Académique Documents
Professionnel Documents
Culture Documents
seguridad
Modelo de Seguridad
Es un marco de referencia dentro del cual se pueden
Modelos de seguridad
OCTAVE
OCTAVE
OCTAVE (Operationally Critical Threat, Asset and
OCTAVE
Elementos principales
Medidas de probabilidad considerando un rango de frecuencias
Anlisis del lmite ente niveles de probabilidad
OCTAVE
Contempla tres modelos:
Mtodo OCTAVE. Formulas las bases para el cuerpo principal de
conocimiento.
Mtodo OCTAVE-S. Es el mtodo usado en organizaciones
pequeas
Mtodo OCTAVE Allegro. Enfoque amplio para la evaluacin y
aseguramiento seguro de informacin.
informacin.
Manual de seguridad que puede ser utilizado como estndar
para establecer Polticas de Seguridad.
Caractersticas:
Se debe poder poner en prctica mediante procedimientos descritos
Cisco SAFE
Es un modelo con un enfoque de seguridad por capas, que presenta
un diseo modular.
No es un modelo de seguridad aislado, supone que los usuarios
tienen ya su propio modelo de seguridad por lo que SAFE acta
como un Addendum especfico para seguridad de redes.
Cisco SAFE
Presenta seis metas de seguridad:
Seguridad y mitigacin de ataques basada en polticas
Implementacin de seguridad a travs de la infraestructura
Gestin y reportes seguros
Autenticacin y autorizacin de usuarios y administradores a
recursos de red crticos
Deteccin de intrusiones para recursos crticos y subredes
Soporte a aplicaciones de red emergentes
ISO 27001
El ISO-27001:2005 es aceptado internacionalmente para la
ISO 27001
Su ttulo completo es BS 7799-2:2005 (ISO/IEC 27001:2005).
Dominios de
seguridad de red
ISO/IEC 27002:2013
especifica 14 dominios de
seguridad de redes
Proveen un marco de trabajo
organizado para facilitar la
comprensin de la seguridad
de una red.
En Bolivia IBNORCA aprob
en 2007 una actualizacin a
la norma bajo la sigla NB
ISO/IEC 17799:2005.
Actualmente el IBNORCA ha
emitido la norma NB ISO/IEC
27001 y NB ISO/IEC 27002
Axiomas de la Seguridad
Las prioridades del negocio son primero
Axiomas de la Seguridad
Las prioridades del negocio son primero
Es absolutamente necesario asegurar que el negocio pueda
continuar para evolucionar.
Muchas veces los requerimientos del negocio pueden ir en
Axiomas de la Seguridad
Todo es un objetivo
Se debe considerar la gran interdependencia de las redes
actuales. Hay varias formas de lograr un mismo ataque.
Muchas implementaciones de seguridad suelen preocuparse ms por
Todo es un arma
Todo puede ser usado como un arma y servir para realizar
ataques contra futuros objetivos.
A menudo los aspectos que se deben proteger y la forma en la cual se
Axiomas de la Seguridad
Optar por la simplicidad operacional
Buscar mecanismos de seguridad simples operacionalmente, su
complejidad puede facilitar su compromiso.
No confundir simplicidad operacional con la simplicidad topolgica.
Simplicidad operacional significa la diferencia entre un sistema seguro que
Axiomas de la Seguridad
Evitar la seguridad a travs de la obscuridad
El diseo de seguridad debe ser indiferente de lo que
otros puedan conocer.
No significa que no se puedan usar mecanismos basados en
Desarrollo de un
sistema de seguridad
Se tienen tres pasos:
Revisin de los factores para la
poltica de seguridad
Desarrollo de la poltica de
seguridad
Diseo del sistema de seguridad
contra medidas
Polticas importantes
Uso aceptable
Conexiones a/desde redes remotas
Niveles de sensibilidad de la informacin que maneja una organizacin
Proteccin de la privacidad de los usuarios de la red y sus datos
Lineamientos que deben seguir todos los dispositivos antes de conectarse
a la red
seguro.
Implementacin del reforzamiento de los equipos
Configuracin de los dispositivos de red
Verificacin de conformidad
Es el proceso que toma las polticas, estndares y guas
Costo de la seguridad
El esfuerzo econmico en seguridad es imposible de medir pero
Costos colaterales
Costos & ROI (Return of Investment)
Costos de personal
Difcil encontrar tcnicos cualificados
Muy alta rotacin en segn que sectores
Costos tecnolgicos: HW, SW, ROI
Costos ocultos (a menudo elevados)
Costos de cumplimiento de la legalidad
Costos de cumplimiento de polticas y normativas
Costos de seguros
Costos de Organizacin
Tiempo y esfuerzo en la integracin de sistemas de seguridad
En Bolivia se estima que los bancos gastan alrededor de 400 mil dlares
anuales en seguridad.
Mecanismos de seguridad
Caractersticas diseadas para detectar,
adecuada):
Cifrado, Firma digital, Control de acceso, Integridad de los datos,
Servicios de seguridad
Un servicio de procesamiento o de
Autenticacin (Authentication)
autorizada
M: cifrado
Garantiza que los mensajes se reciben tal y como son enviados (sin
un mensaje, respectivamente
M: firma digital, notarizacin
Disponibilidad
Evita que se interrumpa el servicio
Poltica de seguridad
Conjunto formal de reglas que todas las personas que
se realiza.
Caractersticas
A quines involucra?
Para que una poltica de seguridad sea apropiada y
explicados.
Es importante reconocer que existen excepciones a cada regla.
Cuando sea posible, la poltica debe explicar cules excepciones a la poltica
general existen.
Considerar el "Garbage Truck Syndrome", que se refiere a qu
Ejemplo de polticas
Estndares de seguridad
Conjunto mnimo de criterios operacionales para
Estndares de seguridad
NIST: National Institute of Standards and Technology
FIPS: Federal Information Processing Standards
SP: Special Publications
ISOC: Internet Society
Home for IETF (Internet Engineering Task Force) and IAB (Internet
Architecture Board)
RFCs: Requests for Comments
Ejemplo de Procedimientos
Consultas