Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor...

31
Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor Rivadeneira Ingeniero de Sistemas Universidad Nacional de Colombia Universidad Distrital Francisco José de Caldas Facultad de Ingeniería Programa curricular de Ingeniería de Sistemas Semestre II - 2007

Transcript of Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor...

Page 1: Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor Rivadeneira Ingeniero de Sistemas Universidad Nacional.

Ciencia y tecnología de la Información y las

Comunicaciones III

Docente:Gerald Breek Fuenmayor RivadeneiraIngeniero de SistemasUniversidad Nacional de Colombia

Universidad Distrital Francisco José de CaldasFacultad de Ingeniería

Programa curricular de Ingeniería de SistemasSemestre II - 2007

Page 2: Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor Rivadeneira Ingeniero de Sistemas Universidad Nacional.

Técnicas involucradas en la seguridad y control de Acceso Iptables: Son espacios de tablas de Linux que almacenan reglas interpretadas por el kernel del sistema

operativo, que permiten filtrar o redirigir paquetes entrantes o salientes entre distintas redes conectadas al servidor linux donde residen dichas reglas.

Kerberos: Desarrollado por MIT, es un sistema que permite la asignación de vales (tickets) para la autenticación de usuarios y uso de recursos en un ambiente distribuido o C-S mediante criptografía simétrica (DES). Esto se hace con la ayuda de un KDC o centro de distribución de claves, como también un TGS (Sistema de gestión de vales), el cual se apoya en el anterior.

PGP: Brivacidad Bastante Buena (Pretty Good Privacy) de Network Associates, Inc TM, es una técnica que permite principalmente la transmisión/recepción de mensajes de correo electrónico u otras aplicaciones de manera cifrada, paro lo cual se requiere que tanto el emisor como el receptor conozcan las claves y algoritmos para descifrar el contenido codificado. Usualmente trabaja con RSA (Rivest-Shamir-Adleman) como su algoritmo de criptografía asimétrica.

RADIUS: (Remote Authentication Dial-In User Service) es un servicio muy utilizado para autenticar el acceso del usuario mediante un servidor que almacena de forma centralizada los datos de acceso del mismo. Usualmente se utiliza en comunicaciones punto a punto, por ejemplo al darse acceso a Internet a un usuario de un ISP.

ACL: las listas de acceso (access list) son reglas que usualmente permiten el filtrado de paquetes. Su configuración se suele hacer el enrutadores, o servidores de cortafuegos o proxys.

X.509: Es un recomendación de la UIT que define un marco de trabajo para la autenticación por medio de claves públicas. Para ello se definen los formatos de los certificados de clave pública, de atributos y las listas de certificados revocados (CRL). Define la autenticación sencilla y la fuerte (ISO 9498-4 ).

Síntesis de Exposiciones

Page 3: Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor Rivadeneira Ingeniero de Sistemas Universidad Nacional.

Técnicas involucradas en la seguridad y control de Acceso LDAP: (Lightweight Directory Access Protocol), es un protocolo cliente servidor

basado en características básicas de X.500, para el acceso a servidores de directorio.

Reconocimiento de Patrones físicos: Presenta mecanismos que con ayuda de características físicas como la voz, el tacto, la cornea, etc. Permiten la autenticación de un usuario en un sistema dado. Hoy existe toda una teoría y técnicas computacionales y de electrónica que trabajan en esta área.

SSH: Secure Shell es un protocolo para el registro remoto de forma segura, también usado para otros servicios que requieran comunicación segura en una red insegura. Utiliza un tres componentes: protocolo de capa de transporte, de autenticación de usuario y de conexión. El último corre sobre el anterior y así sucesivamente.

SSL: Secure Sockets Layer es un protocolo que ofrece encripción de extremo a extremo orientada a la conexión para proveer integridad y confidencialidad entre clientes y servidores. SSL trabaja bajo HTTP y puede encapsular cualquier aplicación. Para ello trabaja por encima de un protocolo confiable de transporte, aunque muchas aplicaciones podrían trabajar mejor con IPSec. La versión 3 está siendo supedidata por TLS (seguridad en la capa de transporte) versión 1.

Page 4: Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor Rivadeneira Ingeniero de Sistemas Universidad Nacional.

Técnicas involucradas en la seguridad y control de Acceso PKI: Infraestructura de clave pública. Integra todas las técnicas basadas en

el uso de claves públicas y certificados, como PGP, RSA, X.509, SSH, etc.

Centinela: Son dispositivos hardware integrado con firmware que habilitan el uso de una aplicación.

IPSec: Es una arquitectura que especifica un conjunto de protocolos y algoritmos que trabajan a nivel de red. Más adelante se profundizará en el tema.

VPN: Red privada virtual. Es una red lógica que funciona sobre una real y física mediante la encripción de la información. Esta técnica reduce costos en la medida que se aprovecha los recursos de la red pública.

AAA: Es una arquitectura que facilita el servicio de autenticación, autorización y contabilidad. Un ejemplo común es RADIUS.

Page 5: Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor Rivadeneira Ingeniero de Sistemas Universidad Nacional.

Estándares en Administración de Seguridad RFC 2196 : Site Security Handbook (IETF) BS 7799 Information Security Management (British Standards

Institute) BS 7799-1 Code of Practice for ISM BS 7799-2 Specifications for ISM Systems Certificación: www.c-cure.org

ISO/IEC 17799:2005 Information technology - Security techniques - Code of practice for information security management

ISO/IEC 27001:2005 Information technology - Security techniques - Information security management systems - Requirements

Page 6: Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor Rivadeneira Ingeniero de Sistemas Universidad Nacional.

Estándares en Administración de Seguridad ISO 20000

Parte 1: ISO/IEC 20000-1:2005 - Especificación. (Preparada por BSI como BS 15000-1)

Parte 2: ISO/IEC 20000-2:2005 - Código de Prácticas. (Preparada por BSI como BS 15000-2)

ITIL (Biblioteca de Infraestructura de TI ) IT Govenance Institute

Page 7: Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor Rivadeneira Ingeniero de Sistemas Universidad Nacional.

Estándares en Administración de Seguridad Manual de protección de TI en Alemania

(Baseline Protection Manual) 10/2000

OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security - 2002

Organisation for Economic Co-operation and Development

Page 8: Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor Rivadeneira Ingeniero de Sistemas Universidad Nacional.

Estándares en Evaluación de la Seguridad ISO 15408 (Common Criteria for Information Technology

Security Evaluation) Basado en: ITSEC (UK i90), Canadian Criteria, US Federal

Criteria (borrador / i90)

Trusted Computer System Evaluation Criteria / 85 (TCSEC o Orange Book) – Rainbow Series

CoBIT - Control Objectives for Information and related Technology. Information Systems Audit and Control Association®

Page 9: Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor Rivadeneira Ingeniero de Sistemas Universidad Nacional.

Estándares para desarrollo de aplicaciones CMM: Capability Maturity Model CMMI: Capability Maturity Model

Integrated SSE-CMM: System Security Engineering

Page 10: Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor Rivadeneira Ingeniero de Sistemas Universidad Nacional.

Estándares para servicios financieros ISO 11131 – Banking and Related

Financial Services – Sign-On Authentication

ISO 13569 - Banking and Related Financial Services – Information Security Guidelines

Page 11: Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor Rivadeneira Ingeniero de Sistemas Universidad Nacional.

Otras normas o recomendaciones

Acquisition Risk Management (EU) Ley 527 de 1999

Page 12: Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor Rivadeneira Ingeniero de Sistemas Universidad Nacional.

RFC 21961. Introduction1.1 Purpose of this Work1.2 Audience1.3 Definitions1.4 Related Work1.5 Basic Approach1.6 Risk Assessment. 2. Security Policies2.1 What is a Security Policy and Why Have One2.2 What Makes a Good Security Policy2.3 Keeping the Policy Flexible3. Architecture3.1 Objectives3.2 Network and Service Configuration3.3 Firewalls4. Security Services and Procedures

1. Introduction1.1 Purpose of this Work1.2 Audience1.3 Definitions1.4 Related Work1.5 Basic Approach1.6 Risk Assessment. 2. Security Policies2.1 What is a Security Policy and Why Have One2.2 What Makes a Good Security Policy2.3 Keeping the Policy Flexible3. Architecture3.1 Objectives3.2 Network and Service Configuration3.3 Firewalls4. Security Services and Procedures

4.1 Authentication4.2 Confidentiality4.3 Integrity4.4 Authorization4.5 Access4.6 Auditing4.7 Securing Backups5. Security Incident Handling5.1 Preparing and Planning for Incident Handling5.2 Notification and Points of Contact5.3 Identifying an Incident5.4 Handling an Incident5.5 Aftermath of an Incident5.6 Responsibilities6. Ongoing Activities7. Tools and Locations8. Mailing Lists and Other Resources9. References

4.1 Authentication4.2 Confidentiality4.3 Integrity4.4 Authorization4.5 Access4.6 Auditing4.7 Securing Backups5. Security Incident Handling5.1 Preparing and Planning for Incident Handling5.2 Notification and Points of Contact5.3 Identifying an Incident5.4 Handling an Incident5.5 Aftermath of an Incident5.6 Responsibilities6. Ongoing Activities7. Tools and Locations8. Mailing Lists and Other Resources9. References

Page 13: Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor Rivadeneira Ingeniero de Sistemas Universidad Nacional.

Estándar BS – 7799:2002

Componentes principales de un  SGSI Establecimiento del SGSI Implementación del SGSI Monitorear y revisar el SGSI Mantener y mejorar el SGSI

Page 14: Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor Rivadeneira Ingeniero de Sistemas Universidad Nacional.

ISO/IEC 17799:2000

La seguridad de la Información se define en el estándar como la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran).

Page 15: Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor Rivadeneira Ingeniero de Sistemas Universidad Nacional.

Las diez áreas de control de ISO 17799 Políticas de Seguridad Corporativa Organización de Seguridad Clasificación y Control de Activos Seguridad del Personal Seguridad Física y Ambiental Administración de Operaciones y Comunicaciones Control de Acceso Desarrollo y Mantenimiento de Sistemas Planes de Continuidad del Negocio (BCP) / Planes de

Recuperación ante desastres (DRP) Cumplimiento de Normatividad Legal

Page 16: Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor Rivadeneira Ingeniero de Sistemas Universidad Nacional.

La ISO 27001:2005 le permite:

1. Diseñar una herramienta para la implementación del sistema de gestión de seguridad de la información teniendo en cuenta la política, la estructura organizativa, los procedimientos y los recursos.

2. A la dirección gestionar las políticas y los objetivos de seguridad en términos de integridad, confidencialidad y disponibilidad.

3. Determinar y analizar los riesgos, identificando amenazas, vulnerabilidades e impactos en la actividad empresarial.

4. Prevenir o reducir eficazmente el nivel de riesgo mediante la implantación de los controles adecuados, preparando la organización ante posibles emergencias, garantizando la continuidad del negocio.

Page 17: Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor Rivadeneira Ingeniero de Sistemas Universidad Nacional.

Etapas para obtener el Certificado ICONTEC de Gestión de la Seguridad de la Información:

1. Planificación. Se realiza un análisis documental (evaluación de riesgos, política, alcance, declaración de aplicabilidad y procesos) con respecto a los requisitos de la ISO 27001.

2. Auditoría. El equipo auditor comprueba la implementación eficaz del Sistema de Gestión de la Seguridad de la Información de la empresa.

3. Otorgamiento. Se otorga el certificado por un periodo de tres años.

4. Seguimiento. Se efectúan auditorías de seguimiento con el fin de comprobar que se mantienen las condiciones que hicieron a la empresa merecedora de la certificación.

Page 18: Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor Rivadeneira Ingeniero de Sistemas Universidad Nacional.

Baseline Protection Manual 1 Finding Your Way Around the IT Baseline Protection

Manual 1.1 IT Baseline Protection: The Aim, Concept and Central

Idea 1.2 Structure and Interpretation of the Manual 1.3 Using the IT Baseline Protection Manual 1.4 Brief Outline of Existing Modules 1.5 Additional Aids 1.6 Information Flow and Points of Contact 2 Using the IT Baseline Protection Manual 2.1 IT Structure Analysis 2.2 Assessment of protection requirements 2.3 IT Baseline Protection Modelling 2.4 Basic Security Check 2.5 Supplementary Security Analysis 2.6 Implementation of IT Security Safeguards 2.7 IT Baseline Protection Certificate 3 IT Baseline Protection of Generic Components 3.0 IT Security Management 3.1 Organisation 3.2 Personnel 3.3 Contingency Planning Concept 3.4 Data Backup Policy 3.5 Data Privacy Protection 3.6 Computer Virus Protection Concept 3.7 Crypto Concept 3.8 Handling of Security Incidents 4 Infrastructure 4.1 Buildings 4.2 Cabling 4.3 Rooms 4.3.1 Offices 4.3.2 Server Rooms 4.3.3 Storage Media Archives

1 Finding Your Way Around the IT Baseline Protection Manual

1.1 IT Baseline Protection: The Aim, Concept and Central Idea

1.2 Structure and Interpretation of the Manual 1.3 Using the IT Baseline Protection Manual 1.4 Brief Outline of Existing Modules 1.5 Additional Aids 1.6 Information Flow and Points of Contact 2 Using the IT Baseline Protection Manual 2.1 IT Structure Analysis 2.2 Assessment of protection requirements 2.3 IT Baseline Protection Modelling 2.4 Basic Security Check 2.5 Supplementary Security Analysis 2.6 Implementation of IT Security Safeguards 2.7 IT Baseline Protection Certificate 3 IT Baseline Protection of Generic Components 3.0 IT Security Management 3.1 Organisation 3.2 Personnel 3.3 Contingency Planning Concept 3.4 Data Backup Policy 3.5 Data Privacy Protection 3.6 Computer Virus Protection Concept 3.7 Crypto Concept 3.8 Handling of Security Incidents 4 Infrastructure 4.1 Buildings 4.2 Cabling 4.3 Rooms 4.3.1 Offices 4.3.2 Server Rooms 4.3.3 Storage Media Archives

4.3.4 Technical Infrastructure Rooms4.4 Protective Cabinets4.5 Working Place At Home (Telecommuting)5 Non-Networked Systems5.1 DOS PC (Single User)5.2 UNIX System5.3 Laptop PC5.4 PCs With a Non-Constant User Population5.5 PC under Windows NT5.6 PC with Windows 955.99 Stand-Alone IT Systems Generally6 Networked Systems6.1 Server-Supported Network6.2 UNIX Server6.3 Peer-to-Peer Network6.4 Windows NT Network6.5 Novell Netware 3.x6.6 Novell Netware 4.x6.7 Heterogeneous Networks6.8 Network and System Management7 Data Transmission Systems7.1 Exchange of Data Media7.2 Modem7.3 Firewall7.4 E-Mail7.5 WWW Server7.6 Remote Access8 Telecommunications8.1 Telecommunications System (Private Branch Exchange, PBX)8.2 Fax Machine8.3 Answering Machine8.4 LAN connection of an IT system via ISDN8.5 Fax Servers8.6 Mobile Telephones9 Other IT Components

4.3.4 Technical Infrastructure Rooms4.4 Protective Cabinets4.5 Working Place At Home (Telecommuting)5 Non-Networked Systems5.1 DOS PC (Single User)5.2 UNIX System5.3 Laptop PC5.4 PCs With a Non-Constant User Population5.5 PC under Windows NT5.6 PC with Windows 955.99 Stand-Alone IT Systems Generally6 Networked Systems6.1 Server-Supported Network6.2 UNIX Server6.3 Peer-to-Peer Network6.4 Windows NT Network6.5 Novell Netware 3.x6.6 Novell Netware 4.x6.7 Heterogeneous Networks6.8 Network and System Management7 Data Transmission Systems7.1 Exchange of Data Media7.2 Modem7.3 Firewall7.4 E-Mail7.5 WWW Server7.6 Remote Access8 Telecommunications8.1 Telecommunications System (Private Branch Exchange, PBX)8.2 Fax Machine8.3 Answering Machine8.4 LAN connection of an IT system via ISDN8.5 Fax Servers8.6 Mobile Telephones9 Other IT Components

Page 19: Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor Rivadeneira Ingeniero de Sistemas Universidad Nacional.

Standard Software 9.2 Databases 9.3 Telecommuting

Catalogues of Safeguards and Threats

Safeguards Catalogues Threats Catalogues

S 1 Infrastructure T 1 Force Majeure S 2 Organisation T 2 Organisational Shortcomings S 3 Personnel T 3 Human Error S 4 Hardware & Software T 4 Technical Failure S 5 Communication T 5 Deliberate Acts S 6 Contingency planning

Baseline Protection Manual

Page 20: Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor Rivadeneira Ingeniero de Sistemas Universidad Nacional.

OECD: DIRECTRICES PARA LA SEGURIDAD DE

SISTEMAS Y REDES DE INFORMACIÓN

HACIA UNA CULTURA DE SEGURIDAD PREFACIO HACIA UNA CULTURA DE SEGURIDAD

PROPÓSITOS PRINCIPIOS

RECOMENDACIÓN DEL CONSEJO HISTORIA DEL PROCEDIMIENTO

Page 21: Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor Rivadeneira Ingeniero de Sistemas Universidad Nacional.

ISO 2700x : 2005

Sistema de Gestión de la Seguridad

Page 22: Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor Rivadeneira Ingeniero de Sistemas Universidad Nacional.

El estándar ISO/IEC 27001:2005

ISO/IEC 27001:2005 “Information technology – Security Techniques – Information Security Management Systems (ISMS) - Requirements”.

Presenta un modelo para el establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejora de un sistema de gestión de seguridad de la información dentro de una organización.

De acuerdo a las recomendaciones del estándar ISO/IEC 17799:2005

Basado en el estándar desarrollado por the British Standards Institution como BS 7799-2

Page 23: Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor Rivadeneira Ingeniero de Sistemas Universidad Nacional.

El estándar ISO/IEC 27001:2005 El primero de una familia de estándares de seguridad de la

información que soportarán y guiarán la protección de activos de información en el área de las tecnologías de la información.

ISO/IEC 27000 Fundamentals and Vocabulary

ISO/IEC 27001 ISMS Requeriments

ISO/IEC 27002 Code of practices for information security management

ISO/IEC 27003 ISMS Implementation Guidance

ISO/IEC 27004 Information Security Management Measurement

ISO/IEC 27005 Information Security Risk Management

Page 24: Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor Rivadeneira Ingeniero de Sistemas Universidad Nacional.

El estándar ISO/IEC 27001:2005 ¿Qué es un sistema de gestión de seguridad de la información ?

Establece las políticas de seguridad de la información de una organización y sus objetivos.

Especifica cómo serán alcanzados esos objetivos

Estructura organizacional

Planificación de actividades

Responsabilidades

Prácticas, procedimientos, procesos

Recursos

Establece una serie de documentos/documentación obligatoria.

Page 25: Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor Rivadeneira Ingeniero de Sistemas Universidad Nacional.

Modelo basado en procesos

Cualquier actividad gestionada (seguridad de la información) que emplea recursos para

Transformar entradas en salidas (objetivos de seguridad)

El proceso de gestión de seguridad de la información se desarrolla siguiendo el modelo

Page 26: Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor Rivadeneira Ingeniero de Sistemas Universidad Nacional.

Plan-Do-Check-Act (PDCA) de cuatro fases:

Plan: Establecer el ISMS Do: Implementar y operar el ISMS Check: Monitorear y revisar el ISMS Act: Mantener y mejorar el ISMS

Page 27: Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor Rivadeneira Ingeniero de Sistemas Universidad Nacional.
Page 28: Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor Rivadeneira Ingeniero de Sistemas Universidad Nacional.

PLAN: Establecer el ISMS Definir el alcance del ISMS y las políticas de seguridad

de la organización.

Identificar y realizar un análisis de riesgos a los activos de información relevantes.

Seleccionar los objetivos de control y controles relevantes para el manejo de los riesgos.

Preparar el documento de aplicabilidad o alcance del estándar.

Cláusulas 4, 5, 6, 7 y 8 del estándar son obligatorias en caso de buscar estar conforme al mismo.

Page 29: Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor Rivadeneira Ingeniero de Sistemas Universidad Nacional.

DO: Implementar y operar el ISMS

Implementar los controles (procesos, procedimientos, tecnología, concientización del recurso humano) para mitigar los riesgos y cumplir con los objetivos de control seleccionados

Page 30: Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor Rivadeneira Ingeniero de Sistemas Universidad Nacional.

CHECK:Monitorear y revisar el ISMS

Revisar periódicamente la eficiencia del ISMS (políticas, procesos, procedimientos, tecnología, formación) .

Revisión de los niveles de riesgo aceptable y riesgo residual.

Realizar auditorias internas y externas al ISMS

Page 31: Ciencia y tecnología de la Información y las Comunicaciones III Docente: Gerald Breek Fuenmayor Rivadeneira Ingeniero de Sistemas Universidad Nacional.

ACT: Mantener y mejorar el ISMS

Ejecutar acciones preventivas y correctivas para la mejora continua del ISMS.

Validar las mejoras