Conceptos y Pricipios de Gestion de Seguridad

8/6/2019 Conceptos y Pricipios de Gestion de Seguridad

1/25

Conceptos y Pricipios de

Gestion de Seguridad

Certificacin como profesional en

seguridad de sistemas de informacinCISSP (certified information systems

security profesional)

Preparado por : Leonardo Bogot GmezBogot, 17 de Marzo de 2003


2/25

CISSP

Certified information systems security profesional

Conceptos y Pricipios de Gestion

de SeguridadObjetivo:

Examinar el dominio de InfoSec en manejo de seguridad, el

cual incorpora la identificacin de datos de seguridad en laimplementacin de polticas, stndares, guias y

procedimientos.


3/25


de Seguridad

Confidentiality

Integrity

Availability Privacy

Authorization

Identification

Authentication

Accountability Non-repudiation

Documentation

Audit

CIA Triad Confidentiality, Integrity, & Availability.


4/25

Protection Mechanisms Layering

Abstraction

Data hiding

Encryption

Change Control/Management Hardware Configuration

System & Application Software

Change Control Process - Applying to introduce a change Cataloging the intended change

Scheduling the change

Implementing the change

Reporting the change to appropriate parties


de Seguridad


5/25

Conceptos y Pricipios de Gestion de Seguridad

Confidencialidad (Confidentiality)Los recursos slo podrn ser utilizados por las entidades

autorizadas.La informacin slo ser consultada por usuariosautorizados.Intenta prevenir la divulgacin no autorizada en forma intencional o no

intencional del contenido de mensajes. La perdida de confidencialidadpuede ocurrir de muchas formas.

Previene el uso no autorizado o divulgacin de informacin, lainformacin es accesada solo por personal autorizado para accesarla,privacidad es un concepto muy cercano que es a menudo asociadocon datos personales. Varias leyes en internacionales y americanasprotegen la privacidad (confidencialidad) de datos personales.Proteccin de las comunicaciones o los datos almacenados contra su

interceptacin y lectura por parte de personas no autorizadas.La confidencialidad es necesaria para la transmisin de datos

sensibles y es uno de los requisitos principales a la hora de darrespuesta a las inquietudes en materia de privacidad de los usuariosde las redes de comunicacin.


6/25

Confidencialidad (Confidentiality)

Es preciso tener en cuenta todos los factores que puedenamenazar la privacidad y no solamente los intencionados. Desdeel punto de vista de los usuarios, los peligros derivados de losincidentes del entorno o de errores humanos que alteren la red

pueden ser tan costosos como los ataques intencionados.

La seguridad de las redes y la informacin puedeentenderse como la capacidad de las redes o de lossistemas de informacin para resistir, con undeterminado nivel de confianza, todos los accidenteso acciones malintencionadas, que pongan en peligro

la disponibilidad, autenticidad, integridad yconfidencialidad de los datos almacenados otransmitidos y de los correspondientes servicios quedichas redes y sistemas ofrecen o hacen accesibles.


7/25


Integridad (Integrity) S

lo las entidades autorizadas podrn modificar los recursos del sistema, Ningnusuario no-autorizado podr modificar la informacin. Salvaguarda la completitud de la informacin y mtodos de procesamiento

asegurando que: Modificaciones a datos no son hechos por usuarios o procesos no autorizados. Modificaciones no autorizadas a datos no son hechos por usuarios o procesos

autorizados. Los datos son interna y externamente consistentes; del tal forma que losprocedimientos son llevados a la entrada, una entrada expectante.

Asegura que usuarios autorizados tienen confianza y acceso oportuno ainformacin y disponibilidad cuando requiera.

Confirmacin de que los datos que han sido enviados, recibidos o almacenados enforma completa y no han sido modificados.

La integridad es especialmente importante en relacin con la autenticacin para laconclusin de contratos o en los casos en los que la exactitud de los datos escrtica.


8/25

Disponibilidad (Availability)

Los recursos debern estar listos para utilizarse porlas entidades autorizadas, La informacin y las

aplicaciones deben estar disponibles a todos losusuarios autorizados. Los datos son accesibles, inclusive en casos de

alteraciones (cortes de corriente, catstrofesnaturales, accidentes o ataques). Esta caracterstica

es particularmente importante cuando una avera de lared puede provocar interrupciones o reacciones encadena que afecten las operaciones de la empresa.



9/25


Privacidad(Privacy)

Nivel de confidencialidad y proteccin a laprivacidad del usuario, que d el sistema. ste es

frecuentemente un componente importante en loscontroles de seguridad. Privacidad no slogarantiza el principio fundamental deconfidencialidad de los datos, tambin garantiza el

nivel de privacidad de los datos que estn siendousados por el operador.


10/25


Autorizacin

(Authorization)

(que puede usted hacer)

Derechos y permisos concedidos a una cuenta deusuario o proceso, el cual luego es autenticado, laautorizacin determina que puede hacer unusuario en un sistema o recurso.


11/25


Autenticacin (Authentication)

(quien puede ingresar)

Proceso de nivel dos, identificacin y autenticacin,

mediante el cual se verifica la identidad de un usuario. La

tcnica ms comn es la combinacin username/password

(identificacin / autenticacin).

Confirmacin de la identidad declarada de usuarios. Son

necesarios mtodos de autenticacin adecuados para

muchos servicios y aplicaciones, como la conclusin de uncontrato en lnea, el control del acceso a determinados

servicios y datos, la autenticacin de los sitios web, etc.


12/25


Identificacin y autenticacin( Identification and Authentication)

el usuario es quien dice ser

La identificacin es el acto de establecer claramente la identidad deun usuario en el sistema.

Es el testimonio o evidencia de la verificacin de la identificacin de

un usuario en el sistema. La identificacin es un componente normalmente mecanismo ysimple, basado en el nombre del usuario, en el caso de sistemas oprocesos se basa en el nombre del computador, direccin MAC,direccin IP o identificacin de proceso (ID process).

Un requerimiento bsico es la identificacin del usuario sea nica,

las cuentas compartidas de root, admin., or system son riesgosas.Tales cuentas no pueden proveer un adecuada contabilidad y sonlos objetivos principales de los hacker.


13/25


Contabilidad (Accountability)(que hizo)

Capacidad para asociar usuarios y procesos con las

acciones ejecutadas por estos. Los rastros deauditoria y el diario del sistema son componentes de lacontabilidad. Un importante concepto de seguridadque tiene una relacin muy cercana con la contabilidad

es la no repudiacin.


14/25


No repudiacin

(Non-repudiation)

Un usuario no puede negar una accin que

fue identificado y asociado positivamente consus acciones.Un usuario no puede sustraerse de susacciones y responsabilidades derivadas de las

mismas.


15/25

Auditabilidad (Audit)

Capacidad de contar con mdulos que lleven un registroauditable de toda la actividad realizada. Se debeconsiderar e implementar las facilidades necesarias paraque las entidades reguladoras puedan tener acceso gil yfcil a toda la informacin requerida, de manera que stas

puedan cumplir con sus responsabilidades.


16/25


La seguridad se basa en 3 criterios fundamentales(CIA: Confidentiality-Integrity-Availability):

Es un proceso evolutivo. En seguridad informtica los tres criterios

(CIA) son fundamentales para el estudio delos dems dominios.

Lo opuesto a CIA es DAD (Divulgacin,Alteracin y Destruccin).

CIA Triad


17/25


Mecanismos de proteccin

Colocar capas (Layering)Es el proceso de recubrir o adicionar capas a los datos a finde brindar mayor seguridad en la transmisin de informacin.

Abstraccin (Abstraction)Proceso de revisin de una aplicacin desde la funcin de nivelms altos haciendo abstracciones de las funciones de bajonivel.

Dato oculto (Data hiding)Termino orientado a objetos, hace referencia a la practica

de encapsulacin un objetos en forma desordenada, paraocultar los detalles de funcionamiento del primer objeto.


18/25


Mecanismos de proteccinEncripcin (Encryption)

Rama inicial de las Matemticas y en la actualidad de laInformtica y la Telemtica, que hace uso de mtodos y

tcnicas con el objeto principal de cifrar un mensaje oarchivo por medio de un algoritmo, usando una o msclaves. Esto da lugar a diferentes tipos de criptosistemas quepermiten asegurar cuatro aspectos fundamentales de laseguridad informtica: confidencialidad, integridad,

disponibilidad y no repudio de emisor y receptor


19/25


Gestin de control de cambios

Qu busca proteger?

Datos acceso no autorizado, modificacin o

copia. Sistema Uso no autorizado, modificacin o

denegacin del servicio.

Debe tenerse en cuenta que casi cada sistema

operativo de la red (NT, Unix, Vines, NetWare)est basado en una infraestructura fsicasegura.


20/25

Administracin de cambios

Satisface los requerimientos de negocio

de:

minimizar la probabilidad de interrupciones,

alteraciones no autorizadas y errores.se hace posible a travs de:

un sistema de administracin que permita el

anlisis, implementacin y seguimiento de

todos los cambios requeridos y llevados a

cabo a la infraestructura de Tecnologa de

Informacin actual


21/25

Aspectos a tener encuenta

identificacin de cambios

yprocedimientos de categorizacin,

priorizacin y definicin de emergencias.

yevaluacin del impacto.

yautorizacin de cambios.

ymanejo de liberacin o puesta en produccin.

ydistribucin de software


22/25

OBJETIVOS DE CONTROL

Inicio y Control de Requisiciones de Cambio

Se debe asegurar que todas las requisiciones de

cambios tanto internos como externos (proveedores)

estn estandarizados y sujetos a procedimientos

formales de administracin de cambios.

Las solicitudes debern categorizarse, priorizarse y

establecerse procedimientos especficos para manejar

asuntos urgentes.

Los solicitantes de cambios deben permanecer

informados acerca del estatus de su solicitud.


23/25


Control de Cambios

S

e debe asegurar que la administracin decambios, as como el control y ladistribucin de software sean integradosapropiadamente en un sistema completo de

administracin de configuracin.


24/25


Documentacin y Procedimientos

El procedimiento de cambiosdeber asegurar que, siempre quese implementen modificaciones a

un sistema, la documentacin yprocedimientos relacionados seanactualizados de manera adecuada.


25/25


Distribucin de SoftwareSe debe garantizar que la liberacin desoftware est acorde con procedimientosformales, los cuales incluyan aprobacin,

pruebas de regresin, entrega,homologaci, verificacin,etc.

Debern establecerse medidas de controlespecficas para asegurar la distribucindel elemento de software correcto al lugarcorrecto, con integridad y de maneraoportuna con pistas de auditoraadecuadas.

Conceptos y Pricipios de Gestion de Seguridad

Documents

Transcript of Conceptos y Pricipios de Gestion de Seguridad