ciencia y tecnología de la información y las comunicaciones iii docente: gerald breek fuenmayor...
TRANSCRIPT
Ciencia y tecnología de la Información y las
Comunicaciones III
Docente:Gerald Breek Fuenmayor RivadeneiraIngeniero de SistemasUniversidad Nacional de Colombia
Universidad Distrital Francisco José de CaldasFacultad de Ingeniería
Programa curricular de Ingeniería de SistemasSemestre II - 2007
Técnicas involucradas en la seguridad y control de Acceso Iptables: Son espacios de tablas de Linux que almacenan reglas interpretadas por el kernel del sistema
operativo, que permiten filtrar o redirigir paquetes entrantes o salientes entre distintas redes conectadas al servidor linux donde residen dichas reglas.
Kerberos: Desarrollado por MIT, es un sistema que permite la asignación de vales (tickets) para la autenticación de usuarios y uso de recursos en un ambiente distribuido o C-S mediante criptografía simétrica (DES). Esto se hace con la ayuda de un KDC o centro de distribución de claves, como también un TGS (Sistema de gestión de vales), el cual se apoya en el anterior.
PGP: Brivacidad Bastante Buena (Pretty Good Privacy) de Network Associates, Inc TM, es una técnica que permite principalmente la transmisión/recepción de mensajes de correo electrónico u otras aplicaciones de manera cifrada, paro lo cual se requiere que tanto el emisor como el receptor conozcan las claves y algoritmos para descifrar el contenido codificado. Usualmente trabaja con RSA (Rivest-Shamir-Adleman) como su algoritmo de criptografía asimétrica.
RADIUS: (Remote Authentication Dial-In User Service) es un servicio muy utilizado para autenticar el acceso del usuario mediante un servidor que almacena de forma centralizada los datos de acceso del mismo. Usualmente se utiliza en comunicaciones punto a punto, por ejemplo al darse acceso a Internet a un usuario de un ISP.
ACL: las listas de acceso (access list) son reglas que usualmente permiten el filtrado de paquetes. Su configuración se suele hacer el enrutadores, o servidores de cortafuegos o proxys.
X.509: Es un recomendación de la UIT que define un marco de trabajo para la autenticación por medio de claves públicas. Para ello se definen los formatos de los certificados de clave pública, de atributos y las listas de certificados revocados (CRL). Define la autenticación sencilla y la fuerte (ISO 9498-4 ).
Síntesis de Exposiciones
Técnicas involucradas en la seguridad y control de Acceso LDAP: (Lightweight Directory Access Protocol), es un protocolo cliente servidor
basado en características básicas de X.500, para el acceso a servidores de directorio.
Reconocimiento de Patrones físicos: Presenta mecanismos que con ayuda de características físicas como la voz, el tacto, la cornea, etc. Permiten la autenticación de un usuario en un sistema dado. Hoy existe toda una teoría y técnicas computacionales y de electrónica que trabajan en esta área.
SSH: Secure Shell es un protocolo para el registro remoto de forma segura, también usado para otros servicios que requieran comunicación segura en una red insegura. Utiliza un tres componentes: protocolo de capa de transporte, de autenticación de usuario y de conexión. El último corre sobre el anterior y así sucesivamente.
SSL: Secure Sockets Layer es un protocolo que ofrece encripción de extremo a extremo orientada a la conexión para proveer integridad y confidencialidad entre clientes y servidores. SSL trabaja bajo HTTP y puede encapsular cualquier aplicación. Para ello trabaja por encima de un protocolo confiable de transporte, aunque muchas aplicaciones podrían trabajar mejor con IPSec. La versión 3 está siendo supedidata por TLS (seguridad en la capa de transporte) versión 1.
Técnicas involucradas en la seguridad y control de Acceso PKI: Infraestructura de clave pública. Integra todas las técnicas basadas en
el uso de claves públicas y certificados, como PGP, RSA, X.509, SSH, etc.
Centinela: Son dispositivos hardware integrado con firmware que habilitan el uso de una aplicación.
IPSec: Es una arquitectura que especifica un conjunto de protocolos y algoritmos que trabajan a nivel de red. Más adelante se profundizará en el tema.
VPN: Red privada virtual. Es una red lógica que funciona sobre una real y física mediante la encripción de la información. Esta técnica reduce costos en la medida que se aprovecha los recursos de la red pública.
AAA: Es una arquitectura que facilita el servicio de autenticación, autorización y contabilidad. Un ejemplo común es RADIUS.
Estándares en Administración de Seguridad RFC 2196 : Site Security Handbook (IETF) BS 7799 Information Security Management (British Standards
Institute) BS 7799-1 Code of Practice for ISM BS 7799-2 Specifications for ISM Systems Certificación: www.c-cure.org
ISO/IEC 17799:2005 Information technology - Security techniques - Code of practice for information security management
ISO/IEC 27001:2005 Information technology - Security techniques - Information security management systems - Requirements
Estándares en Administración de Seguridad ISO 20000
Parte 1: ISO/IEC 20000-1:2005 - Especificación. (Preparada por BSI como BS 15000-1)
Parte 2: ISO/IEC 20000-2:2005 - Código de Prácticas. (Preparada por BSI como BS 15000-2)
ITIL (Biblioteca de Infraestructura de TI ) IT Govenance Institute
Estándares en Administración de Seguridad Manual de protección de TI en Alemania
(Baseline Protection Manual) 10/2000
OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security - 2002
Organisation for Economic Co-operation and Development
Estándares en Evaluación de la Seguridad ISO 15408 (Common Criteria for Information Technology
Security Evaluation) Basado en: ITSEC (UK i90), Canadian Criteria, US Federal
Criteria (borrador / i90)
Trusted Computer System Evaluation Criteria / 85 (TCSEC o Orange Book) – Rainbow Series
CoBIT - Control Objectives for Information and related Technology. Information Systems Audit and Control Association®
Estándares para desarrollo de aplicaciones CMM: Capability Maturity Model CMMI: Capability Maturity Model
Integrated SSE-CMM: System Security Engineering
Estándares para servicios financieros ISO 11131 – Banking and Related
Financial Services – Sign-On Authentication
ISO 13569 - Banking and Related Financial Services – Information Security Guidelines
Otras normas o recomendaciones
Acquisition Risk Management (EU) Ley 527 de 1999
RFC 21961. Introduction1.1 Purpose of this Work1.2 Audience1.3 Definitions1.4 Related Work1.5 Basic Approach1.6 Risk Assessment. 2. Security Policies2.1 What is a Security Policy and Why Have One2.2 What Makes a Good Security Policy2.3 Keeping the Policy Flexible3. Architecture3.1 Objectives3.2 Network and Service Configuration3.3 Firewalls4. Security Services and Procedures
1. Introduction1.1 Purpose of this Work1.2 Audience1.3 Definitions1.4 Related Work1.5 Basic Approach1.6 Risk Assessment. 2. Security Policies2.1 What is a Security Policy and Why Have One2.2 What Makes a Good Security Policy2.3 Keeping the Policy Flexible3. Architecture3.1 Objectives3.2 Network and Service Configuration3.3 Firewalls4. Security Services and Procedures
4.1 Authentication4.2 Confidentiality4.3 Integrity4.4 Authorization4.5 Access4.6 Auditing4.7 Securing Backups5. Security Incident Handling5.1 Preparing and Planning for Incident Handling5.2 Notification and Points of Contact5.3 Identifying an Incident5.4 Handling an Incident5.5 Aftermath of an Incident5.6 Responsibilities6. Ongoing Activities7. Tools and Locations8. Mailing Lists and Other Resources9. References
4.1 Authentication4.2 Confidentiality4.3 Integrity4.4 Authorization4.5 Access4.6 Auditing4.7 Securing Backups5. Security Incident Handling5.1 Preparing and Planning for Incident Handling5.2 Notification and Points of Contact5.3 Identifying an Incident5.4 Handling an Incident5.5 Aftermath of an Incident5.6 Responsibilities6. Ongoing Activities7. Tools and Locations8. Mailing Lists and Other Resources9. References
Estándar BS – 7799:2002
Componentes principales de un SGSI Establecimiento del SGSI Implementación del SGSI Monitorear y revisar el SGSI Mantener y mejorar el SGSI
ISO/IEC 17799:2000
La seguridad de la Información se define en el estándar como la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran).
Las diez áreas de control de ISO 17799 Políticas de Seguridad Corporativa Organización de Seguridad Clasificación y Control de Activos Seguridad del Personal Seguridad Física y Ambiental Administración de Operaciones y Comunicaciones Control de Acceso Desarrollo y Mantenimiento de Sistemas Planes de Continuidad del Negocio (BCP) / Planes de
Recuperación ante desastres (DRP) Cumplimiento de Normatividad Legal
La ISO 27001:2005 le permite:
1. Diseñar una herramienta para la implementación del sistema de gestión de seguridad de la información teniendo en cuenta la política, la estructura organizativa, los procedimientos y los recursos.
2. A la dirección gestionar las políticas y los objetivos de seguridad en términos de integridad, confidencialidad y disponibilidad.
3. Determinar y analizar los riesgos, identificando amenazas, vulnerabilidades e impactos en la actividad empresarial.
4. Prevenir o reducir eficazmente el nivel de riesgo mediante la implantación de los controles adecuados, preparando la organización ante posibles emergencias, garantizando la continuidad del negocio.
Etapas para obtener el Certificado ICONTEC de Gestión de la Seguridad de la Información:
1. Planificación. Se realiza un análisis documental (evaluación de riesgos, política, alcance, declaración de aplicabilidad y procesos) con respecto a los requisitos de la ISO 27001.
2. Auditoría. El equipo auditor comprueba la implementación eficaz del Sistema de Gestión de la Seguridad de la Información de la empresa.
3. Otorgamiento. Se otorga el certificado por un periodo de tres años.
4. Seguimiento. Se efectúan auditorías de seguimiento con el fin de comprobar que se mantienen las condiciones que hicieron a la empresa merecedora de la certificación.
Baseline Protection Manual 1 Finding Your Way Around the IT Baseline Protection
Manual 1.1 IT Baseline Protection: The Aim, Concept and Central
Idea 1.2 Structure and Interpretation of the Manual 1.3 Using the IT Baseline Protection Manual 1.4 Brief Outline of Existing Modules 1.5 Additional Aids 1.6 Information Flow and Points of Contact 2 Using the IT Baseline Protection Manual 2.1 IT Structure Analysis 2.2 Assessment of protection requirements 2.3 IT Baseline Protection Modelling 2.4 Basic Security Check 2.5 Supplementary Security Analysis 2.6 Implementation of IT Security Safeguards 2.7 IT Baseline Protection Certificate 3 IT Baseline Protection of Generic Components 3.0 IT Security Management 3.1 Organisation 3.2 Personnel 3.3 Contingency Planning Concept 3.4 Data Backup Policy 3.5 Data Privacy Protection 3.6 Computer Virus Protection Concept 3.7 Crypto Concept 3.8 Handling of Security Incidents 4 Infrastructure 4.1 Buildings 4.2 Cabling 4.3 Rooms 4.3.1 Offices 4.3.2 Server Rooms 4.3.3 Storage Media Archives
1 Finding Your Way Around the IT Baseline Protection Manual
1.1 IT Baseline Protection: The Aim, Concept and Central Idea
1.2 Structure and Interpretation of the Manual 1.3 Using the IT Baseline Protection Manual 1.4 Brief Outline of Existing Modules 1.5 Additional Aids 1.6 Information Flow and Points of Contact 2 Using the IT Baseline Protection Manual 2.1 IT Structure Analysis 2.2 Assessment of protection requirements 2.3 IT Baseline Protection Modelling 2.4 Basic Security Check 2.5 Supplementary Security Analysis 2.6 Implementation of IT Security Safeguards 2.7 IT Baseline Protection Certificate 3 IT Baseline Protection of Generic Components 3.0 IT Security Management 3.1 Organisation 3.2 Personnel 3.3 Contingency Planning Concept 3.4 Data Backup Policy 3.5 Data Privacy Protection 3.6 Computer Virus Protection Concept 3.7 Crypto Concept 3.8 Handling of Security Incidents 4 Infrastructure 4.1 Buildings 4.2 Cabling 4.3 Rooms 4.3.1 Offices 4.3.2 Server Rooms 4.3.3 Storage Media Archives
4.3.4 Technical Infrastructure Rooms4.4 Protective Cabinets4.5 Working Place At Home (Telecommuting)5 Non-Networked Systems5.1 DOS PC (Single User)5.2 UNIX System5.3 Laptop PC5.4 PCs With a Non-Constant User Population5.5 PC under Windows NT5.6 PC with Windows 955.99 Stand-Alone IT Systems Generally6 Networked Systems6.1 Server-Supported Network6.2 UNIX Server6.3 Peer-to-Peer Network6.4 Windows NT Network6.5 Novell Netware 3.x6.6 Novell Netware 4.x6.7 Heterogeneous Networks6.8 Network and System Management7 Data Transmission Systems7.1 Exchange of Data Media7.2 Modem7.3 Firewall7.4 E-Mail7.5 WWW Server7.6 Remote Access8 Telecommunications8.1 Telecommunications System (Private Branch Exchange, PBX)8.2 Fax Machine8.3 Answering Machine8.4 LAN connection of an IT system via ISDN8.5 Fax Servers8.6 Mobile Telephones9 Other IT Components
4.3.4 Technical Infrastructure Rooms4.4 Protective Cabinets4.5 Working Place At Home (Telecommuting)5 Non-Networked Systems5.1 DOS PC (Single User)5.2 UNIX System5.3 Laptop PC5.4 PCs With a Non-Constant User Population5.5 PC under Windows NT5.6 PC with Windows 955.99 Stand-Alone IT Systems Generally6 Networked Systems6.1 Server-Supported Network6.2 UNIX Server6.3 Peer-to-Peer Network6.4 Windows NT Network6.5 Novell Netware 3.x6.6 Novell Netware 4.x6.7 Heterogeneous Networks6.8 Network and System Management7 Data Transmission Systems7.1 Exchange of Data Media7.2 Modem7.3 Firewall7.4 E-Mail7.5 WWW Server7.6 Remote Access8 Telecommunications8.1 Telecommunications System (Private Branch Exchange, PBX)8.2 Fax Machine8.3 Answering Machine8.4 LAN connection of an IT system via ISDN8.5 Fax Servers8.6 Mobile Telephones9 Other IT Components
Standard Software 9.2 Databases 9.3 Telecommuting
Catalogues of Safeguards and Threats
Safeguards Catalogues Threats Catalogues
S 1 Infrastructure T 1 Force Majeure S 2 Organisation T 2 Organisational Shortcomings S 3 Personnel T 3 Human Error S 4 Hardware & Software T 4 Technical Failure S 5 Communication T 5 Deliberate Acts S 6 Contingency planning
Baseline Protection Manual
OECD: DIRECTRICES PARA LA SEGURIDAD DE
SISTEMAS Y REDES DE INFORMACIÓN
HACIA UNA CULTURA DE SEGURIDAD PREFACIO HACIA UNA CULTURA DE SEGURIDAD
PROPÓSITOS PRINCIPIOS
RECOMENDACIÓN DEL CONSEJO HISTORIA DEL PROCEDIMIENTO
ISO 2700x : 2005
Sistema de Gestión de la Seguridad
El estándar ISO/IEC 27001:2005
ISO/IEC 27001:2005 “Information technology – Security Techniques – Information Security Management Systems (ISMS) - Requirements”.
Presenta un modelo para el establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejora de un sistema de gestión de seguridad de la información dentro de una organización.
De acuerdo a las recomendaciones del estándar ISO/IEC 17799:2005
Basado en el estándar desarrollado por the British Standards Institution como BS 7799-2
El estándar ISO/IEC 27001:2005 El primero de una familia de estándares de seguridad de la
información que soportarán y guiarán la protección de activos de información en el área de las tecnologías de la información.
ISO/IEC 27000 Fundamentals and Vocabulary
ISO/IEC 27001 ISMS Requeriments
ISO/IEC 27002 Code of practices for information security management
ISO/IEC 27003 ISMS Implementation Guidance
ISO/IEC 27004 Information Security Management Measurement
ISO/IEC 27005 Information Security Risk Management
El estándar ISO/IEC 27001:2005 ¿Qué es un sistema de gestión de seguridad de la información ?
Establece las políticas de seguridad de la información de una organización y sus objetivos.
Especifica cómo serán alcanzados esos objetivos
Estructura organizacional
Planificación de actividades
Responsabilidades
Prácticas, procedimientos, procesos
Recursos
Establece una serie de documentos/documentación obligatoria.
Modelo basado en procesos
Cualquier actividad gestionada (seguridad de la información) que emplea recursos para
Transformar entradas en salidas (objetivos de seguridad)
El proceso de gestión de seguridad de la información se desarrolla siguiendo el modelo
Plan-Do-Check-Act (PDCA) de cuatro fases:
Plan: Establecer el ISMS Do: Implementar y operar el ISMS Check: Monitorear y revisar el ISMS Act: Mantener y mejorar el ISMS
PLAN: Establecer el ISMS Definir el alcance del ISMS y las políticas de seguridad
de la organización.
Identificar y realizar un análisis de riesgos a los activos de información relevantes.
Seleccionar los objetivos de control y controles relevantes para el manejo de los riesgos.
Preparar el documento de aplicabilidad o alcance del estándar.
Cláusulas 4, 5, 6, 7 y 8 del estándar son obligatorias en caso de buscar estar conforme al mismo.
DO: Implementar y operar el ISMS
Implementar los controles (procesos, procedimientos, tecnología, concientización del recurso humano) para mitigar los riesgos y cumplir con los objetivos de control seleccionados
CHECK:Monitorear y revisar el ISMS
Revisar periódicamente la eficiencia del ISMS (políticas, procesos, procedimientos, tecnología, formación) .
Revisión de los niveles de riesgo aceptable y riesgo residual.
Realizar auditorias internas y externas al ISMS
ACT: Mantener y mejorar el ISMS
Ejecutar acciones preventivas y correctivas para la mejora continua del ISMS.
Validar las mejoras