Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Sustentación

No description
by

Mariandrea Cruz

on 6 November 2012

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Sustentación

Para la implementación del SGSI y de acuerdo con el análisis de Ethical hacking y OSSTMM, se deben utilizar las normas ISO 27001:2005 y 27002:2005 para colocar los controles acordes a las buenas prácticas, como se menciona en esta propuesta Revisar el proceso de sistema de gestión de la calidad actual para adaptarle y agregarle procedimientos tendientes a la prevención de amenazas y ataques, utilizando la metodología propuesta por la OSSTMM, en donde se haga un análisis de las vulnerabilidades del equipo, más que hacer un análisis de riesgos y amenazas (ataques), con el fin se ofrecer a la comunidad universitaria un sistema seguro y protegido Es posible alinear los controles propuestos basados en la norma ISO 27001:2005. Esto con base en los resultados obtenidos en el RAV para cada activo.
Iniciando con el análisis del proceso GSI actual y aplicando la metodología propuesta fue posible proponer un procedimiento que incluye las buenas prácticas y la aplicación de controles, que al ser implementado mejorara el esquema actual. Para la reducción de la superficie de ataque es necesario realizar y diseñar controles adecuados con el fin de reducir el riesgo. El riesgo se reduce en la medida en que se aleja la fuente de la amenaza, es decir que se debe eliminar la fuente del posible riesgo (Vulnerabilidad) o eliminar totalmente la amenaza.
Según el paso metodológico correspondiente en el análisis de resultados de la aplicación de los controles mediante el uso del RAV se debe considerar la visibilidad, el acceso y la confianza del activo. Si se desarrolla correctamente la metodología planteada los RAV deberían estar cercamos a 100 %. Con el diseño de lineamientos de seguridad basados en Ethical Hacking para el GSI, como el primer paso de la propuesta metodológica, se propone una serie de actividades, que al aplicarlas deben dar como resultado el diagnóstico del estado actual de la seguridad en la Universidad Autónoma de Occidente.
La aplicación de la metodología OSSTMM permite caracterizar la superficie de ataque de los diferentes activos considerados mediante la aplicación de los criterios definidos en ella, considerando principalmente los puntos y vectores de interacción y determinando las limitaciones basadas en las reglas del negocio que a su vez determinan los controles que se debe aplicar sobre cada activo. Elección de controles según ISO 27001:2005 Y 27002:2005
Basados en el análisis del RAV
Selección de controles según la ISO 27001
Selección de lineamientos según la ISO 27002 Aplicación de Ethical Hacking a cada activo.
Testeo de cada activo
Determinación de vulnerabilidades La norma ISO 27001 define los requisitos para configurar un SGSI, garantizando la elección de controles adecuados, gestionando los activos de información.
La norma ISO 27002 se constituye en una guía de buenas prácticas para la gestión de la seguridad de la información.
La propuesta:
- Revisa los controles propuestos por la OSSTMM 3.0
- Busca los controles en la ISO 27001
- Busca los lineamientos correspondientes a estos controles en la ISO 27002 Metodología OSSTMM 3.0 es una de las metodologías para realizar un test de intrusión, en donde lo que se debe tener en cuenta es la seguridad y protección de los activos.
La propuesta:
- Más que definir las amenazas y riegos, se determinan las superficies de ataque por objetivo.
- Se consideran tres elementos fundamentales para cada activo: Metodología Un análisis de seguridad basado en Ethical Hacking se hace mediante la ejecución de un test de intrusión controlado, para encontrar las vulnerabilidades del sistema.
La propuesta: Metodología Procedimiento de respuesta a eventos e incidentes Hace parte de un proyecto global propuesto por la División de Tecnologías:
- Propuesta metodológica y creación de un procedimiento para el SGSI.
- Análisis de Riesgos. (SARI)
- Implementación de la propuesta metodológica.
Confidencialidad y limitaciones de la universidad
Planteamiento de lineamientos, controles y procesos referentes a la seguridad operacional del SGSI
Propuesta metodológica cuyo resultado es un procedimiento para el SGSI, que será implementado en el tercer proyecto Fortalecimiento de los tres factores de seguridad:
- Confidencialidad
- Disponibilidad
- Integridad
Requiere de metodologías:
- Conjunto de métricas y herramientas para proteger la información
- Asegurar que los recursos sean utilizados de la manera en cómo se definieron.
- Certificación del sistema
- Evaluación de la Seguridad Operacional
- Fortalecer el proceso de Gestión de la Seguridad de la Información 1. Diseñar lineamientos de seguridad basados en Ethical Hacking, analizando la seguridad operacional del proceso de Gestión de Seguridad de la Información (GSI), los cuales puedan ser aplicados a los procesos de plataforma tecnológica de la Universidad.
2. Aplicar los criterios contemplados en las mejores prácticas con respecto a la Seguridad de la Información, caracterizando la superficie de ataque del proceso GSI, basado en la metodología OSSTMM 3.0.
3. Minimizar la superficie de ataque, mediante la aplicación de controles a los procedimientos de plataforma tecnológica relacionados con GSI, bajo la metodología OSSTMM 3.0.
4. Analizar las mejoras propuestas, con la aplicación de los controles, mediante la aplicación de los Valores de Evaluación del Riesgo (RAV).
5. Establecer las políticas metodológicas para alinear el resultado de la aplicación del test de intrusión con los controles aplicables de la norma ISO 27001:2005.  
Normalizar el proceso de ejecución de Ethical Hacking, planteando recomendaciones de Seguridad de la Información en la Universidad Autónoma de Occidente, mediante de la definición de su seguridad operacional. Tendencia de la globalización de la información e incremento de la conectividad y ampliación de redes de comunicación:
Diseño de sistemas de seguridad
Niveles adecuados de protección
Metodologías y normas sobre seguridad operacional (Ethical Hacking, OSSTMM, ISO 27000)
Sistema de gestión de la información en la debe ser abierto con una gran conectividad lo que la hace vulnerable ante posibles ataques.
Proceso de Gestión de Seguridad de la Información en la implementa el procedimiento que responde a evento e incidentes de seguridad informática
Metodología actual implementada por la División de Tecnologías, realizada en forma esporádica cuando ocurre un incidente, los resultados varían según el evaluador. (Proceso de respuesta)
Con el desarrollo de nuevos procedimientos estructurados y periódicos se pueden obtener resultados consistentes y fortalecer los demás procesos.
Se hace necesario el desarrollo de metodologías que certifiquen la seguridad de SGSI. Descripción del problema CONTENIDO FEDERICO CRUZ SÁNCHEZ
2030243 NORMALIZACIÓN DEL PROCESO DE EJECUCIÓN DE ETHICAL HACKING Y NOTIFICACIÓN DE RECOMENDACIONES DE SEGURIDAD DE LA INFORMACIÓN DE LA UNIVERSIDAD AUTÓNOMA DE OCCIDENTE: DEFINICIÓN DE SEGURIDAD OPERACIONAL Como resultado de lo anterior se propone un procedimiento para el SGSI, el cual será implementado en otro proyecto. Metodología Es un procedimiento de respuesta a eventos e incidentes de seguridad informática ANALISIS DEL FLUJOGRAMA DEL PROCESO ACTUAL NILSON FERNANDO RODRIGUEZ PALACIOS 2046104 Recomendaciones Objetivos Justificación y Alcance Metodología Análisis del proceso actual: Gestión de la Seguridad
de la Información Propuesta metodológica Proceso propuesto Conclusiones Objetivo General Objetivos Específicos Incidente: evento o serie de eventos de seguridad de la información no deseados o inesperados, que obtienen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información. Evento: presencia identificada de una condición de un sistema, servicio o red, que indica una posible violación de la política de seguridad de la información o las salvaguardas. Inicia con un reporte de evento o incidente Se hace un análisis para determinar su incidencia Se busca la forma de solucionarlo con el análisis de las bases de conocimiento o asignación de personal idóneo. Se plantea la solución Se reporta Se implementa la solución Se monitorea el cambio Inicia con el análisis de permisos y accesos, análisis de vulnerabilidades y análisis de amenazas y riegos. Con esta información se hace el diseño del test de intrusión, en donde para cada actividad de intrusión se utilizan una serie de herramientas para su realización. Vectores de interacción (Porosidad). Controles que sobre éste aplica. Limitaciones que describen el estado actual del sistema en cuanto a errores se refiere. - Basada en el concepto de RAV Basada en cuatro aspectos: Selección de activos
Selección de activos críticos
Planeación del test de intrusión Aplicación de la metodología OSSTMM.
Determinación de la porosidad del activo.
Determinar los controles por activo dada la metodología.
Determinar las limitaciones.
Aplicación del RAV
Análisis de RAV ¿Preguntas? Metodología descriptiva, basada en conceptos teóricos Inicialmente se analizó el sistema de seguridad de la información actual Se definieron los activos a proteger Se les aplicaron los conceptos de Ethical Hacking Se definieron los controles basados en la OSSTMM 3.0 (RAV) Los controles se alinearon con la ISO 27001 y 27002 Se planteó una metodología que permite analizar el SGSI en forma periódica En el caso de ataques y cuando se haya detectado una anomalía por parte del sistema de gestión de la información actual, debería aplicarse el servicio de Ethical Hacking con los pasos proporcionados en esta metodología para realizar los test de intrusión correspondientes y así determinar o detectar la vulnerabilidad del sistema Si bien se considera que el uso de estos controles y la puesta en marcha de los mismos pueden ser dispendiosos se recomienda hacerla por partes, acorde a los resultados de los valores dados por la aplicación de los RAV (activos críticos) y de los test de intrusión de Ethical Hacking (activos amenazados) Más específicamente se recomienda el uso de Honeypots o Honeynet para asegurar el sistema y así atraer a los atacantes hacia información irrelevante Para aplicar la metodología OSSTMM y obtener resultados reales se debe hacer un análisis completo y real de cada uno de los activos a considerar Justificación Alcance
Full transcript