Curso: Control de acceso y seguridad: 09 Controles que son apropiados de aplicar en una red de datos corporativa.
Dictado en la Universidad Simón Bolívar -USB, Lima - Perú, ciclo 2014-2 (agosto/2014).
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de aplicar en una red de datos corporativa
1. Control de Acceso y Seguridad Desarrollo
Ingeniería de Sistemas y Seguridad Informática
Mg. Ing. Jack Daniel Cáceres Meza, PMP
Sesión 09
Controles que son apropiados de aplicar en
una red de datos corporativa
2. 2
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Adquisición, desarrollo
y mantenimiento de
sistemas de
información
Gestión de
comunicaciones y
operaciones
Gestión de la
continuidad del
negocio
Seguridad
lógica
Seguridad
organizativa
Seguridad ligada a
los recursos
humanos
Gestión de incidentes
en la seguridad de la
información
Gestión de
activos
Aspectos
organizativos dela
seguridad de la
información
Política de seguridad
Seguridad física
Seguridad física y del
entorno
Control de
acceso
Cumplimiento
Seguridad legal
11 dominios
39 objetivos de control
133 controles
Controles
ISO27002:2005
4. 4
Mg, Ing. Jack Daniel Cáceres Meza, PMP
1° principio de la Seguridad Informática
“El intruso para ingresar al sistema utilizará cualquier artilugio que haga
más fácil su acceso y posterior ataque”.
Existirá una diversidad de frentes desde los que puede producirse un
ataque. Esto dificulta el análisis de riesgos porque el delincuente aplica
la filosofía de ataque hacia el punto más débil.
PREGUNTA:
¿Cuáles son los puntos
débiles de un sistema
informático?
Fuente: Ing. Luis Pérez, UTP
5. 5
Mg, Ing. Jack Daniel Cáceres Meza, PMP
2º principio de la Seguridad Informática
Los datos confidenciales deben protegerse sólo hasta que ese secreto
pierda su valor.
Caducidad del sistema de protección: tiempo en el que debe
mantenerse la confidencialidad o secreto del dato.
Fortaleza del sistema de cifra.
PREGUNTA:
¿Cuánto tiempo debe
protegerse un Dato?
Fuente: Ing. Luis Pérez, UTP
6. 6
Mg, Ing. Jack Daniel Cáceres Meza, PMP
3º principio de la Seguridad Informática
Las medidas de control se implementan para ser utilizadas de forma
efectiva. Deben ser eficientes, fáciles de usar y apropiadas al medio.
Que funcionen en el momento oportuno.
Que lo hagan optimizando los recursos del sistema.
Que pasen desapercibidas para el usuario.
Fuente: Ing. Luis Pérez, UTP
7. 7
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Estructura de organización de la seguridad
Recordemos que el uso de una solución en niveles:
Aumenta la posibilidad de que se detecten los intrusos
Disminuye la oportunidad de que los intrusos logren su propósito
Directivas, procedimientos
y concientización
Refuerzo del sistema operativo, administración
de revisiones, autenticación, HIDS
Servidores de seguridad, sistemas de
cuarentena en VPN
Guardias de seguridad, bloqueos,
dispositivos de seguimiento
Segmentos de red, IPSec, NIDS
Refuerzo de las aplicaciones, antivirus
ACL, cifrado
Programas de aprendizaje para
los usuarios
Seguridad física
Perímetro
Red interna
Host
Aplicación
Datos
8. 8
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Seguridad del Nivel de Red Interna
Acceso no
autorizado a los
sistemas
Rastreo de
paquetes
desde la red
Puertos de
comunicación
inesperados
Acceso a todo
el tráfico de red
Acceso no
autorizado a redes
inalámbricas
9. 9
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Protección del Nivel de Red Interna
Implemente autenticación mutua
Segmente la red
Cifre las comunicaciones de red
Bloquee los puertos de comunicación
Controle el acceso a los dispositivos de red
Mejores prácticas
10. 10
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Seguridad del Nivel de Host
Configuración
insegura del
sistema operativo
Acceso no
supervisado
Explotación de la
debilidad del
sistema operativoDistribución
de virus
11. 11
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Protección en el Nivel de Host
Refuerce la seguridad del sistema
operativo
Instale actualizaciones de seguridad
Implemente sistemas de auditoría
Deshabilite o quite los servicios
innecesarios
Instale y mantenga software antivirus
¿Sólo mejores prácticas?
12. 12
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Seguridad del Nivel de Aplicación
Problemas de seguridad específicos de las aplicaciones
Debe mantenerse la funcionalidad
Pérdida de la aplicación
Ejecución de código malintencionado
Uso extremo de la aplicación
Uso no deseado de las aplicaciones
13. 13
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Protección en el Nivel de Aplicación
Habilite únicamente los servicios y
funcionalidad requeridos
Configure las opciones de seguridad de
las aplicaciones
Instale actualizaciones de seguridad
para las aplicaciones
Ejecute las aplicaciones con el menor
privilegio
Durante su desarrollo -seguridad integrada al SDLC
Durante su despliegue (distribución e instalación)
Durante su operación
Durante su mantenimiento
Commercial off-the-shelf (COTS)
Non-commercial software
Open source software (OSS)
14. 14
Mg, Ing. Jack Daniel Cáceres Meza, PMP
To be considered secure, software must exhibit three
properties
Dependability
Dependable software executes predictably and operates correctly under all
conditions, including hostile conditions, including when the software comes under
attack or runs on a malicious host.
Trustworthiness
Trustworthy software contains few if any vulnerabilities or weaknesses that can be
intentionally exploited to subvert or sabotage the software’s dependability. In
addition, to be considered trustworthy, the software must contain no malicious
logic that causes it to behave in a malicious manner.
Survivability (also referred to as “Resilience”)
Survivable—or resilient—software is software that is resilient enough to (1) either
resist (i.e., protect itself against) or tolerate (i.e., continue operating dependably in
spite of) most known attacks plus as many novel attacks as possible, and (2)
recover as quickly as possible, and with as little damage as possible, from those
attacks that it can neither resist nor tolerate.
Fuente: Karen Mercedes Goertzel, Introduction to Software Security
15. 15
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Nivel de Datos
Documentos
Archivos de directorio
Aplicaciones
16. 16
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Protección en el nivel de datos
Cifre los archivos con EFS
Limite el acceso a los datos con listas
de control de acceso
Mueva los archivos de la ubicación
predeterminada
Cree planes de copia de seguridad y
recuperación de datos
Utilice la tecnología
(herramienta) apropiada
para la tarea a realizar
17. 17
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Seguridad de los Usuarios
Buenas prácticas
&
Política de Seguridad
Niveles de
conocimiento
Respaldos y rotación de
funciones
• Conocimientos mínimos y
suficientes para desarrollo de
competencias
• Mínimos privilegios
• Compartición de
responsabilidades
• Continuación de la actividad
• Rotación de
responsabilidades
• Tareas con backup
• Vigilancia Mutua
• Eliminar “único” punto de
fallo
Fuente: Ing. Luis Pérez, UTP
18. 18
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Characteristics of Effective Security Governance and
Management
Security is managed as an enterprise issue, horizontally, vertically, and
cross-functionally throughout the organization.
Security is treated as a business requirement.
Security is considered an integral part of normal strategic, capital,
project, and operational planning cycles.
Fuente: Julia H. Allen, Security Is Not Just a Technical Issue
19. 19
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Characteristics of Effective Security Governance and
Management
Security is addressed as part of any
new project initiation, acquisition, or
relationship and as part of ongoing
project management.
Managers across the organization
understand how security serves as a
business enabler (versus an inhibitor).
All personnel who have access to
digital assets and enterprise networks
understand their individual
responsibilities with respect to
protecting and preserving the
organization's security, including the
systems and software that it uses and
develops.
Fuente: Julia H. Allen, Security Is Not Just a Technical Issue
20. 20
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Fuente: OPSWAT white paper october 2008
Provides solutions to secure
and manage IT infrastructure
21. 21
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Network Admission Control (NAC) Framework
Integra componentes de infraestructura de red con seguridad, y se
basa en herramientas de terceros, como software antispam y antivirus.
Requiere la instalación de un agente Cisco en cada dispositivo cliente
(http://www.cisco.com/c/en/us/products/collateral/wireless/secure-
services-client/product_data_sheet0900aecd805081a7.html).
Tiene como desventaja que funciona sólo con infraestructura del
fabricante.
Designed to take advantage of an existing base of both
Cisco network technologies and existing deployments
of security and management solutions from other
manufacturers
http://www.ciscopress.com/articles/article.asp?p=662903
22. 22
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Fuente: OPSWAT white paper october 2008
23. 23
Mg, Ing. Jack Daniel Cáceres Meza, PMP
The Cisco NAC Framework
Fuente: http://www.techrepublic.com/blog/data-center/learn-the-components-of-ciscos-nac-framework/
802.1X es una norma del
IEEE para el control de
acceso a red basada en
puertos
24. 24
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Network Access Protection (NAP) framework
Se basa en Infraestructuras con software de Windows.
Incluya API que permite a los desarrolladores integrarla con los
componentes de la infraestructura de red.
http://technet.microsoft.com/en-us/library/cc753550%28v=ws.10%29.aspx
Microsoft’s solution works with any
Microsoft operating system and with
any networking equipment, as long as
Windows 2008 Server is part of the
network health decision-making process
25. 25
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Fuente: OPSWAT white paper october 2008
26. 26
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Estándares – TNC
Es una arquitectura abierta.
Sigue un modelo basado en políticas.
The TCG program was designed to
support any operating system and any
networking equipment
http://www.trustedcomputinggroup.org/resources/trusted_network_connect_tnc_pervasive_security_faq
The Trusted Computing Group (TCG) is a not-
for-profit organization formed to develop,
define and promote open, vendor-neutral,
global industry standards, supportive of a
hardware-based root of trust, for
interoperable trusted computing platforms.
27. 27
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Fuente: OPSWAT white paper october 2008
28. 28
Mg, Ing. Jack Daniel Cáceres Meza, PMP
JULY 6, 2006 I WWW.NWC.COM
29. 29
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Trabajo práctico
¿Cómo plantearía implementar la seguridad de esta red?
Grupos de tres.
30 minutos. http://www.strongswan.org/uml/testresults/tnc/tnccs-20/
30. Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Gracias por su atención
¿Preguntas?