Information Assurance Management-NSA Model

1. Information Assurance Management-NSA Model GSI732 – Introducción a Seguridad Carmen R. Cintrón Ferrer, 2004, Derechos Reservados

2. Fases del Proceso • Avalúo (“Assessment”) • Evaluación (“Evaluation”) • Penetración (“Red Team”) • Informe de Hallazgos • Recomendaciones

3. Modelo NSA-IAM • Fase de avalúo: • Análisis colaborativo de alto nivel (“top level”) • Avalúo de recursos de información • Análisis de funciones críticas • Recopilación y examen de: • Políticas de seguridad • Procedimientos • Arquitectura de seguridad • Flujo de información • Ponderación de visión de seguridad organizaciónal

4. Modelo NSA-IAM • Fase de Evaluación: • Pruebas de seguridad de sistemas: • “Firewalls” • “Routers” • “Intrusion detection systems” • “Network scanning” • “Guards” • Identificación de vulnerabilidades • Determinación de medidas de mitigación: • Técnicas • Administrativas/gerenciales • Operacionales

5. Modelo NSA-IAM • Fase de Penetración: • Pruebas externas de penetración • Ingeniería social • Simulación de adversarios • Simulación de ataques • “Hacking the systems”

6. Information Assurance Management Model • Áreas a considerar: • Expectativas de la organización: • Protección de la infraestructura • Requerimientos de los aseguradores • Requirimientos legales o reglamentarios • Protección de los activos de información • Restricciones o limitaciones: • Tiempo • Económicas • Recursos humanos • Cultura organizacional

7. Information Assurance Management Model • Áreas a considerar (continuación): • Premisas a definir o acordar: • Delimitación del proceso de avalúo • Disponibilidad del personal • Necesidad de transporte ($) • Disponibilidad de documentación • Respaldo técnico y gerencial de la organización • Acuerdos vagos o pobremente definidos: • Descripción del proyecto • Estimados de tiempo y costos • Contratación

8. Information Assurance Management Model • Personal requerido: • Líder o gerente del proyecto • Personal técnico: • Operaciones • Sistemas • Sistemas Operativos • Redes • Seguridad • Técnicos de documentación de procesos

9. Information Assurance Management Model • Determinar información crítica: • Tabla de entidades y atributos • Información regulada • Tabla de datos críticos – atributos esenciales • Tabla de impactos • Registrar tracto de documentos: • Registro de uso y disposición • Registro de modificación #

10. Organization Information Criticality Matrix – Information types

11. Organization Information Criticality Matrix – Regulatory Information types

12. Organization Information Criticality Matrix – High-Water mark

13. Organization Information Criticality Matrix – Impact definitions

14. Organization Information Criticality Matrix – Document Use Tracking

15. Organization Information Criticality Matrix – Document VersionTracking

16. Information Assurance Management Model • Medidas de mitigación: • Administrativas: • Documentación de procesos seguridad • Resposabilidades y roles de seguridad • Planeación para contingencias • Administración de configuraciones • Operacionales: • Rotulación • Controles del entorno y medios • Personal de seguridad • Entorno físico • Programas de concienciación y educación sobre seguridad

17. Information Assurance Management Model • Medidas de mitigación: • Técnicas: • Controles y procesos de identificación y autenticación • Manejo de cuentas • Control de sesiones • Protección contra código malicioso • Auditoría de sistemas • Mantenimiento de sistemas • Robustecimiento de sistemas • Controles de conexividad (red) • Seguridad de las comunicaciones

18. Information Assurance Management Model • Informe modelo de hallazgos: • Hallazgos técnicos • Hallazgos operacionales • Hallazgos gerenciales • Informe modelo recomendaciones/acción: • Hallazgos técnicos • Hallazgos operacionales • Hallazgos gerenciales • Modelo análisis de hallazgos y recomendaciones #

19. Managing the Findings – Technical Findings

20. Managing the Findings – Operational Findings

21. Managing the Findings – Management Findings

22. Managing the Findings – Technical Findings Recommendations

23. Managing the Findings – Operational Findings Recommendations

24. Managing the Findings – Management Findings

25. Managing the Findings – Findings Analysis and Recommendations • Hallazgo: DRP no se ha actualizado • Categoría: documentación de seguridad y planificación de contingencias • Severidad: Alta • Discusión: DRP provee el marco operacional requerido para restaurar las operaciones en caso de una emergencia. El documento actual no incluye áreas críticas de la red, ni de servicios de conexión. • Recomendaciones: • Desarrollar un plan integral que incluya todas las sedes y sistemas. • Desarrollar un plan basado en sistemas que respalda IT y probar el plan anualmente. • Actualizar el plan existente para integrar todos los sistemas críticos.

26. ISO Network Management Model • Fault Management: • Análisis de vulnerabilidades • Pruebas de penetración • Herramientas • Configuration & Change Management: • Administrar configuración de componentes de seguridad • Manejo de cambios técnicos en: • Estrategias • Operaciones • Componentes de seguridad • Manejo de cambios no técnicos

27. ISO Network Management Modelrecommended tools • Ethereal (www.ehtereal.com) – Network Protocol analyzer • Nessus (www.nessus.org) – Remote security scanner • NMAP (www.nmap.org) – Network vulnerability tester • Snort (www.snort.org) – Network Intrussion Detection System • Sam Spade (www.samspade.org) Linux/Unix toolbox:

28. ISO Network Management Model • Accounting and Auditing Management: • Contabilidad de costos (“charge back”) • Creación, revisión, almacén y disposición de Bitácoras • Performance Management: • Estándares (“baselines”) y Métricas de tráfico • Estándares (“baselines”) y Métricas de servicios • Estándares (“baselines”) y Métricas sobre consumo de ancho de banda • Security Program Management (BS7799/ISO17799): • Planificar • Hacer • Verificar • Actuar

29. ISO Network Management Model Security Program Management (BS7799/ISO17799) • Planificar: • Análisis de riesgos • Análisis de vulnerabilidades • Determinación de impacto • Hacer: • Adoptar e implantar controles internos para administrar riesgos • Verificar: • Verificación periódica de cumplimiento • Validación de efectividad • Actuar: • Desarrollar planes de respuesta a incidentes • Adoptar procedimiento para restauración o recuperación

30. ISO Network Management Model • Proceso de mantenimiento: • Examen y pruebas externas • Examen y pruebas internas • Acopio de riesgos, amenazas y ataques • Avalúo de impactos • Actualizar base datos de riesgos, amenazas y ataques • Reaccionar a incidentes • Tomar medidas de mitigación o eliminación • Actualizar base de datos de vulnerabilidades • Documentar y actualizar procedimientos

31. ISO Network Management Model • Recopilación de datos (IDS- análisis diferencial): • Reglas del Firewall • Reglas del Router (Border /edge) • Presencia en Internet • Listas de direcciones IP internas • Servicios críticos en servidores internos • Listas de direcciones IP externas • Servicios críticos en servidores externos

32. ISO Network Management Model • Avalúo de riesgos de seguridad operacional: • Conexividad de la red • Modems • Conexión con socios de negocios • Aplicaciones • Privacidad • Vulnerabilidad • Cambios en la organización (“acquisition/divestiture”)

33. ISO Network Management Model • Avalúo de vulnerabilidades: • Internet • Intranet • Plataforma de sistemas • errores de configuración en sistemas operativos • Documentación de cambios • Red inalámbrica • Documentación de hallazgos • Corrección: • Aceptación de riesgos • Eliminación de amenazas • Corrección de vulnerabilidades

34. ISO Network Management Model • Actualización y ejecución: • Revisión de políticas y procedimientos • Revisión de componentes primarios • Simulacros y pruebas