diseño.
In the kernel model, the inside layer controls basic OS services, such as: - memory management, - security, - I/O, - request management, etc.
–
User applications, environment subsystems, and subsystem DLLs exist on the outer layers.
Entorno de software y controles de seguridad
Controles de seguridad para el ambiente de desarrollo • Para el examen CISSP, las contramedidas son también llamados
"controles de seguridad" ...
Controles de seguridad para Desbordamientos de búfer Protección de la memoria Controles encubiertos Canal criptografía – Técnicas de protección de contraseñas – Granularidad inadecuada de los controles – Control y separación de ambientes – Hora de Check / Tiempo de uso (TOC / TOU) – ingeniería social – Controles de copia de seguridad – Código malicioso / malware controles – Los controles de protección contra virus – Controles móviles Código – arenero – Programación Soporte de idiomas Controles de acceso – – –
- 73 -
Reference: Official (ISC)2 Guide to The CISSP CBK , H. Tipton, et. al., (ISC) 2
Dominio Seguridad en el Desarrollo de Software • • • • • •
- 74 -
Gobernabilidad y Gestión Seguridad y Ciclo de Vida de Sistemas Entorno de software y controles de seguridad Lenguajes de programación Base de datos y base de datos de vulnerabilidades, amenazas, Almacenamiento y Protecciones Las vulnerabilidades de software y Amenazas
Lenguajes de programación • Un conjunto de instrucciones y reglas que indican a la
computadora qué operaciones realizar. • Las lenguas han evolucionado en "generaciones" 1 ª Generación: Máquina idioma – 2 ª generación: El lenguaje ensamblador – 3 ª generación: Lenguaje de alto nivel –
• COBOL, BASIC, FORTRAN, Pascal, C, C+, C++, C#, Java
–
4 ª Generación: Muy lenguaje de alto nivel • SQL, JavaScript, Perl, SGML (Standard General Markup Language):
HTML, XML, SAML, XACML. –
5 ª generación: el lenguaje natural • BPEL (Business Process Execution Language), BQEL (Business
Query Language)
- 75 -
Dominio Seguridad en el Desarrollo de Software • • • • • •
- 76 -
Gobernabilidad y Gestión Seguridad y Ciclo de Vida de Sistemas Entorno de software y controles de seguridad Lenguajes de programación Base de datos y base de datos de vulnerabilidades, amenazas, Almacenamiento y Protecciones Las vulnerabilidades de software y Amenazas
Base de datos y base de datos de vulnerabilidades, amenazas, Almacenamiento y Protecciones
Sistema de Gestión de Base de Datos (DBMS) • Las bases de datos se han desarrollado para gestionar la
información de muchas fuentes en una ubicación. Eliminar la necesidad de duplicación de la información en el sistema (por lo tanto conserva el espacio de almacenamiento). – Evitar la inconsistencia en los datos, haciendo cambios en una ubicación central. –
• DBMS se compone de: hardware, software y bases de datos
utilizadas para manejar grandes conjuntos estructurados (o activo de información).
de
datos
Permite a varios usuarios y aplicaciones para acceder, ver y modificar los datos según sea necesario. – Puede aplicar restricciones de control. – Proporciona integridad de los datos y la redundancia. – Los procedimientos establecidos para la manipulación de datos. –
- 77 -
Base de datos y base de datos de vulnerabilidades, amenazas, Almacenamiento y Protecciones
Modelos DBMS • DBMS jerárquico – Almacena los registros de información (datos) en una sola – Utiliza relaciones padre / hijo – Limitado a un solo árbol, sin vínculos entre las sucursales
tabla
• DBMS de Red – –
Relación de los registros de información son del mismo tipo Todas las asociaciones son directas conecta, que forma una red
• DBMS Relacionales – –
Los registros de información están estructurados en tablas Las columnas son los "atributos", las filas son los "registros"
• DBMS Orientada a objetos y DBMS de objeto relacional – –
- 78 -
Los registros de información son objetos Relaciones de los objetos son dinámicos. La asociación se puede hacer mediante una red jerárquica, o relacional
Base de datos y base de datos de vulnerabilidades, amenazas, Almacenamiento y Protecciones
DBMS Relacional (RDBMS) • Los registros de información (datos) están estructurados en tablas de
bases de datos Las columnas (atributos) representan las variables – Las filas (registros) contiene la instancia específica de los registros de información –
• Relación atómica - cada fila / columna de posición es siempre
exactamente un valor de datos y no un conjunto de valores Attributes
Traveler Manifest Table
Tuples / Rows
Unique ID
Last Name
First Name
Port of Entry (POE)
123456-123456
Smith
John
DCA
234567-123456
Rogers
Mike
LGA
345678-123456
Johnson
John
SFO
456789-123456
Smith
Jack
SAN
Primary Key
Dominio Seguridad en el Desarrollo de Software • • • • • •
- 80 -
Gobernabilidad y Gestión Seguridad y Ciclo de Vida de Sistemas Entorno de software y controles de seguridad Lenguajes de programación Base de datos y base de datos de vulnerabilidades, amenazas, Almacenamiento y Protecciones Las vulnerabilidades de software y Amenazas
Amenazas y Vulnerabilidad
Los defectos estructurales, debilidades, errores y vulnerabilidades • Las vulnerabilidades son debilidades que permiten a los atacantes para
comprometer los objetivos de seguridad de la información y / o sistemas de información. • Los defectos pueden ser errores de diseño y / o debilidades de implementación. • Los errores son de nivel de aplicación, las debilidades
Information Systems Security Engineering (ISSE) Life Cycle Discover Information Protection Needs
Define Requirements
Inception Business Requirements Modeling Requirements and Use Cases - 81 -
Design System Architecture
Develop Detailed System Design & Security Controls
Implement System & Security Controls
Software Development: Rational Unified Process Elaboration Construction Analysis & Design
Implementation
McGraw’s Software Security Tou Touch ch Points Test Test & Test Architecture & Design Code Plans Results
Focus on software structural defects
Focus on software weaknesses
Continuous Monitoring
Transition Deployment/CM
Feedback From The Fields
Amenazas y Vulnerabilidad
Enumeración de las Ddebilidades comúnes (CWE) • CWE es un diccionario en línea de las debilidades del software.
- 82 -
Amenazas y Vulnerabilidad
Categorías de los puntos débiles del software • Interacción insegura entre los componentes –
"Las deficiencias relacionadas con formas inseguras en que los datos son enviados y recibidos entre los componentes separados, módulos, programas, procesos, amenazas o sistemas .“
• Riesgos de Gestión de los recursos –
"Las deficiencias relacionadas con la forma en que el software soft ware no gestionar adecuadamente la creación, uso, transferencia o destrucción de los recursos importantes del sistema .“
• Defensas débiles –
"Las deficiencias relacionadas con las técnicas defensivas que a menudo son mal utilizados, abusados, abusados, o simplemente ignoradas sin
formato". - 83 -
V. Dominio 5: Seguridad de las Operaciones: • Alcance
Este dominio examina los distintos controles sobre el hardware, los sistemas, los datos, y el personal con derecho de acceso sobre ellos. – Se analizan las técnicas de auditoría y monitoreo, cubriendo los posibles medios para perpetuar abuso y como reconocerlos y enfrentarlos. –
•
Algunos de los temas cubiertos son: – Responsabilidades administrativas pertenecientes al personal y sus funciones de trabajo. – Tipos de controles – Controles sobre las operaciones. – Protección de recursos. – Auditoría. – Monitoreo – Detección de intrusos. 84
Temas
Dominio Operaciones de seguridad • • • •
- 85 -
Concepto y Definición Identificación de las Necesidades de Protección de Recursos Las amenazas a las operaciones de información Controles de seguridad y contramedidas
Concepto y definición
Prácticas de seguridad? • Necesidad de conocer –
Los usuarios sólo deberían tener acceso a los objetos que les permita desempeñar sus funciones de trabajo asignados.
• Privilegios mínimos –
Los usuarios sólo debe contar con privilegios de acceso suficiente que les permita realizar su trabajo asignado.
• Separación de funciones –
Ninguna persona debe ser responsable de la aprobación de su propio trabajo.
• Rotación de Trabajo –
Para reducir el riesgo de colusión y garantizar la existencia de ningún punto único de fallo.
• Vacaciones Obligatorias – - 86 -
Para permitir que los auditores puedan revisar los registros.
Concepto y Definición
Categorías de los Controles de Seguridad • Controles de gestión (administración) –
Las políticas, normas, procesos, procedimientos y directrices • Administrative Entities: Executive-Level, Mid.-Level Management. • Entidades Administrativas: a nivel ejecutivo, Gestión de Nivel Medio.
• Controles Operacionales (y físico) –
Seguridad de Operacional (Ejecución de las Políticas , Estándares Proceso, Educación y Conciencia). • Proveedores de servicios: de InfoSec / IA del Departamento, Programa de
Seguridad, personal de seguridad, controles de documentos (o CM), recursos humanos, finanzas, etc.
–
Seguridad Física ( Facilidad o Protección de la Infraestructura) • Cerraduras, puertas, paredes, cercas, Cortina, etc • Proveedores de servicios: Servicio de Seguridad del Departamento, guardias,
perros
• Controles Técnicos (Lógico) –
Controles de acceso, identificación y autenticación, autorización, confidencialidad, integridad, disponibilidad, no repudio. • Proveedores de servicios: Arquitectura empresarial, Ingeniero de Seguridad,
CERT, SOC, NOSC, Helpdesk.
- 87 -
Concepto y definición
Tipos de controles de seguridad • Controles Directivos: a menudo llamados controles administrativos, éstos tienen por objeto
informar a los empleados de la conducta que se espera de ellos durante sus interfaces con o utilizar sistemas de información de la organización. • Controles preventivos: Incluido en los medios de prevención son las medidas físicas,
administrativas y técnicas destinadas a excluir acciones que violen la política o el aumento de riesgo para los recursos del sistema. • Controles disuasivos: implican el uso de advertencias de consecuencias a violaciones de
seguridad. • Controles Detectivos: implican el uso de las prácticas, procesos y herramientas que
identifican y posiblemente reacciona ante violaciones de seguridad. • Controles correctivos: Los controles correctivos implican también medidas físicas,
administrativas y técnicas diseñadas para reaccionar ante la detección de un incidente con el fin de reducir o eliminar la posibilidad de que el evento no deseado se repita. • Controles de recuperación: Una vez que ocurre un incidente que resulta en el compromiso
de la integridad o disponibilidad, la aplicación de controles de recuperación es necesaria para restaurar el sistema o la operación a un estado de funcionamiento normal. - 88 -
Temas
Dominio Operaciones de seguridad • • • •
- 89 -
Concepto y Definición Identificación de las Necesidades de Protección de Recursos Las amenazas a las operaciones de información Controles de seguridad y contramedidas
Identificación de las Necesidades de Protección de Recursos • La información es un activo de la organización
Clasificación de la Información • Identificar los activos de información • Identificar los activos de TI que almacenan, procesan y transmiten datos • Definir el nivel de protección – Definir los objetivos de seguridad • La confidencialidad, integridad y disponibilidad (es decir, FIPS 199) • Protección de los activos de información, es un "sistema" que se compone de: – Personas (es decir, la gestión y los controles operacionales) – Proceso (es decir, la gestión y los controles operacionales) – Tecnología (es decir, controles técnicos) –
- 90 -
Identificación de las Necesidades de Protección de Recursos
Ejemplo: Protección de los Medios
• La mayoría, si no todos los medios de almacenamiento de
datos (como documento en papel) son "móviles", excepto ... • La protección incluye: Marcado y etiquetado de los medios de comunicación – La manipulación de los medios de comunicación –
• Transporte • Acceso
• Integridad de los medios de comunicación
- 91 -
Identificación de las Necesidades de Protección de Recursos
Ejemplo: Protección de los activos de TI
• Al igual que en los medios de almacenamiento de datos, las
operaciones también se ocupa de la protección de los activos de IT (informática, redes y plataformas móviles) • La protección incluye: –
Gestión de activos de inventario (sabes lo que tienes) • Hardware, software y elementos de configuración de máquinas virtuales
(HWCIs, SWCIs y VMCIs) –
La gestión de configuración (saber cómo están configurados) • 80-90% de las vulnerabilidades conocidas se pueden atribuir a errores
de configuración y parches que faltan - 92 -
–
Gestión de incidentes
Temas
Dominio Operaciones de seguridad • • • •
- 93 -
Concepto y Definición Identificación de las Necesidades de Protección de Recursos Las amenazas a las operaciones de información Controles de seguridad y contramedidas
Las amenazas a las operaciones de información
Agentes de amenaza • Fuentes de amenaza varía, pero "las personas interesadas" y
socios de negocios son una gran preocupación ... –
En 2008, la revista CSO informó: Source of Incidents Unknown Employees Hackers Former employees Business partner Customer Other Terrorist/ foreign government
–
2008 42% 34% 28% 16% 15% 8% 8% 4%
En 2009, Verizon Data Breach en su Informe de Investigación indica: Source of Data Breach Incidents External threat sources Insiders Business partner Involved multiple parties
- 94 -
2007 N/A 48% 41% 21% 19% 9% 20% 6%
2008 73% 18% 39% 30%
Reference: The Global State of Information Security 2008. CSO Online.
2009 74% 20% 32% 39%
Las amenazas a las operaciones de información
Agentes de amenaza • Amenazas Avanzadas Persistentes (APT) es muy real
Malware es ahora una herramienta para los hackers – Ellos están robando datos ... –
- 95 -
Temas
Dominio Operaciones de seguridad • • • •
- 96 -
Concepto y Definición Identificación de las Necesidades de Protección de Recursos Las amenazas a las operaciones de información Controles de seguridad y contramedidas
Controles de seguridad y contramedidas
Controles de seguridad - Sistemas de Información Federal CLASS
Management
Operational
Technical
FAMILY
IDENTIFIER
Risk Assessment
RA
Planning
PL
System and Services Acquisition
SA
Certification, Accreditation, and Security Assessment
CA
Program Management
PM
Personnel Security
PS
Physical and Environmental Protection
PE
Contingency Planning
CP
Configuration Management
CM
Maintenance
MA
System and Information Integrity
SI
Media Protection
MP
Incident Response
IR
Awareness and Training
AT
Identification and Authentication
IA
Access Control
AC
Audit and Accountability
AU
System and Communications Protection
SC
r o f s l o r t n o C y t i r u c e S d e d n e m m o c e R
, 3 . v e R , s 3 m 5 - e 0 t 0 s y 8 S P S n o i T t S I a N m r : f o e n c I n l a e r r e e f d e e R F
Controles de seguridad y contramedidas
Controles de seguridad - Sistemas de Información Comercial ISO/IEC 27001:2005, Tecnología de la información - Técnicas de seguridad - Sistema de Gestión de la Seguridad - Requisitos CONTROL CATEGORIES
SUB-CATEGORY OF CONTROLS
Security Policy
Information security policy
Organization of Information Security
Internal organization; External parties
Asset Management
Responsibility for assets; Information classification
Human Resource Security
Prior to employment; During employment; Termination or change of employment
Physical and Environmental Security
Secure areas; Equipment security
Communications and Operations Management
Operational procedures and responsibilities; Third party service delivery management; System planning and acceptance; Protection against malicious and mobile code; Back-up; Network security management; Media handling; Exchange of information; Electronic commerce services; Monitoring
Access Control
Business requirement for access control; User a ccess management; User responsibilities; Network access control; Operating system access control; Application and information access control; Mobile computing and teleworking
Information Systems Acquisition, Development, and Maintenance
Security requirements of information systems; Correct processing in applications; Cryptographic controls; Security of system files; Security in development and support processes; Technical vulnerability management
Information Security Incident Management
Reporting information security events and weaknesses; Management of information security incidents and improvements
Business Continuity Management
Information security aspects of business continuity management
Compliance
Compliance with legal requirements; Compliance with security policies and standards, and technical compliance; Information system audit considerations
Controles de seguridad y contramedidas
Planes de Contingencia • Controles Directivos: –
Planificación de Contingencia, políticas y procedimientos.
• Controles Preventivos –
Planes de contingencia • Abordar las funciones, responsabilidades y definir "la cadena de
comandos" / estructura de informes. • Alinear los objetivos de la Planificación de Continuidad de Negocio (BCP), utilizando la Evaluación de Impacto de Empresas (BIA). • Coordinar la planificación de recuperación de desastres, COOP y respuesta a incidentes. –
Formación en Contingencia • Transversal - Entrenamiento funcional en diferentes roles. (Rotación de
puestos)
–
- 99 -
Realizar copias de seguridad de sistemas de información (nivel 0: total, parcial y gradual).
Controles de seguridad y contramedidas
Planes de Contingencia • Controles detectivos –
Prueba del Plan de Contingencia • Tutoriales (ejercicio práctico), lista de verificación, simulación o prueba
interrupción completa.
• Controles correctivos: –
Realizar actualización del Plan de Contingencia para garantizar la alineación con los objetivos de negocio y el cambio de configuración.
• Controles de recuperación: –
Recuperacion de los Sistemas de Información y su reconstrucción. • Realizar una recuperación de confiable, • Recuperar copias de seguridad de los sitios de almacenamiento (primaria,
suplente), • Sitios de procesamiento alterno, y • Restaurar o activar los servicios alternativos de telecomunicaciones. - 100 -
Controles de seguridad y contramedidas
Planificación de Contingencia - Las copias de seguridad de datos • Acciones de recuperación: • Full + copia de seguridad
diferencial
• Acciones de recuperación: la
secuencia de copias de seguridad completas + incrementales
- 101 -
Security Controls & Countermeasures Contingency Planning – Data Backups …(3/4) • Three types of electronic vaulting: –
Online tape vaulting: Data is transported through a trusted communications channel to a tape backup service.
–
Remote transaction journaling: Journal of transactions are created in the primary system and sent to the secondary system. Journal Data Transfer Primary Data Volumes
Secondary Data Volumes Journal Journal Volumes Volumes
- 102 -
Journal Journal Volumes Volumes
Controles de seguridad y contramedidas
Respuesta a Incidentes • Controles Detectivos: –
Incidente de monitoreo • Definir la gravedad del suceso, asociar y correlacionar syslogs, registros de
eventos, registros de acceso, firewall, IDS, antivirus registros del sistema. • Eventos e incidentes de seguridad del documento. Conservar las pruebas.
• Corrective controls:
Manejo de incidentes. – Notificación de incidentes. – Asistencia a la respuesta del incidente. –
- 103 -
Controles de seguridad y contramedidas
Sensibilización y formación • Controles Directivos: –
Sensibilización y formación de políticas y procedimientos.
–
Definir las necesidades de capacitación de acuerdo con los roles y responsabilidades.
–
Profesionalizar la disciplina de la certificación.
• Controles Preventivos: –
Conciencia de seguridad (todos los usuarios).
–
Formación en seguridad (basada en roles y responsabilidades).
• Controles Correctivos: –
Lleve un registro de entrenamiento de seguridad
–
Registros para asegurar la calidad de la fuerza laboral. - 104 -
VI. Dominio 6: Criptografía: • Uno de los dominios más complejos. • Alcance –
Este dominio examina los métodos y técnicas para cifrar y descifrar información con el propósito de mantener su integridad, confidencialidad y autenticidad. Esto involucra diferentes técnicas criptográficas, enfoques y tecnologías.
• Algunos de los temas cubiertos son:
Usos de la criptografía. – Conceptos, metodologías y practicas criptográficas. – Algoritmos simétricos y asimétricos. ▫Infraestructura de clave publica (PKI). – Arquitecturas para la implementación de funciones criptográficas. ▫Métodos de ataque. –
105
Dominio Cryptografia • La utilización de la criptografía
Infraestructura de Clave Pública (PKI) – HTTP, S-HTTP, IPSec, SSH, SET – Single Sign-On (SSO) – E-mail protegido –
• Tipos de ataques criptográficos – Ataques
Crypto-analíticos – Ataques criptográficos • Discusiones sobre la exportación de tecnologías de cifrado
- 106 -
Términos y Definiciones
Criptografía • Criptografía - la ciencia de la escritura secreta. • Criptología - el estudio de la criptografía y el criptoanálisis. • Criptosistema - hardware y / o software de aplicación de la
criptografía. • Algoritmo - una regla precisa (o conjunto de normas) que especifican
cómo resolver algún problema o realizar una tarea específica. • Cifrado - operación criptográfica transformación con bits o
caracteres.
- 107 -
Términos y Definiciones
Criptografía • Plaintext / Cleartext - datos en formato codificado.
Texto cifrado / Criptograma - datos codificados. • Cifrar / Encriptar / Encodear - actuar de codificación mediante clave.
Descifrar / Desencritar / Decodificar - descifrar con la clave. • Criptoanálisis - la práctica de romper criptosistemas o la obtención
de texto plano a partir del texto cifrado sin una llave. • Factor de trabajo - tiempo, esfuerzo y recursos necesarios para
romper un sistema de cifrado.
- 108 -
Términos y Definiciones
Criptografía • Clave para Crypto, un valor secreto en la forma de una secuencia de
caracteres que se utilizan para cifrar y descifrar. • Clustering Key - caso en el que dos teclas sirven para generar el texto cifrado mismo de texto plano mismo. Keyspace - Todos los posibles valores utilizados para la construcción llaves. El espacio de claves más grandes mejor. • Vector de inicialización (VI) - En criptografía, IV es un bloque de bits que se utilizan como entrada del algoritmo de inicialización para el cifrado de una secuencia de bloques de texto claro. –
El vector de inicialización (VI) aumenta la seguridad mediante la introducción de varianza criptográfico adicional y para sincronizar los equipos criptográficos
- 109 -
Términos y Definiciones
Algoritmo criptográfico y Operación • Algoritmo criptográfico - Un conjunto de funciones matemáticas y
las reglas que se lleva a texto plano y una llave como entrada y como producto de salida de texto cifrado. • Operación criptográfica - Cifrado / descifrado Encriptado - Una Actividad para convertir texto plano en texto cifrado con el fin de preservar la confidencialidad de los datos. – Descifrado - Una Actividad para convertir texto cifrado de nuevo a texto –
Encryption
Decryption
Cryptosystem
Cryptosystem
Plaintext
Ciphertext
Ciphertext
Message Sender
Plaintext
Message Recipient
Secret key
Algoritmos de cifrado
Llave de Criptografía Simétrica La criptografía simétrica clave consiste en un solo secreto (simétrica) • Tanto el remitente como el destinatario deben tener la misma clave secreta. Es utilizado por el emisor para cifrar el mensaje y el destinatario para • descifrarlo. Encryption
Decryption
Encrypt
Decrypt
Plaintext
Ciphertext
Ciphertext
Message Sender
Plaintext
Message Recipient
Secret key
Algoritmos de cifrado
Llave de Criptografía Asimétrica • Formato de mensaje seguro: Encryption
Decryption
Encrypt
Decrypt
Plaintext
Ciphertext
Ciphertext
Recipient’s public key
Plaintext
Recipient’s private key
Message Sender
Message Recipient
• Formato de mensaje abierto: Encryption
Decryption
Encrypt
Decrypt
Plaintext
Ciphertext
Sender’s private key
- 112 -
Message Sender
Ciphertext
Plaintext
Sender’s public key
Message Recipient
VII. Dominio 7: Seguridad Física: • Alcance
Este dominio examina las amenazas, riesgos, y medidas correctivas para proteger físicamente los establecimientos, el hardware, los datos, y al personal. – Esto incluye la elección del establecimiento, los métodos de autorización de acceso, y los procedimientos de seguridad física y ambiental. –
•
Algunos de los temas cubiertos son: – Áreas
restringidas, métodos y controles de autorización. ▫Controles técnicos. – Elementos de seguridad ambiental. – Amenazas a la seguridad física. – Elementos de seguridad física.
113
Temas
Dominio de Seguridad Física • Términos y Definiciones • Tipo de Amenazas y Medio Ambiente de Protección de Datos • Contramedidas de seguridad y tecnologías
- 114 -
Concepto y Definición
Categorías de los Controles de Seguridad • Controles de gestión (administración) –
Las políticas, normas, procesos, procedimientos y directrices • Administrative Entities: Executive-Level, Mid.-Level Management • Las entidades administrativas: a nivel ejecutivo, Manejo a nivel Medio
• Controles físicos –
Seguridad Física (Fondo para la Protección de Infraestructuras) • Cerraduras, puertas, paredes, cercas, Cortina, etc
• Proveedores de servicios: FOE, guardias de seguridad, perros
• Técnicos (lógico) Controles –
Controles de acceso, identificación y autorización, confidencialidad, integridad, disponibilidad, no repudio. • CCTV y cámara, IDS, sistema de detección de humedad, Fuego / Humo
Sistema de detección, extinción de incendios, sistema de control ambiental, UPS, etc • Proveedores de servicios: Arquitecto Construcción, Protección de - 115 -
Infraestructura Crítica (CIP) Ingeniero, Centro de Operaciones.
Temas
Dominio de Seguridad Física • Términos y Definiciones • Tipo de Amenazas y Medio Ambiente de Protección de Datos • Contramedidas de seguridad y tecnologías
- 116 -
Tipo de Amenazas y Medio Ambiente de Protección de Datos
Tipo de amenazas al ambiente físico • Natural / Medio Ambiente
Terremotos, inundaciones, tormentas, huracanes, incendios, nieve / hielo – Consecuencia de los fenómenos naturales –
• Hecho por el hombre / Eventos Políticos
Explosivos, empleados descontentos, acceso no autorizado, errores de los empleados, el espionaje, el incendio / fuego, sabotaje, derrames peligrosos / tóxicos, la contaminación química, el código malicioso, vandalismo y robo – Los actos de comisión u omisión –
- 117 -
Contramedidas de seguridad y tecnologías
Objetivos de Seguridad y Controles Salvaguardar y proteger los activos físicos contra daños, pérdida o robo de los eventos naturales / ambientales y hechor por el hombre/políticos • Los controles administrativos Ubicación de las instalaciones, construcción y gestión. – Riesgos de seguridad física, amenazas y contramedidas. –
• Los controles técnicos – Autenticación
de personas y detección de intrusiones. – Problemas eléctricos y medidas para combatirlo. – La prevención de incendios, detección y extinción. • Los controles físicos
Perimeter & Building Grounds. – La construcción de punto de entrada. – Sala dentro de una sala en los planos de cada piso – Centros de datos o sala de servidores de seguridad. –
- 118 -
Temas
Dominio de Seguridad Física • Términos y Definiciones • Tipo de Amenazas y Medio Ambiente de Protección de Datos • Contramedidas de seguridad y tecnologías
- 119 -
Contramedidas de seguridad y tecnologías
Enfoque Estratégico para la Seguridad Física
• Defense-in-depth
- 120 -
Ejemplos de fallo de diseño
- 121 -
Más ejemplos de fallos de Diseño
- 122 -
Contramedidas de seguridad y tecnologías
Controles Administrativos • Políticas y procedimientos de seguridad física –
Las medidas de respuesta y procedimientos • Integración con la continuidad del negocio, COOP, y los planes de
recuperación de desastres. • Las inspecciones periódicas e informes.
• La sensibilización, pruebas y ejercicios.
–
Procesos de gestión de riesgos • Evaluación de riesgos para identificar las amenazas y los agentes de amenaza • Mitigación de riesgos para planificar para el cambio y actualización de línea de
base • Evaluación de riesgos para verificar y validar las contramedidas.
– Auditorías
de seguridad y evaluaciones
• Pistas de auditoría para la evaluación de las entradas y salidas. • Realizar evaluaciones utilizando tutorial (ejercicio de escritorio), lista de - 123 -
verificación, simulación o prueba a toda interrupción.
Contramedidas de seguridad y tecnologías
Controles físicos - Construcción de instalaciones • Barreras estructurados: Norma para puertas de vehículos (Norma
UL 325) Clase I: Operación puerta residencial – Clase II: Comercial, tal como un estacionamiento o garaje – Clase III: Acceso Industrial / limitada, como un almacén, fábrica o carga de documentos – Clase IV: Acceso restringido operación que requiere la supervisión de personal de seguridad, tales como los que están en una zona de seguridad de la prisión o del aeropuerto –
- 124 -
Contramedidas de seguridad y tecnologías
ProtectionControles técnicos - Protección de entrada Entrada sistemas de control de acceso • Giratoria Las puertas giratorias que se pueden activar para "bloquear" y no permitir que personas no autorizadas a entrar o salir de las instalaciones – Para evitar " piggybacking (lleva a cuestas)". –
• Entrampadas
Enrutamiento de personas a través de dos puertas fijas
–
• A prueba de fallos –
Puerta por defecto a ser desbloqueado
• Asegurado contra fallos –
Puerta por defecto a estar encerrado.
- 125 -
Contramedidas de seguridad y tecnologías
Controles técnicos Sistemas de control de accesos de entrada - Cerraduras • Cerraduras mecánicas:
Clave – Cerraduras de combinación – Cerraduras magnéticas –
• Cerraduras electrónicas:
Cerradura de combinación – La proximidad / RFID tarjeta – Bio-métrica –
- 126 -
Contramedidas de seguridad y tecnologías de Controles técnicos: Detección de intrusos y sistemas de vigilancia • Circuito cerrado de televisión (CCTV)
Detectar la presencia de un objeto. – El reconocimiento de tipo de objeto. – Identificación de los detalles del objeto. –
- 127 -
VIII. Dominio 8: Seguridad en Internet, Redes y Telecomunicaciones: • El dominio más extenso. • Alcance –
Este dominio examina: • los sistemas de comunicaciones internos, externos, públicos y privados, • y las medidas de seguridad utilizadas para brindarle integridad, confidencialidad y disponibilidad a las trasmisiones. • Analizando las estructura de redes, tipos de dispositivos, protocolos, métodos de acceso y su administración.
• Algunos de los temas cubiertos son:
Modelos ISO/OSI – Seguridad en redes y comunicaciones. – Internet/Intranet/Extranet. – Protocolos de Seguridad. – Seguridad en el Comercio/E-mail/ etc. – Comunicaciones de voz seguras. 128 –
Temas Dominio Telecomunicaciones y de seguridad de red • Principios de Seguridad y Arquitectura de Internet Protocol (IP)
Términos y Definiciones – – – –
Tipos de estructura de datos de red Métodos y Modalidades de datos de la Red de Comunicaciones Tipos de redes de datos Tipos de datos de topología de redes
• Modelo de referencia OSI y el modelo TCP / IP – – – – – – –
- 129 -
Capa Física (Capa 1) Capa de enlace de datos (Capa 2) Capa de red (Capa 3) Capa de Transporte (Capa 4) Capa de Sesión (Capa 5) Capa de Presentación (Capa 6) Capa de aplicación (Capa 7)
Términos y definiciones
Tipos de estructuras de redes de datos • Red de área local (LAN). Principalmente se limita a una pequeña área • • •
• • •
•
geográfica o de un solo sitio (es decir, un edificio de oficinas). Red de área personal (PAN). Datos de la red de comunicaciones de corta distancia (por ejemplo, Bluetooth, Infra-Red). Red de área amplia (WAN). Las comunicaciones de datos de red para múltiples áreas de distribución a lo largo de una área geográfica. Metropolitan Area Network (MAN). Las comunicaciones de datos de red para una ciudad grande (por ejemplo Metropolitana de Washington, Nueva York o Boston, Lima, Buenos Aires etc.) Campus Area Network. Las comunicaciones de datos de red para un campus de edificios (campus universitario por ejemplo, la base militar) Internet. Sistema mundial de redes interconectadas. Intranet. Un tipo de red donde los clientes (usuarios) hacen uso de los distintos servicios internos a través de una gran variedad de redes de telecomunicaciones. Extranet. Un tipo de red donde los clientes hacen uso de servicios externos en la amplia gama de redes de telecomunicaciones. - 130 -
rm nos y e n c ones
Métodos y Modalidades de datos de la Red de Comunicaciones • Métodos de Comunicaciones de Red de Datos
Comunicaciones analógicas. Un método de interconexión de redes que utiliza la señal analógica a través de combinación de señal de amplitud, frecuencia y fase. (por ejemplo, voz, fax, modem, radio analógica, etc.) – Comunicaciones Digitales. Un método de interconexión de redes a través de la utilización de la señal digital binaria de 1/0s. –
• Modos de comunicaciones de datos de red
Comunicaciones síncronas. Modo de comunicación basándose en un conjunto de sistemas sincronizados de reloj para determinar emisor y receptor de señales de comunicación. – Comunicaciones asíncronas. Modo de comunicación controlado por un conjunto de bits de inicio y de parada en cada extremo de las señales de datos (cabeceras y pies), los paquetes de datos son discretas (es decir, encapsulados) –
- 131 -
Términos y definiciones Tipos de datos de red • Circuito de conmutación de red. Los datos se envían a través de un
circuito dedicado entre dos puntos finales. (por ejemplo, red telefónica pública conmutada (PSTN)) • Red de conmutación de paquetes. Los datos se segmentan en paquetes y se envían a través de un circuito compartido por varios suscriptores. • Circuito virtual. Los datos se envía a través de un circuito lógico creado sobre una red de conmutación de paquetes. Circuito virtual conmutado (SVC). – Circuito virtual permanente (PVC). –
- 132 -
Términos y definiciones
Tipos de topología de redes de datos Hay cinco tipos de topologías de red física: • Topología bus. • Topología Árbol. • Topología estrella. • Topología Anillo. • Topología Malla `
`
`
`
`
`
`
Data Packet
Hub
`
`
`
`
MUX
` Switch
RTR
FW
`
MUX
MUX `
`
Switch
`
`
MUX
- 133 -
`
`
MUX `
Temas Dominio Telecomunicaciones y de seguridad de red • Principios de Seguridad y Arquitectura de Internet Protocol (IP)
Términos y Definiciones – – – –
Tipos de estructura de datos de red Métodos y Modalidades de datos de la Red de Comunicaciones Tipos de redes de datos Tipos de datos de topología de redes
• Modelo de referencia OSI y el modelo TCP / IP – – – – – – –
- 134 -
Capa Física (Capa 1) Capa de enlace de datos (Capa 2) Capa de red (Capa 3) Capa de Transporte (Capa 4) Capa de Sesión (Capa 5) Capa de Presentación (Capa 6) Capa de aplicación (Capa 7)
Modelo de referencia OSI y Arquitectura del protocolo TCP/IP s y n t o i r i t u a c r e e S p O
n o i t a t i d e r c c A d n a n o i t a c i f i t r e C
r , s e s n u o d P i t O a e N r c o r O e p P C O & y t y s i t r i s u r e c u c e c e S S o r P
s e r u s a e , , m e r m s u r i t n c e a e t t h i n c e h c r u m A y o t i m e C r u t s l c e y a S S c i n h c e T
. c e S l a c i s y h P - 135 -
l , a c i y t t i e i r r r u u C t c f c e o u r S n t y o s t a i i t r l i c f c e n a t I F o r P
DEFENSE-IN-DEPTH OSI Reference Model
TCP/IP Protocol Architecture
Internet Protocol Suite
Application
Presentation
Information Assurance Technical Framework (IATF)
Defense Information Infrastructure (DII) & Security Mechanisms
Defending the Computing Environment
OS + Host-based IDS + Secure Messaging + Trusted RDBMS
NFS
Application Layer
FTP, Telnet, SMTP, HTTP, SNMP… etc .
XDR
RPC
Session
Supporting the Infrastructure Transport
Host-to-Host Transport Layer
TCP
UDP Defending the Enclave
Network
Internet Layer
Data-Link
Network Access Layer
Physical
Routing Protocols
IP
ARP, RARP
Domain Controller + Active Directory Service + DIICOE APM (+ Directory Services + X.509-based PKI/KMI/ CA)
Memorization
Away
Pizza
Sausage
Throw
Firewall + Network-based IDS + Switchs
Not
ICMP
Defending the Network & Infrastructure
Routers + KGs
Do
People
IX. Dominio 9: Recuperación ante Desastres y Planificación de la Continuidad del Negocio: • Alcance
Este dominio examina la preservación de las actividades del negocio cuando se enfrenta a una interrupción o desastre. – Esto involucra la identificación de riesgos reales, una adecuada evaluación de riesgos e implementación de medidas correctivas. –
•
Algunos de los temas cubiertos son: – Identificación de los activos del negocio y la asignación de valor. – Análisis de impacto sobre el negocio y la predicción de posibles perdidas. – Determinación de áreas prioritarias. – Administración de la crisis. – Desarrollo, implementación, testeo y mantenimiento del plan.
136
Tema
Dominio Planificación de la Continuidad de Negocio (BCP) • • • • • • • •
Términos y Definiciones Fase I: Gestión de Proyectos e Iniciación Fase II: Análisis de Impacto al Negocio (BIA) Fase III: Estrategia de Recuperación Fase IV: Plan de Diseño y Desarrollo Fase V: Implementación Fase VI: Pruebas Fase VII: El mantenimiento, sensibilización y formación
- 137 -
Términos y Definiciones
Planificación de la Continuidad de Negocio (BCP) • Planificación de la continuidad del negocio (BCP) se refiere a la
preservación y recuperación de la actividad en caso de interrupciones en las operaciones comerciales normales. • Plan de continuidad del negocio es un conjunto aprobado de
disposiciones y procedimientos que permiten a una organización: Facilitar la recuperación de las operaciones comerciales – Minimizar las pérdidas – Reparar o reemplazar las instalaciones dañadas o componentes tan pronto como sea posible. –
• Análisis de impacto al negocio (BIA) es el proceso de determinar los
efectos de una interrupción del servicio de TI para las operaciones de negocio en términos de pérdidas económicas. El BIA es una parte de BCP. - 138 -
Términos y Definiciones
Planificación de la Continuidad de Negocio (BCP) • Plan de continuidad de operaciones (COOP) se centra en la restauración de las
funciones esenciales de una organización de negocios en un sitio alternativo y la realización de esas funciones por hasta 30 días antes de volver a las operaciones normales. Es una parte de BCP.
• Plan de Reanudación del Negocio (BRP) (o Planificación de Recuperación de
Negocios) se ocupa de la restauración de los procesos de negocio después de una emergencia. A menudo es una parte del BCP.
• Plan de comunicaciones de cricis , es un plan de comunicaciones internas y
públicas en un evento de crisis. A menudo es una parte del BCP. – Interna para la coordinación de los recursos de la organización. – Externa para garantizar que las declaraciones aprobadas sólo se liberan al público. • Plan de Gestión de eventos de Crisis o CEM Es un mecanismo de respuesta que asegura la dirección y el control del sistema durante un trastorno operacional. Estos planes incluyen la identificación, la evaluación, el dictamen o la declaración del incidente, la activación y desactivación del plan y los procedimientos de restauración. - 139 -
Términos y Definiciones
Planes de Contingencia de TI • Plan de Contingencias de TIC o Plan de Continuidad del Soporte o SCP (Support
Continuity Plan), Su utilidad es proporcionar una guía que incluya los procedimientos y las capacidades para recuperar una aplicación principal o un sistema de soporte general. Su ámbito es el mismo que el Plan de Contingencias de las TIC. Trata los trastornos ocasionados en los sistemas TIC y no se enfoca en el proceso de negocios, sino que se enfoca en el desarrollo y mantenimiento de los planes de continuidad del negocio, para dar soporte general a los sistemas y a los planes de contingencia de las aplicaciones principales. Esta guía considera la planificación de la continuidad de soporte como sinónimo de planificación de contingencias de TIC. Debido a que es conveniente desarrollar un plan de contingencias de las TIC para cada aplicación principal y para cada sistema de soporte general, se puede mantener dentro del BCP de la organización varios planes de contingencia. • Plan de respuesta a Incidente cibernético , es un plan específico del BCP que establece procedimientos para hacer frente a los ataques cibernéticos contra los sistema de TI de una organización. - 140 -
Términos y Definiciones
Planes de Contingencia de TI • Planificación de recuperación de desastres (DRP), se ocupa de la recuperación
de una instalación dañada o nuevos componentes que respaldan las operaciones comerciales normales. • Plan de recuperación de desastres (DRP) es un conjunto de procedimientos que permiten a una organización: – Perform salvage & repair. – Responder a los desastres de acuerdo a un nivel predefinido de desastre. – Evaluar los daños y el tiempo estimado necesario para reanudar las operaciones. – Realizar la recuperación y reparación.
141
Términos y Definiciones
Facilidad de la Planificación de Contingencia • Plan de emergencia del ocupante (OEP) (Occupant Emergency Plan) se
indican los procedimientos de respuesta para los ocupantes de una instalación en el caso de una situación que representa una amenaza potencial para la salud y seguridad de las personas, el medio ambiente o la propiedad. Esta encaminado a proporcionar unos procedimientos coordinados para minimizar la perdida de vidas humanas o las lesiones a personas y proteger el daño a la propiedad en respuesta a amenazas físicas, Su ámbito se enfoca en el personal y en la propiedad particular para la instalación o servicio especifico. No se basa en el proceso de negocios o en la funcionalidad del sistema TIC, sino que proporciona los procedimientos de respuesta para los ocupantes de una instalación o servicio, en caso de amenaza potencial para la salud y seguridad del personal, entorno o propiedad, como un incendio, un huracán, un ataque terrorista, una emergencia medica, etc. - 142 -
Términos y Definiciones
Ciclo de Vida de la Continuidad del Negocio • Mantener las operaciones del negocio • Recuperar / reanudar las operaciones comerciales • Proteger los los activos de las empresas (personas, la reputación y
los activos tangibles)
Creación de un BCP
Proceso para la Creación de un BCP • Fase I: Iniciación del
proyecto Fase II: Análisis de Impacto en el Negocio (BIA) Fase III: Estrategia de Recuperación Fase IV: Plan de Diseño y Desarrollo Fase V: Implementación Fase VI: Pruebas Fase VII: El mantenimiento, sensibilización y formación
2
(ISC) : Project Initiation
NIST: Develop policy statement
2
(ISC) : Business Impact Analysis (BIA)
NIST: Conduct BIA
2
(ISC) : Recovery Strategy
NIST: Identify preventive controls 2
(ISC) : Plan Design & Development
NIST: Develop recovery strategy NIST: Develop contingency plan
2
(ISC) : Implement
NIST: Plan testing, training, & excercises
2
(ISC) : Testing
2
(ISC) : Continual Maintenance
NIST: Plan maintenance
X. Dominio 10: Legislación, investigaciones y Ética: • Alcance
Este dominio examina los distintos tipos de delitos, legislaciones y reglamentaciones. A su vez, se analizan técnicas en la investigación de delitos, la obtención de evidencias, y el manejo de procedimientos. – También cubre como desarrollar e implementar un programa de manejo de incidentes. –
•
Algunos de los temas cubiertos son: Legislaciones, reglamentaciones y delitos. – Licenciamiento y piratería de software. – Temas y leyes de importación y exportación de software. – Tipos de evidencias y la admisión de las mismas en caso de juicio. – Manejo de incidentes. – Ética –
145
Temas
Dominio de Investigaciones Legales, regulaciones y cumplimiento • Leyes y Cumplimiento Normativo • Investigaciones • Ética
- 146 -
Concepto
Leyes y Regulaciones Información - Requisitos de Seguridad • Las leyes y reglamentos son la fuente de los requisitos de la directiva (por ejemplo,
políticas de organización) • Requisitos de la Directiva para interpretar las leyes: – Gestión de las normas, política y procedimiento para mantener la organización y evitar que sus empleados violen la ley. – Ingeniería de seguridad y diseño para mantener • El orden de la organización y sus empleados
Law, Regulations
• Cumplimiento de la ley. Organizational Policies (Policies, Directives)
Functional Implementation Policies (Instructions, Regulations)
- 147 -
Standards (FIPS)
Process & Procedure (Instructions,
Guidelines (NIST SP 800-x, STIGs, SNAC
Leyes y Regulaciones
Categorías de la Ley • Derecho Civil: basada en reglas, no basado en precedencia. (por ejemplo,
Código de Estados Unidos (USC)) – Codificación: Las reglas escritas. (por ejemplo, Derecho Romano, código napoleónico de Francia, el Código Civil francés de 1804.) – El derecho administrativo: Reglamento que establece los estándares de desempeño y conducta. (por ejemplo, normas, reglamentos SEC Banca, Seguros, FAR, EAR, ITAR.)
Reference: - 148 -
Leyes y Regulaciones
Categorías de la Ley • Ley común: Basado en precedencia.
El derecho penal (prisión, multa $, etc) – Civil / derecho de daños (daños compensatorios, $ restitución, sin tiempo de cárcel). –
Reference: • CISSP ® All-in-One Exam Guide, S. Harris • http://www.juriglobe.ca/eng/rep-geo/cartes/amer-nord.php
- 149 -
Leyes y Regulaciones
Categorías de la Ley • Derecho referido a las costumbres : En base a sus costumbres culturales,
tradiciones, creencias comunes. (por ejemplo, China, India, las naciones musulmanas, etc) • Derecho referido a la Religión: En base a las religiones (la ley islámica, por ejemplo)
- 150 -
Leyes y Regulaciones
Categorías de la Ley • Sistema de derecho mixto : En base a la cultura, la religión, y costumbres.
Derecho civil: basado en normas. – Derecho común: Precedencia-basado. – Derecho referido a las costumbres Con base en las costumbres culturales, tradiciones y creencias comunes. – Derecho referido a la religión: Basado en las religiones. –
Reference: • CISSP ® All-in-One Exam Guide, S. Harris • http://www.juriglobe.ca/eng/index.php
- 151 -
Temas
Dominio de Investigaciones Legales, regulaciones y cumplimiento • Leyes y Cumplimiento Normativo • Investigaciones • Ética
- 152 -
Investigaciones
Proceso de Investigación del Ciclo de Vida vs Evidencia • El proceso de investigación comprende • Evidence Life Cycle
Identificación de un incidente – Preservación de la "escena“ – Reunión de pruebas – El examen de la evidencia – Análisis del incidente – Presentación de pruebas – Decisión para actuar
• Ciclo de Vida de la evidencia
–
– Adquisición
colección e identificación – Almacenamiento, conservación y transporte – Análisis – Se presenta ante el tribunal – Retorno a la víctima
Investigation Process Identification
Preservation
Collection
Collect Evidence
- 153 -
Examination
Analysi s
Presentation
Decision
Analyze Evid ence
Evidence Life Cycle
Present Evidence
Return Evidence
Temas
Dominio de Investigaciones Legales, regulaciones y cumplimiento • Leyes y Cumplimiento Normativo • Investigaciones • Ética
- 154 -
Plan de Acción de Ética • Elaborar una guía de ética computacional de la organización • Desarrollar una política de ética informática como complemento a la
política de seguridad informática • Agregar información sobre ética de la computación para el manual del empleado. • Averiguar si la organización cuenta con una política de ética empresarial, y ampliarla para incluir la ética informática. • Obtener más información acerca de la ética informática y difundir lo aprendido.
- 155 -
6. Preguntas Ejemplo: 1)
2)
Un Propósito de los Programas de concientización en Seguridad es el Modificar –
Comportamientos y actitudes del personal.
–
Gestión de la Dirección.
– Actitudes
de empleados con información sensible.
– Actitudes
corporativas acerca del cuidado de la información.
¿Cuáles son las tres categorías de delitos informáticos? ─
Acceso no autorizado
─
Actos dañinos o circulación de material dañino
─
3)
Interceptación no autorizada
¿Por qué el derecho internacional contra la delincuencia informática no se aplican a "todas las naciones"? Por que cada nación cuenta con sus propias leyes y en algunos países impacta en sus costumbres o ideologías.
3)
¿Cuál es la diferencia entre derechos de autor y secretos comerci ales ─ La protección de las patentes (derechos de autor) se adquiere mediante un trámite l egal. ─ En los secretos comerciales no es necesario un trámite
legal, con la adopción de las medidas necesarias para evitar su divulgación será suficiente. 156
5) ¿Cuál es el nombre de un plan de manejo aprobado que se refiere a la preservación y recuperación de la empresa en caso de apagones? –
Business Continuity Plan (BCP)
6) ¿Cuál es el nombre de un plan de manejo aprobado que se refiere a la restauración de las funciones de una organización de negocios esenciales en un sitio alternativo para un máximo de 30 días? –
Continuity Of Operations Plan (COOP)
7) ¿Cuál es el nombre de un plan de manejo aprobado que se ocupa de las comunicaciones internas y público en un evento de crisis? –
Crisis Communications Plan
8) ¿Cuáles son los tres tipos de copias de seguridad de datos? Copia de seguridad completa – Copia de seguridad incremental – Copia de seguridad diferencial –
157
9) ¿Cuáles son los cinco tipos de topologías de red física? –
Topología Bus, árbol, estrella, Anillo y malla
10) ¿Cuáles son dos métodos de comunicaciones de datos de la red? – Analógica –
Digital
11) ¿Cuáles son dos formas de comunicaciones de datos de la red? –
Sincrónico
– Asincrónico
12) ¿Cuál es el mecanismo de protección dentro de la computadora que se encarga de aplicar la política de seguridad? –
Kernel seguro (es decir, anillos de protección)
13) ¿Cual es el sistema (por ejemplo, hardware, firmware, sistema operativo y aplicaciones de software) que implementa el concepto de monitor de referencia? –
Trusted computing base “base confiable de la Computación”(TCB)
158
7. Información Adicional • Sitios de Interés:
http://www.isc2.org – http://www.cccure.org – http://www.sans.org – http://http://csrc.nist.gov/ • Software. – http://www.lostclusterz.com/quiz/quiz.php – http://www.boson.com – http://www.bfq.com/ – http://www.srvbooks.com/ • Libros ▫The CISSP Prep Guide - Krutz ▫ All In One CISSP Certification - Harris ▫The CISSP Official Guide. –
159