Curso: Control de acceso y seguridad: 09 Controles que son apropiados de aplicar en una red de datos corporativa

Control de Acceso y Seguridad Desarrollo
Ingeniería de Sistemas y Seguridad Informática
Mg. Ing. Jack Daniel Cáceres Meza, PMP
Sesión 09
Controles que son apropiados de aplicar en
una red de datos corporativa

2
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Adquisición, desarrollo
y mantenimiento de
sistemas de
información
Gestión de
comunicaciones y
operaciones
Gestión de la
continuidad del
negocio
Seguridad
lógica
Seguridad
organizativa
Seguridad ligada a
los recursos
humanos
Gestión de incidentes
en la seguridad de la
información
Gestión de
activos
Aspectos
organizativos dela
seguridad de la
información
Política de seguridad
Seguridad física
Seguridad física y del
entorno
Control de
acceso
Cumplimiento
Seguridad legal
11 dominios
39 objetivos de control
133 controles
Controles
ISO27002:2005

3
Recordemos

4
1° principio de la Seguridad Informática
 “El intruso para ingresar al sistema utilizará cualquier artilugio que haga
más fácil su acceso y posterior ataque”.
 Existirá una diversidad de frentes desde los que puede producirse un
ataque. Esto dificulta el análisis de riesgos porque el delincuente aplica
la filosofía de ataque hacia el punto más débil.
PREGUNTA:
¿Cuáles son los puntos
débiles de un sistema
informático?
Fuente: Ing. Luis Pérez, UTP

5
2º principio de la Seguridad Informática
 Los datos confidenciales deben protegerse sólo hasta que ese secreto
pierda su valor.
 Caducidad del sistema de protección: tiempo en el que debe
mantenerse la confidencialidad o secreto del dato.
 Fortaleza del sistema de cifra.
PREGUNTA:
¿Cuánto tiempo debe
protegerse un Dato?

6
3º principio de la Seguridad Informática
 Las medidas de control se implementan para ser utilizadas de forma
efectiva. Deben ser eficientes, fáciles de usar y apropiadas al medio.
 Que funcionen en el momento oportuno.
 Que lo hagan optimizando los recursos del sistema.
 Que pasen desapercibidas para el usuario.

7
Estructura de organización de la seguridad
 Recordemos que el uso de una solución en niveles:
 Aumenta la posibilidad de que se detecten los intrusos
 Disminuye la oportunidad de que los intrusos logren su propósito
Directivas, procedimientos
y concientización
Refuerzo del sistema operativo, administración
de revisiones, autenticación, HIDS
Servidores de seguridad, sistemas de
cuarentena en VPN
Guardias de seguridad, bloqueos,
dispositivos de seguimiento
Segmentos de red, IPSec, NIDS
Refuerzo de las aplicaciones, antivirus
ACL, cifrado
Programas de aprendizaje para
los usuarios
Seguridad física
Perímetro
Red interna
Host
Aplicación
Datos

8
Seguridad del Nivel de Red Interna
Acceso no
autorizado a los
sistemas
Rastreo de
paquetes
desde la red
Puertos de
comunicación
inesperados
Acceso a todo
el tráfico de red
Acceso no
autorizado a redes
inalámbricas

9
Protección del Nivel de Red Interna
Implemente autenticación mutua
Segmente la red
Cifre las comunicaciones de red
Bloquee los puertos de comunicación
Controle el acceso a los dispositivos de red
Mejores prácticas

10
Seguridad del Nivel de Host
Configuración
insegura del
sistema operativo
Acceso no
supervisado
Explotación de la
debilidad del
sistema operativoDistribución
de virus

11
Protección en el Nivel de Host
Refuerce la seguridad del sistema
operativo
Instale actualizaciones de seguridad
Implemente sistemas de auditoría
Deshabilite o quite los servicios
innecesarios
Instale y mantenga software antivirus
¿Sólo mejores prácticas?

12
Seguridad del Nivel de Aplicación
 Problemas de seguridad específicos de las aplicaciones
 Debe mantenerse la funcionalidad
 Pérdida de la aplicación
 Ejecución de código malintencionado
 Uso extremo de la aplicación
 Uso no deseado de las aplicaciones

13
Protección en el Nivel de Aplicación
Habilite únicamente los servicios y
funcionalidad requeridos
Configure las opciones de seguridad de
las aplicaciones
Instale actualizaciones de seguridad
para las aplicaciones
Ejecute las aplicaciones con el menor
privilegio
Durante su desarrollo -seguridad integrada al SDLC
Durante su despliegue (distribución e instalación)
Durante su operación
Durante su mantenimiento
Commercial off-the-shelf (COTS)
Non-commercial software
Open source software (OSS)

14
To be considered secure, software must exhibit three
properties
 Dependability
 Dependable software executes predictably and operates correctly under all
conditions, including hostile conditions, including when the software comes under
attack or runs on a malicious host.
 Trustworthiness
 Trustworthy software contains few if any vulnerabilities or weaknesses that can be
intentionally exploited to subvert or sabotage the software’s dependability. In
addition, to be considered trustworthy, the software must contain no malicious
logic that causes it to behave in a malicious manner.
 Survivability (also referred to as “Resilience”)
 Survivable—or resilient—software is software that is resilient enough to (1) either
resist (i.e., protect itself against) or tolerate (i.e., continue operating dependably in
spite of) most known attacks plus as many novel attacks as possible, and (2)
recover as quickly as possible, and with as little damage as possible, from those
attacks that it can neither resist nor tolerate.
Fuente: Karen Mercedes Goertzel, Introduction to Software Security

15
Nivel de Datos
Documentos
Archivos de directorio
Aplicaciones

16
Protección en el nivel de datos
Cifre los archivos con EFS
Limite el acceso a los datos con listas
de control de acceso
Mueva los archivos de la ubicación
predeterminada
Cree planes de copia de seguridad y
recuperación de datos
Utilice la tecnología
(herramienta) apropiada
para la tarea a realizar

17
Seguridad de los Usuarios
Buenas prácticas
&
Política de Seguridad
Niveles de
conocimiento
Respaldos y rotación de
funciones
• Conocimientos mínimos y
suficientes para desarrollo de
competencias
• Mínimos privilegios
• Compartición de
responsabilidades
• Continuación de la actividad
• Rotación de
responsabilidades
• Tareas con backup
• Vigilancia Mutua
• Eliminar “único” punto de
fallo

18
Characteristics of Effective Security Governance and
Management
 Security is managed as an enterprise issue, horizontally, vertically, and
cross-functionally throughout the organization.
 Security is treated as a business requirement.
 Security is considered an integral part of normal strategic, capital,
project, and operational planning cycles.
Fuente: Julia H. Allen, Security Is Not Just a Technical Issue

19
Characteristics of Effective Security Governance and
Management
 Security is addressed as part of any
new project initiation, acquisition, or
relationship and as part of ongoing
project management.
 Managers across the organization
understand how security serves as a
business enabler (versus an inhibitor).
 All personnel who have access to
digital assets and enterprise networks
understand their individual
responsibilities with respect to
protecting and preserving the
organization's security, including the
systems and software that it uses and
develops.
Fuente: Julia H. Allen, Security Is Not Just a Technical Issue

20
Fuente: OPSWAT white paper october 2008
Provides solutions to secure
and manage IT infrastructure

21
Network Admission Control (NAC) Framework
 Integra componentes de infraestructura de red con seguridad, y se
basa en herramientas de terceros, como software antispam y antivirus.
 Requiere la instalación de un agente Cisco en cada dispositivo cliente
(http://www.cisco.com/c/en/us/products/collateral/wireless/secure-
services-client/product_data_sheet0900aecd805081a7.html).
 Tiene como desventaja que funciona sólo con infraestructura del
fabricante.
Designed to take advantage of an existing base of both
Cisco network technologies and existing deployments
of security and management solutions from other
manufacturers
http://www.ciscopress.com/articles/article.asp?p=662903

22

23
The Cisco NAC Framework
Fuente: http://www.techrepublic.com/blog/data-center/learn-the-components-of-ciscos-nac-framework/
802.1X es una norma del
IEEE para el control de
acceso a red basada en
puertos

24
Network Access Protection (NAP) framework
 Se basa en Infraestructuras con software de Windows.
 Incluya API que permite a los desarrolladores integrarla con los
componentes de la infraestructura de red.
http://technet.microsoft.com/en-us/library/cc753550%28v=ws.10%29.aspx
Microsoft’s solution works with any
Microsoft operating system and with
any networking equipment, as long as
Windows 2008 Server is part of the
network health decision-making process

25

26
Estándares – TNC
 Es una arquitectura abierta.
 Sigue un modelo basado en políticas.
The TCG program was designed to
support any operating system and any
networking equipment
http://www.trustedcomputinggroup.org/resources/trusted_network_connect_tnc_pervasive_security_faq
The Trusted Computing Group (TCG) is a not-
for-profit organization formed to develop,
define and promote open, vendor-neutral,
global industry standards, supportive of a
hardware-based root of trust, for
interoperable trusted computing platforms.

27

28
JULY 6, 2006 I WWW.NWC.COM

29
Trabajo práctico
 ¿Cómo plantearía implementar la seguridad de esta red?
 Grupos de tres.
 30 minutos. http://www.strongswan.org/uml/testresults/tnc/tnccs-20/

Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Gracias por su atención
¿Preguntas?

Curso: Control de acceso y seguridad: 09 Controles que son apropiados de aplicar en una red de datos corporativa

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Curso: Control de acceso y seguridad: 09 Controles que son apropiados de aplicar en una red de datos corporativa

Similar a Curso: Control de acceso y seguridad: 09 Controles que son apropiados de aplicar en una red de datos corporativa (20)

Más de Jack Daniel Cáceres Meza

Más de Jack Daniel Cáceres Meza (20)

Último

Último (15)

Curso: Control de acceso y seguridad: 09 Controles que son apropiados de aplicar en una red de datos corporativa