1 / 61

Fundamentos de la Norma

“Para Estar Seguro”: Controles ISO/UNE 17799 y Herramientas Microsoft Olof Sandstrom, Applus Fernando Parrondo, Microsoft Consulting Services. Fundamentos de la Norma. Dirigido a

wanda-beard
Download Presentation

Fundamentos de la Norma

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. “Para Estar Seguro”:Controles ISO/UNE 17799 y Herramientas MicrosoftOlof Sandstrom, ApplusFernando Parrondo, Microsoft Consulting Services

  2. Fundamentos de la Norma • Dirigido a • Directivos, cuadros medios, consultores, responsables de sistemas, responsables de áreas técnicas ,administradores y cualquier persona interesada en la seguridad de la información. • Objetivo • Conocer la forma de cubrir los requerimientos de seguridad de la Norma ISO 17799 con las herramientas de servidor de Microsoft • Contenidos • ¿Qué es ISO 17799? • Principios básicos • Controles de acceso • Desarrollo y mantenimiento de sistemas

  3. ¿Qué es ISO 17799? Código de buenas prácticas para la gestión de la seguridad de los sistemas de información

  4. Algunos eslabones no tecnológicos • Políticas de seguridad • Plan de seguridad • Análisis y gestión de riesgos • Plan de contingencia • Seguridad física • Seguridad del personal • Procedimientos de seguridad Una cadena es tan fuerte como el más débil de sus eslabones • Algunos eslabones tecnológicos • Hardening de sistemas • Mecanismos de control de acceso • Antivirus • Criptografía • Firewalls y VPN • Sistemas de Detección de Intrusos • Smart cards • Biometría Tarde o temprano la cadena se romperá por el eslabón más débil, ¿Cuál es el suyo?

  5. ¿Qué es ISO 17799? • Da recomendaciones para gestionar la seguridad • Es una base común para desarrollar ... • normas de seguridad organizativas, • prácticas efectivas de gestión de la seguridad y • la confianza en las relaciones entre organizaciones • Debe usarse conforme a la legislación y reglamentos aplicables

  6. Principios básicosSímil con la conducción • Para estar seguro no basta un buen motor • Todo debe estar razonablemente bien • Sistema eléctrico, batería, alternador • Refrigeración, bomba de agua, radiador • Amortiguadores y neumáticos • Frenos • Etc. • Pero también • Seguro • Permiso de circulación • Inspección Técnica de Vehículos • Impuesto de tráfico • Etc.

  7. Aunque tecnológicamente se consiguiera un sistema seguro, el problema sigue existiendo Las técnicas criptográficas son computacionalmente seguras, pero los usuarios ... No quieren usar passwords de calidad No quieren u olvidan cifrar ficheros y correos Los descifran y olvidan borrar el fichero en claro Los imprimen y los dejan en ... la impresora, la mesa, la papelera, el metro La dirección suele estar más preocupada por facilitar las cosas a los usuarios que en mejorar la seguridad de la compañía Principios básicos

  8. Cómo se aplica la NormaTipos de controles Riesgo Prevención Detección Incidente Represión Daños Corrección Recuperación Evaluación

  9. Desarrollo de los controles ISO 17799 Política de seguridad (1 Objetivo, 3 Controles)

  10. Desarrollo de los controles ISO 17799 Seguridad del personal (3 Objetivo, 10 Controles) Seguridad física (3 Objetivo, 13 Controles) Estructura organizativa (3 Objetivo, 10 Controles) Clasificación de activos (1 Objetivo, 3 Controles) Política de seguridad (1 Objetivo, 3 Controles)

  11. Desarrollo de los controles ISO 17799 Comunicaciones Y operaciones (7 Objetivo, 23 Controles) Control de acceso (8 Objetivo, 31 Controles) Mantenimiento De sistemas (5 Objetivo, 18 Controles) Seguridad del personal (3 Objetivo, 10 Controles) Seguridad física (3 Objetivo, 13 Controles) Estructura organizativa (3 Objetivo, 10 Controles) Clasificación de activos (1 Objetivo, 3 Controles) Política de seguridad (1 Objetivo, 3 Controles)

  12. Desarrollo de los controles ISO 17799 Comunicaciones Y operaciones (7 Objetivo, 23 Controles) Control de acceso (8 Objetivo, 31 Controles) Mantenimiento De sistemas (5 Objetivo, 18 Controles) Seguridad del personal (3 Objetivo, 10 Controles) Seguridad física (3 Objetivo, 13 Controles) Estructura organizativa (3 Objetivo, 10 Controles) Clasificación de activos (1 Objetivo, 3 Controles) Conformidad legal (3 Objetivo, 11 Controles) Política de seguridad (1 Objetivo, 3 Controles)

  13. Desarrollo de los controles ISO 17799 Comunicaciones Y operaciones (7 Objetivo, 23 Controles) Control de acceso (8 Objetivo, 31 Controles) Mantenimiento De sistemas (5 Objetivo, 18 Controles) Seguridad del personal (3 Objetivo, 10 Controles) Seguridad física (3 Objetivo, 13 Controles) Estructura organizativa (3 Objetivo, 10 Controles) Clasificación de activos (1 Objetivo, 3 Controles) Conformidad legal (3 Objetivo, 11 Controles) Política de seguridad (1 Objetivo, 3 Controles) Plan de Continuidad de Negocio (1 Objetivo, 5 Controles)

  14. Arquitectura segura • Características de seguridad • Calidad en el código • Reducción de posibilidad de ataques • Lo que no se usa no se instala • Principio del mínimo privilegio • Proteger, detectar, defender, recuperar, gestionar • Procesos: Como, Guías arquitectura • Gente: Formación • Mensajes claros acerca de la seguridad • Miembro activo en los foros internacionales • Centro de respuesta de seguridad Microsoft’s Security Framework Seguro por diseño Seguro por defecto Seguro en despliegue Comunicación

  15. Windows Server 2003 • Reducción de las vulnerabilidades de código • Formación, Modelado de amenazas, Revisión de código • Mejoras en el proceso de desarrollo • Contabilidad • Arquitectura enfocada a la seguridad • IIS Rediseñado • Protocolos de autentificación • CLR Seguro por diseño Seguro por defecto Seguro en despliegue Comunicación

  16. Windows Server 2003 • Reducción de posibilidad de ataques • 20+ servicios apagados por defecto o corriendo con privilegios reducidos • Configuración fuerte • IE cerrado • ACL en la raíz del sistema • Nuevo orden de busqueda de DLL • Nuevas cuentas con privilegio menor • Network Service (IIS Worker Process) • Local Service (Telnet) Seguro por diseño Seguro por defecto Seguro en despliegue Comunicación

  17. Windows Server 2003 • Herramientas para facilitar la seguridad • Directiva de restricción de aplicaciones • Editor de configuración de seguridad* • Sistema de recogida de eventos * • Guías prescriptivas • Secure Windows Server 2003 • Microsoft Systems Architecture • Patch Management Solutions • Formación y Partners • 4 Cursos Seguro por diseño Seguro por defecto Seguro en despliegue Comunicación * to be released after server release

  18. Autenticación • Gestión de usuarios y autenticación • Gestión de passwords y privilegios • Autenticación de conexiones externas • Autenticación de dispositivos

  19. Autenticación Gestión de usuarios y autenticación Registro de usuarios • Se requiere un procedimiento de altas y bajas de usuarios que incluya • Usar un identificador único para cada usuario • Garantizar que no se dará acceso hasta que se complete la autorización • Mantener un registro de los usuarios que pueden usar el servicio • Eliminar las autorizaciones a los usuarios que dejan la Organización • Revisar periódicamente las cuentas de usuario redundantes • Se pueden incluir cláusulas en el contrato laboral que especifiquen las sanciones si se realizan accesos no autorizados

  20. AutenticaciónGestión de usuarios y autenticaciónIdentificación y autenticación de los usuarios • Todos los usuarios tendrán un identificador único • Los identificadores no deben indicar el nivel de privilegio • Hay varios procedimientos de autenticación para comprobar la identidad del usuario • Passwords • Tokens • Biometría • Protocolos de autenticación tipo Kerberos

  21. Autenticación Gestión de usuarios y autenticaciónProcedimientos de conexión de terminales • El acceso a los sistemas debe hacerse mediante un proceso de logon • Debe mostrar el mínimo posible de información sobre el sistema para no facilitar ayuda a usuarios no autorizados... • No mostrar identificación del sistema hasta que termine el logon • Advertir que es un sistema solo para usuarios autorizados • No ofrecer mensajes que puedan guiar a usuarios no autorizados • Validar la conexión sólo tras rellenar todos los datos de entrada • Si hay errores, no indicará qué parte de los datos es incorrecta • Limitar el número de intentos fallidos de conexión • Limitar los tiempos máximo y mínimo permitidos para hacer el logon

  22. Autenticación Gestión de passwords y privilegios Gestión de privilegios Debe controlarse el uso y asignación de privilegios teniendo en cuenta ... • Identificar los privilegios de cada elemento del sistema y las categorías de empleados que los necesitan • Asignar privilegios según la necesidad y caso por caso • Mantener un proceso de autorización y un registro de los privilegios asignados • No se darán privilegios hasta que se complete el proceso de autorización • Promover el desarrollo y uso de rutinas para evitar la asignación de privilegios a los usuarios • Asignar los privilegios a un identificador de usuario distinto del asignado para uso normal

  23. Autenticación Gestión de passwords y privilegios Gestión de contraseñas de usuario Se debe controlar la asignación de contraseñas por medio de un proceso que debe ... • Dar inicialmente una contraseña temporal segura que se cambiará en el primer logon • También se darán contraseñas temporales cuando un usuario olvide la suya, sólo después de identificar al usuario • Establecer una forma segura para dar las contraseñas temporales a los usuarios Las contraseñas no se almacenarán sin protegerlas con otras tecnologías, por ejemplo cifrado

  24. Autenticación Gestión de passwords y privilegios Uso de contraseñas • Los usuarios seguirán buenas prácticas con sus passwords • Mantenerlas confidenciales, no compartirlas • No escribirlas en papel • Cambiarlas si se sospecha que esta comprometida • Seleccionar contraseñas de buena calidad que sean: • Difíciles de adivinar y fáciles de recordar • No basadas en nombre, fecha de nacimiento, número de teléfono, etc. • Que incluyan números y letras • Cambiarlas periódicamente evitando reutilizarlas • No incluirlas en procedimientos automático de conexión

  25. AutenticaciónAutenticación de conexiones externas Autenticación de usuarios para conexiones externas • Los usuarios remotos deben autenticarse • Se puede hacer usando criptografía, tokens o protocolos challenge-response • También pueden usarse líneas dedicadas o verificar información de la dirección del usuario o de su terminal

  26. Autenticación Autenticación de dispositivosAutenticación de nodos de la red • Se deben autenticar las conexiones a sistemas remotos (Bancos, B2B, Administración, etc) • Esto es muy importante si la conexión usa una red cuyo control de seguridad lo lleva un tercero • La autenticación de nodos puede ser una alternativa a la autenticación de grupos de usuarios remotos, cuando éstos están conectados a un sistema compartido seguro

  27. Autorización • Segmentación de redes • Protección de recursos del sistema • Desconexión automática y ventanas temporales

  28. AutorizaciónSegmentación de redesSegregación en las redes • Se deben dividir las redes por grupos de usuarios • Un método para controlar la seguridad de grandes redes es dividirlas en dominios separados cada uno protegido por un perímetro definido de seguridad • Entre las redes a interconectar pueden implantarse firewalls que controlen los accesos y los flujos de información entre los dominios • Los criterios para segregar las redes en dominios se basarán en la política de control de accesos

  29. AutorizaciónProtección de los recursos del sistemaProtección a puertos de diagnóstico remoto • Es imprescindible controlar el acceso a los puertos de diagnóstico • En muchos ordenadores y sistemas de comunicación se instala un servicio para que el personal de mantenimiento pueda hacer diagnósticos o incluso mantenimientos remotos • Estos puertos pueden permitir accesos no autorizados

  30. AutorizaciónProtección de los recursos del sistema Equipamiento informático de usuario desatendido • Los usuarios deben asegurase de que los equipos estén protegidos cuando quedan desatendidos ... • Cerrar las sesiones activas antes de marcharse • Bloquear el equipo, por ejemplo con un protector de pantalla con contraseña • Hacer log-offcuando se ha terminado la sesión

  31. AutorizaciónProtección de los recursos del sistemaUso de utilidades del sistema • La mayoría de los sistemas informáticos disponen de utilidades del sistema capaces de eludir las medidas de control • Es fundamental que su uso se restrinja y se mantenga controlado • Usar procedimientos de autenticación para las utilidades • Segregar las utilidades respecto al software aplicativo • Limitar el uso de las utilidades al mínimo número de usuarios • Autorizar el uso de las utilidades solo con un propósito concreto • Limitar la disponibilidad de las utilidades, por ejemplo, durante un cambio autorizado • Registrar los usos de las utilidades • Definir y documentar los niveles de autorización para las utilidades • Desactivar todas las utilidades que no sean necesarias

  32. AutorizaciónDesconexión automática y ventanas temporalesDesconexión automática de terminales • Los terminales de riesgo se desactivarán tras un periodo de inactividad • La desactivación borrará la pantalla y cerrará la aplicación y las sesiones • Muchos PCs suelen tener una forma limitada de este dispositivo que borra la pantalla, pero no cierra la aplicación o las sesiones

  33. AutorizaciónDesconexión automática y ventanas temporalesLimitación del tiempo de conexión • Limitar el periodo de tiempo durante el que se aceptan conexiones reduce la ‘ventana’ de oportunidad para accesos no autorizados • Estas medidas se emplearán para aplicaciones sensibles, en especial para terminales instalados en áreas de riesgo con restricciones como ... • Usar ‘ventanas’ de tiempo predeterminadas • La restricción de tiempos de conexión al horario normal de oficina, si no existen requerimientos para operar fuera de este horario

  34. Monitorizacióny auditoría • Monitorización del sistema y de las comunicaciones • Monitorización de los derechos de acceso

  35. Monitorización y auditoría Monitorización del sistema y de las comunicacionesDiarios de Operación • Se debe mantener un logque incluya ... • Tiempos de arranque y cierre del sistema • Errores del sistema y las correcciones correspondientes • El nombre de quien registra la entrada en el log • Los logs se comprobaran periódicamente para verificar que se esta trabajando de acuerdo a lo que se estableció en los procedimientos de operación

  36. Monitorización y auditoría Monitorización del sistema y de las comunicacionesRegistro de incidencias • Deben mantenerse durante un tiempo los registros de auditoría, que contendrán también ... • El identificador del usuario • Fecha y hora de conexión y desconexión • Identificación del terminal o el lugar si es posible • Registro de los intentos de acceso al sistema • Registro de los intentos de acceso a datos y otros recursos. • Se tienen que archivar los registros de auditoría como parte de la política de retención de registros o por requerimientos de recogida de evidencias

More Related