Nathali Garca Franklin Pamela Vargas Lanchipa Curso: Auitoria e !istemas Contables Tema" #!$ %&'(( Profesor: Gustavo )orote Chamorro Carrera: Ciencias Contables * Financieras Ciclo: #+ TACNA-PER 2013 INTRODUCCIN A LA ISO 27033 Parte 1: $,rece orientaci-n sobre la ienti,icaci-n * an.lisis e riesgos e seguria e re Dispone e e,inici-n e los re/uisitos e seguria e re e base on lo anterior Proporciona in,ormaci-n general sobre los controles e seguria para soportar ar/uitecturas e seguria t0cnica e la re Abrazos otros controles t0cnicos no se limita a las rees1 enlazano as con la norma #!$ %&'' * #!$ %&''% E2plica una ruta para introucir las ar/uitecturas e seguria t0cnica e la re e calia Cubre la implementaci-n * operaci-n e los controles e seguria e re1 * el seguimiento permanente * la revisi-n Otras ISO 27033-2 !eguria e re 3 Parte %" Directrices para el ise4o * la implementaci-n e seguria e la re ISO 27033-3 !eguria e re 3 Parte (" 5e,erencia escenarios e rees 3 5iesgos1 t0cnicas e ise4o * cuestiones e control ISO 27033-4 !eguria e re 3 Parte 6" Protecci-n e las comunicaciones entre rees meiante gate7a*s e seguria 3 5iesgos1 t0cnicas e ise4o * cuestiones e control ISO 27033-5 !eguria e re 3 Parte 8" !eguria e las rees privaas virtuales 3 5iesgos1 t0cnicas e ise4o * cuestiones e control ISO 27033-6 !eguria e re 3 Parte 9" Convergencia #P ISO 27033-7 !eguria e re 3 Parte &" :ireless ISO 27033 SEGURIDAD DE LA RED 1. TCNICAS DE SEGURIDAD ISO / IEC 27033 Es un est.nar multi parte erivaa e la re e2istente e cinco partes est.nar e seguria #!$ ; #EC <='%=> !e est. revisano sustancialmente1 no s-lo cambia el nombre1 para enca?ar en la serie #!$%&k> mbito de api!a!i"# $ ob%eti&o @El prop-sito e la norma #!$ ; #EC %&'(( es proporcionar una gua etallaa sobre los aspectos e seguria e la gesti-n1 el ,uncionamiento * el uso e rees e sistemas e in,ormaci-n * sus intercone2iones> Las personas entro e una organizaci-n /ue se encargan e la seguria e in,ormaci-n en general * seguria e la re1 en particular1 eben ser capaces e aaptar el material en esta norma para satis,acer sus necesiaes espec,icas> @ACita e la FCD e %&'((3<B>#so;#EC %&'(( proporciona orientaci-n etallaa sobre la aplicaci-n e los controles e seguria e re /ue se introucen en la norma #!$ ; #EC %&''% > !e aplica a la seguria e los ispositivos conectaos en re * la gesti-n e su seguria1 las aplicaciones ; servicios * los usuarios e la re e rees1 aem.s e la seguria e in,ormaci-n /ue se trans,iere a trav0s e enlaces e comunicaciones> Est. irigio a la re e seguria e ar/uitectos1 ise4aores1 aministraores * o,iciales> Canto el nDmero e partes a la norma * su .mbito e aplicaci-n est.n su?etos a cambios como el est.nar continDa esarrollano al mismo tiempo /ue la seguria e la re est. evolucionano> ISO / IEC 27033'1(200) I#t*od+!!i"# a a ,e-+*idad de a *ed $ !o#!epto,( 5evisar * sustituir la norma #!$ ; #EC <='%= parte <E Proporciona una !"a #e r$ta * la %&s&'( )e(era* #e *!s +!(+e,t!s - ,r&(+&,&!s /ue sustentan las partes restantes e la norma #!$ ; #EC %&'((E $b?etivo" @e,inir * escribir los conceptos relacionaos con1 * proporcionar orientaci-n sobre la gesti-n e la seguria e la re> Esto inclu*e el suministro e una visi-n general e seguria e la re * las e,iniciones relacionaas1 * orientaci-n sobre la manera e ienti,icar * analizar los riesgos e seguria e re * luego e,inir los re/uisitos e seguria e re> Cambi0n se e2plica c-mo lograr buenos ar/uitecturas e seguria e calia t0cnica * los aspectos e riesgo1 ise4o * control asociaos con escenarios e re comunes * .reas FtecnologaG re H/ue se tratan en etalle en las partes posteriores e la norma #!$ ; #EC %&'((I> En e,ecto1 sino /ue tambi0n proporciona una visi-n general e la serie #!$ ; #EC %&'(( * una @ho?a e ruta@ para toas las em.s partes @E Proporciona un glosario e t0rminos e seguria e la in,ormaci-n espec,icas para la creaci-n e reesE Proporciona orientaci-n sobre un proceso estructurao para ienti,icar * analizarlos riesgos e seguria e re * por lo tanto e,inir los re/uisitos e control e seguria e la re1 incluios los ,i?aos por las polticas e seguria e La in,ormaci-n pertinentesE Proporciona in,ormaci-n general sobre los controles e soporte ar/uitecturas e rees t0cnicas e seguria * los controles t0cnicos relacionaos1 as como los controles no t0cnicos1 aem.s e otros controles t0cnicos /ue no est.n e2clusivamente relacionaos con la seguria e la re H/ue une as a la norma #!$ ; #EC %&''< 1 #!$ ; #EC %&''%e#!$ ; #EC %&''8 1 m.s otras normas #!$%&k *a /ue se liberanIE E2plica las buenas pr.cticas en materia e ar/uitectura e seguria t0cnica ela re1 as como los aspectos e riesgo1 ise4o * control asociaos con escenarios e re comunes * .reas e tecnologa e re Hampliao en las partes posteriores e la norma #!$ ; #EC %&'(( 3 v0ase m.s aelanteIE Jrevemente se ocupa e los asuntos relacionaos con la implementaci-n * operaci-n e los controles e seguria e la re1 as como el seguimiento * la revisi-n en curso e su aplicaci-nE E2tiene las irectrices e gesti-n e seguria previstas en la norma #!$ ; #ECC5 <(((8 * la #!$ ; #EC %&''%1 etc> > etallano las operaciones * los mecanismos espec,icos /ue se necesitan para implementar controles e seguria e re en una amplia gama e entornos e re1 proporcionano un puente entre la in,ormaci-n e los problemas e gesti-n e seguria generales * los espec,icos e la implementaci-n e controles e seguria e re en gran meia t0cnicas H p> e? > ,ire7alls1 #D! ; #P!1 el mensa?e integria controla etc >IE )enciones re/uisitos como el no repuio * ,iabilia1 aem.s e la C#A traa cl.sica Hcon,iencialia1 integria * isponibiliaIE De alguna manera se las arregla para o,recer un panorama razonablemente t0cnica e seguria e la re con apenas ninguna re,erencia a la pila e re $!#E Esta#!: parte < se ,$.*&+' e( 200/ * est. isponible en la #!$ ; #EC :ebstore e CKF<=6> La norma est. sieno revisaa1 pero sin lascontribucio nes hasta el momento e organismos nacionales1 parece /ue no va a cambiar muchoL ISO / IEC 27033'2(2012 Di*e!t*i!e, pa*a e di,e.o $ a impeme#ta!i"# de ,e-+*idad de a *ed 5evisar * sustituir la norma #!$ ; #EC <='%= parte %E Alcance" plani,icaci-n1 ise4o1 implementaci-n * ocumentaci-n e seguria ela reE $b?etivo" @para e,inir c-mo las organizaciones eben lograr ar/uitecturas e calia e la re e seguria t0cnica1 ise4os e implementaciones /ue garanticen la seguria e la re aecuaa a sus entornos e negocio1 utilizano un en,o/ue coherente para la plani,icaci-n1 ise4o e implementaci-n e seguria e la re1 segDn procea a*uao por el uso e los moelos ;marcos> HEn este conte2to1 se utiliza un moelo ; marco para elinear una representaci-n o una escripci-n /ue muestra la estructura * el ,uncionamiento e alto nivel e un tipo e ar/uitectura ; ise4o e la seguria t0cnicaI De,ine una ar0$&te+t$ra #e se)$r&#a# #e re# para garantizar la seguria e re e e2tremo a e2tremo> La ar/uitectura se puee aplicar a iversos tipos e rees en las /ue la seguria e e2tremo a e2tremo es una preocupaci-n * e,orma inepeniente e la tecnologa sub*acente e la reE !irve como base para recomenaciones etallaas sobre la seguria e re e e2tremo a e2tremoE Cubre los riesgos1 ise4o1 t0cnicas * problemas e controlE !e re,iere con inter0s las Dltimas partes e la norma #!$ ; #EC %&'(( para una orientaci-n m.s espec,ica> ISO / IEC 27033'3(2010 Re/e*e#!ia e,!e#a*io, de *ede, 0 a, ame#a1a,2 a, t3!#i!a, de di,e.o $ !+e,tio#e, de !o#t*o El ob?etivo es @para e,inir los espec,icos r&es)!s1 t2+(&+as #e #&se3! - ,r!.*e4as #e +!(tr!* asociaos con los escenarios tpicos e la reE Discute las amenazas1 espec,icamente1 m.s /ue toos los elementos e riesgoE !e re,iere a otras partes e la norma #!$ ; #EC %&'(( para una orientaci-n m.s espec,icaE Esta#!: parte ( se ,$.*&+' e( 2010 * est. isponible en la #!$ ; #EC :eb store e CKF<%=> ISO / IEC 27033'4 ( 5*ote-e* a, !om+#i!a!io#e, e#t*e *ede, media#te -ate6a$, de ,e-+*idad 75RO8ECTO 9INA:; 5evisi-n e la Norma #!$ ; #EC <='%= parte ( *1 posiblemente1 #!$ ; #EC <='%= parte 6 E Proporciona una visi-n general e *!s )ate5a-s #e se)$r&#a# a trav0s e una escripci-n e las i,erentes ar/uitecturasE $b?eto e la norma" @proporcionar orientaci-n sobre la manera e ienti,icar * analizar las amenazas e seguria e re asociaos con los gate7a*s e seguria1 e,inir los re/uisitos e seguria e re para gate7a*s e seguria basaas en el an.lisis e amenazas1 la introucci-n e t0cnicas e ise4o para lograr una ar/uitectura e seguria t0cnica e la re para hacer ,rente a las amenazas * aspectos e control relacionaos con los escenarios tpicos e la re1 * hacer ,rente a los problemas asociaos con la implementaci-n1 operaci-n1 seguimiento * revisi-n e los controles e seguria e las rees con las pasarelas e seguria> @EDescribe c-mo los gate7a*s e seguria analizar * controlar el tr.,ico e re a trav0s e" o ,iltrao e pa/uetesE o inspecci-n e estao e pa/uetesE o pro2* e aplicaci-n H,ire7alls e aplicaci-nIE o Net7ork Aress Cranslation NACE o an.lisis e contenio * la ,iltraci-nE Guas e selecci-n * con,iguraci-n e los gate7a*s e seguria1 elegir el tipo e ar/uitectura para una puerta e enlace e seguria /ue me?or se aapte alas necesiaes e seguria e una organizaci-nE Puee incorporar el asesoramiento en la gesti-n * la inter,az con los corta ,uegos * otras puertas e enlaceE !e re,iere a *!s +!rta6$e)!s como e?emplos e gate7a*s e seguria Hun t0rmino comDn /ue es curiosamente ausente e la norma #!$ ; #EC %&''% * no se e,ine e2plcitamente en esta norma tampocoIE Esta#!: versi-n ,inal isponible para !C%& 3 probabilia e ser publicaos urante el a4o %'<(> ISO 7 IEC 27033-5 : Pr!te)er *as +!4$(&+a+&!(es a tra%2s #e re#es 0$e $t&*&8a( re#es ,r&%a#as %&rt$a*es 9:PN; 9PRO<ECTO =INAL; 5evisi-n e la Norma #!$ ; #EC <='%= parte 8 E $b?etivo" o,recer @irectrices para la selecci-n1 implementaci-n * seguimiento e los controles t0cnicos necesarios para garantizar la seguria e la re meiante cone2iones e rees privaas virtuales HVPNI para interconectar las rees * conectar a los usuarios remotos a las reesME E2tiene las irectrices e gesti-n e seguria e C# e la norma #!$ ; #EC C5<(((81 etallano las operaciones * los mecanismos espec,icos /ue se necesitan para poner en pr.ctica meias e seguria e la re * los controles en una gama m.s amplia e entornos e re1 proporcionano un puente entre la eucaci-n general los problemas e gesti-n e seguria e C# * e re implementaciones t0cnicas e seguriaE Proporciona orientaci-n para garantizar el acceso remoto a trav0s e rees pDblicasE Proporciona una evaluaci-n incompleta e alto nivel sobre las amenazas a las VPN Hes ecir1 /ue menciona las amenazas e intrusi-n * la enegaci-n eservicio1 pero no autorizaos monitoreo ; intercepci-n1 an.lisis e tr.,ico1 corrupci-n e atos1 inserci-n e tr.,ico ,also1 varios ata/ues a puntos ,inales e VPN1 mal7are1 is,razao ; robo e ientia1 in,ormaci-n privilegiaa amenazas etc>1 aun/ue estos son mencionaos o al menos insinuao3en aelante ba?o los re/uisitos e seguriaI>E Presenta i,erentes tipos e acceso remoto con inclusi-n e protocolos1 los problemas e autenticaci-n * el apo*o al con,igurar el acceso remoto e ,orma seguraE Dise4ao para a*uar a los aministraores e re * t0cnicos /ue planean hacer uso e este tipo e cone2i-n o /ue *a lo tienen en uso * necesito conse?os sobre la ,orma e con,igurarlo e ,orma segura * operar e ,orma seguraE Esta#!: D#! isposici-n !C%& 3 probabilia e ser publicaos urante el a4o%'<(> ISO / IEC 27033'<( Se-+*idad de a!!e,o a a *ed I5 media#te a te!#oo-=a i#a>mb*i!a 75RO8ECTO; $b?etivo" @para e,inir los riesgos espec,icos1 t0cnicas e ise4o * cuestiones e control para asegurar *as re#es #e ra#&! &(a*>4.r&+a - @Acita e la FCD e%&'((3<BE Esta#!: la norma est. en preparaci-n * ebera surgir a ,inales e %'<8>Nna e las propuestas es la parte 9 ebe ser un punto e re,erencia gen0rico o est.nar e seguria inal.mbrica mnima1 remitieno al lector a otras normas etallaas para proteger las tecnologas espec,icas e re inal.mbrica Hpor e?emplo :iFi> 1 (G1 Jluetooth 1 etc >I sin tratar e representar o uplicarlas> Daa la rapiez e los cambios en las tecnologas inal.mbricas1 /ue pora ser el Dnico en,o/ue viable para la !C%&> ISO / IEC 27033'7( Di*e!t*i!e, pa*a a,e-+*a* ?ot*o, a,pe!to, de a ,e-+*idad de a *ed a@+=A ' Rie,-o,2 t3!#i!a, de di,e.o $ !+e,tio#e, de !o#t*o 7po,ibe, pie1a, adi!io#ae,; !in per?uicio e nuevas propuestas e traba?o el artculo e ser aprobao por !C%&1es posible /ue con el tiempo habr. m.s partes e #!$ ; #EC %&'((1 /ue cubre @riesgos1 t0cnicas e ise4o * problemas e control@ en aspectos tales como" o 5ees e .rea localE o :ANE o 5ees e bana anchaE o 5ees e vozE o Ar/uitecturas e alo?amiento 7ebE o Ar/uitecturas e correo electr-nico e #nternet Htanto entrante * salienteLI1 O o En rutao acceso a terceras organizaciones> Cambi0n es posible /ue algunos e estos ser.n aecuaamente cubiertos por los primeros 9 partes por lo /ue las piezas aicionales pueen no ser necesarios> E,tado( primeros as>
IN=OR?ACIN ADICIONAL #!$ %&'(( es relevante para los involucraos en poseer1 operar o utilizar una re1 incluios los /ue participan en la plani,icaci-n1 ise4o e implementaci-n e los aspectos ar/uitect-nicos e la seguria e la re> 2@ E* Est>(#ar I(ter(a+&!(a* ,ara *a Se)$r&#a# #e re# #!$ ; #EC %&'((3<"%''P proporciona una visi-n general e seguria e la re * las e,iniciones relacionaas> !e e,ine * escribe los conceptos asociaos a1 * proporciona orientaci-n sobre la gesti-n e la seguria e la re> !eguria e la re se aplica a la seguria e los ispositivos1 la seguria e las activiaes e gesti-n relacionaas con los ispositivos1 aplicaciones ; servicios * usuarios ,inales> Aem.s e la seguria e la in,ormaci-n /ue se trans,iere a trav0s e los enlaces e comunicaci-n> 3@ AB$2 es ISO7IEC27033-1 .$s+asC Proporciona orientaci-n sobre la manera e ienti,icar * analizar los riesgos e seguria e re * la e,inici-n e los re/uisitos e seguria e re basaos en icho an.lisis1 Proporciona una visi-n general e los controles /ue amiten ar/uitecturas e seguria t0cnica e la re * los controles t0cnicos relacionaos> As como los controles no t0cnicos * controles t0cnicos /ue son aplicables no s-lo a las rees1 Presenta la ,orma e lograr buenas ar/uitecturas e calia e la re e seguria t0cnica * los aspectos e riesgo1 ise4o * control asociaos con escenarios e re comunes * .reas e GtecnologaG e la re H/ue se tratan en etalle en las partes posteriores e la norma #!$ ; #EC %&'((I * Jrevemente se ocupa e los asuntos relacionaos con la implementaci-n * operaci-n e los controles e seguria e la re> Aem.s e la continua supervisi-n * revisi-n e su aplicaci-n> 4@ AP!r 0$2 +!4,rar $(a +!,&a #e ISO27033C Proporciona una visi-n general e seguria e la re * las e,iniciones relacionaas> !e e,ine * escribe los conceptos asociaos a1 * proporciona orientaci-n sobre la gesti-n e la seguria e la re> A*uar a asegurar /ue su re es segura> Jrevemente se ocupa e los asuntos relacionaos con la implementaci-n * operaci-n e los controles e seguria e la re> Que le a una introucci-n b.sica a los conceptos trataos en las partes posteriores e la norma> El asesoramiento * orientaci-n en esta norma se escriben e ,orma gen0rica1 por lo /ue es aplicable sin importar el tama4o1 tipo o ubicaci-n e su organizaci-n>