Evaluacion De Seguridad
Páginas: 20 (4759 palabras)
Publicado: 1 de octubre de 2012
Evaluación de Seguridad
El auditor debe verificar que se tengan presenten y se implementen medidas que a partir de los riesgos planteados y dada la importancia del sistema para la organización minimicen las amenazas.
Medidas de Control
- Conocimiento de los riesgos a que esta expuesta la instalación en particular.
- Conocimiento y corrección o "parcheo" de los problemas detectados y/oreportados en versiones de - Sistemas Operativos y Servicios implementados. Este mecanismo parte de la instalación inicial.
- Concientización de los usuarios de los riesgos a que esta expuesta la instalación y el papel de cada uno en la protección. El 99% de los ataques se realizan apoyándose en fallas al interior de la organización.
- Implementación de políticas de seguridad en sistemas operativos.- Auditoria y monitoreo a trafico, accesos y cambios en el sistema.
- Uso de sniffer y scanner para conocer el estado del sistema.
- Montaje de Firewall (Muro de Protección): Software y hardware de seguridad encargado de chequear y bloquear el tráfico de la red hacia y/o desde un sistema determinado. Se ubica entre la red privada e Internet. Pueden ser enrutadores de filtración de paquetes ogateways de aplicaciones basados en proxy.
Utilización de herramientas para Detección de Intrusos (IDS)
Uso de protocolos seguros como SSL y HTTP-S
Requerimientos de certificados de autenticación en los casos de operaciones de alta importancia.
A nivel de la empresa en lo posible, tener los datos de importancia en zonas protegidas o fuera del acceso desde Internet.
Encriptación de los datossensitivos.
Evaluar que los usuarios usan solo los servicios requeridos para su labor y que no exponen la seguridad con el uso de IRC, P2P, etc.
Se debe considerar la posibilidad de apoyarse en Hacking Ético para evaluar la seguridad del sistema.
GUIA PARA LA EVALUACION DE SEGURIDAD EN UN SISTEMA
Luz Marina Santos
Universidad de Pamplona
lsantos@unipamplona.edu.co
Teléfono: 5685303 Ext.141
Carrera 9 # 5-53 2do. Piso Pamplona
Resumen
Este documento presenta una serie de delineamientos básicos productos de la experiencia e investigación para la evaluación de seguridad en un sistema, con el objeto de articular diversos conceptos y técnicas para la identificación y valoración de riesgos. El artículo se enfoca primordialmente en los métodos de análisis de riesgos, checklist yauditoria.
Palabras claves
Riesgo, amenaza, impacto, frecuencia, vulnerabilidad, checklist, políticas de seguridad y auditoria.
1. INTRODUCCION
A nivel de investigación y academia diversas metodologías para implantar seguridad en sistemas han sido planteadas: Metodología de implantación de seguridad en redes [ACOS-98], “Metodología para la implantación de seguridad enaplicaciones distribuidas [SANT-99], etc; también se elaboran otra serie de metodologías por analistas de seguridad que laboran en la empresa privada.
Todas las metodologías llegan a un punto donde se preguntan ¿cómo valorar el impacto que causaría a un sistema la consecución de una amenaza?, la respuesta no es fácil, requiere de un análisis serio por parte del grupo de personas encargado derealizar dicha valoración.
El objetivo del presente es exponer y presentar algunas reflexiones sobre tres métodos tradicionales para evaluar la seguridad de un sistema: análisis de riesgos, listas de chequeo y auditoria.
En áreas donde las pérdidas esperadas y frecuencia de las amenazas están bien definidas, el análisis de riesgos puede ser usado. Donde las pérdidas esperadas y frecuencia de lasamenazas no esta claro, se pueden usar inicialmente listas de chequeo para verificar los principios y prácticas de seguridad estándares. Requerimientos de seguridad adicionales pueden ser determinados con métodos de auditoria o evaluaciones de protección de seguridad. [FIPS-79]
2. APLICACIÓN DE LOS METODOS DE EVALUACION
No se trata de especificar en qué o...
El auditor debe verificar que se tengan presenten y se implementen medidas que a partir de los riesgos planteados y dada la importancia del sistema para la organización minimicen las amenazas.
Medidas de Control
- Conocimiento de los riesgos a que esta expuesta la instalación en particular.
- Conocimiento y corrección o "parcheo" de los problemas detectados y/oreportados en versiones de - Sistemas Operativos y Servicios implementados. Este mecanismo parte de la instalación inicial.
- Concientización de los usuarios de los riesgos a que esta expuesta la instalación y el papel de cada uno en la protección. El 99% de los ataques se realizan apoyándose en fallas al interior de la organización.
- Implementación de políticas de seguridad en sistemas operativos.- Auditoria y monitoreo a trafico, accesos y cambios en el sistema.
- Uso de sniffer y scanner para conocer el estado del sistema.
- Montaje de Firewall (Muro de Protección): Software y hardware de seguridad encargado de chequear y bloquear el tráfico de la red hacia y/o desde un sistema determinado. Se ubica entre la red privada e Internet. Pueden ser enrutadores de filtración de paquetes ogateways de aplicaciones basados en proxy.
Utilización de herramientas para Detección de Intrusos (IDS)
Uso de protocolos seguros como SSL y HTTP-S
Requerimientos de certificados de autenticación en los casos de operaciones de alta importancia.
A nivel de la empresa en lo posible, tener los datos de importancia en zonas protegidas o fuera del acceso desde Internet.
Encriptación de los datossensitivos.
Evaluar que los usuarios usan solo los servicios requeridos para su labor y que no exponen la seguridad con el uso de IRC, P2P, etc.
Se debe considerar la posibilidad de apoyarse en Hacking Ético para evaluar la seguridad del sistema.
GUIA PARA LA EVALUACION DE SEGURIDAD EN UN SISTEMA
Luz Marina Santos
Universidad de Pamplona
lsantos@unipamplona.edu.co
Teléfono: 5685303 Ext.141
Carrera 9 # 5-53 2do. Piso Pamplona
Resumen
Este documento presenta una serie de delineamientos básicos productos de la experiencia e investigación para la evaluación de seguridad en un sistema, con el objeto de articular diversos conceptos y técnicas para la identificación y valoración de riesgos. El artículo se enfoca primordialmente en los métodos de análisis de riesgos, checklist yauditoria.
Palabras claves
Riesgo, amenaza, impacto, frecuencia, vulnerabilidad, checklist, políticas de seguridad y auditoria.
1. INTRODUCCION
A nivel de investigación y academia diversas metodologías para implantar seguridad en sistemas han sido planteadas: Metodología de implantación de seguridad en redes [ACOS-98], “Metodología para la implantación de seguridad enaplicaciones distribuidas [SANT-99], etc; también se elaboran otra serie de metodologías por analistas de seguridad que laboran en la empresa privada.
Todas las metodologías llegan a un punto donde se preguntan ¿cómo valorar el impacto que causaría a un sistema la consecución de una amenaza?, la respuesta no es fácil, requiere de un análisis serio por parte del grupo de personas encargado derealizar dicha valoración.
El objetivo del presente es exponer y presentar algunas reflexiones sobre tres métodos tradicionales para evaluar la seguridad de un sistema: análisis de riesgos, listas de chequeo y auditoria.
En áreas donde las pérdidas esperadas y frecuencia de las amenazas están bien definidas, el análisis de riesgos puede ser usado. Donde las pérdidas esperadas y frecuencia de lasamenazas no esta claro, se pueden usar inicialmente listas de chequeo para verificar los principios y prácticas de seguridad estándares. Requerimientos de seguridad adicionales pueden ser determinados con métodos de auditoria o evaluaciones de protección de seguridad. [FIPS-79]
2. APLICACIÓN DE LOS METODOS DE EVALUACION
No se trata de especificar en qué o...
Leer documento completo
Regístrate para leer el documento completo.