sábado, 3 de octubre de 2015

Metodología MAGERIT Para Análisis de Riesgo Informático

El análisis de riesgos informáticos es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.

Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas financieras o administrativas a una empresa u organización, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicación de controles. Dichos controles, para que sean efectivos, deben ser implementados en conjunto formando una arquitectura de seguridad con la finalidad de preservar las propiedades de confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.


Metodología MAGERIT (Metodología de Análisis y Gestión de Riesgos de IT)

Es una metodología que se esfuerza por enfatizarse en dividir los activos de la organización en variados grupos, para identificar más riesgos y poder tomar contramedidas para  evitar así cualquier inconveniente.

Objetivos

Objetivos Directos
  • Concienciar a los responsables de los sistemas de información de la existencia  de riesgos y de la necesidad de atajarlos a tiempo. 
  • Ofrecer un método sistemático para analizar tales riesgos 
  • Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo  control
Objetivos Indirectos
  • Preparar a la Organización  para procesos de evaluación, auditoria,  certificación o acreditación, según corresponda en cada  caso..

Sub Modelos

Sub Modelo De Elementos
  • Es este submodelo se clasifican 6 elementos básicos que son: activos, amenazas, vulnerabilidades, impacto, riesgo, salvaguarda.
Sub Modelo De Eventos
  • Aquí se clasifican los elementos anteriores en tres formas: dinámico  físico, dinámico organizativo y estático.
Sub Modelo De Procesos
  • Se definen en 4 etapas: análisis de riesgo, planificación, gestión de riesgo y selección de salvaguardas

Volúmenes

Volumen I - Método
  • Es el volumen principal en el que se explica detalladamente la  metodología.

Volumen II – Catalogo  de elementos

  • Complementa el volumen principal proporcionando diversos inventarios de utilidad en la aplicación de la metodología. 
Volumen III – Guía de  técnicas
  • Complementa el volumen principal proporcionando una introducción de algunas de técnicas a utilizar en las  distintas fases del análisis de riesgos. 

Tecnicas

  • Análisis mediante tablas  
  • Análisis algorítmico 
  • Árboles de ataque 
  • Técnicas generales o  
  • Análisis coste-beneficio  
  • Diagramas de flujo de datos (DFD) 
  • Diagramas de procesos 
  • Técnicas gráficas 
  • Planificación de proyectos 
  • Sesiones de trabajo: entrevistas, reuniones y
  • presentaciones
  • Valoración Delphi

Publicado por en No hay comentarios:
Etiquetas:

Seguridad de la Información y Seguridad Informática



Es común hablar de seguridad informática y de seguridad de la información como si fueran la misma cosa y, a primera vista, pareciera ser, sobre todo si se tiene en cuenta que en la actualidad, gracias al constante desarrollo tecnológico, se tiende a digitalizar todo tipo de información y manejarla a través de un sistema informático. Sin embargo, aunque tengan la necesidad de trabajar en armonía, cada uno de estos aspectos tiene objetivos y actividades diferentes.

Por seguridad informática

Se entiende al conjunto de políticas, reglas, estándares, métodos y protocolos que se utilizan para la protección de la infraestructura de computadoras y toda la información contenida o administrada por ella. Esta información debe ser protegida de la posible destrucción, modificación, difusión o utilización indebida. No sólo se debe prestar atención a los ataques intencionales, sino también a posibles fallas de software o hardware que atenten contra la seguridad.




Por seguridad de la información 

Se refiere a todas aquellas medidas que procuren resguardar la información ante cualquier irregularidad. La principal diferencia entre seguridad informática y seguridad de la información es que la primera se encarga de la seguridad en un medio informático y la segunda se interesa en la información en general (figura), pudiendo ésta estar almacenada tanto en un medio informático como en cualquier otro. Por ejemplo, un manual de procedimientos escrito en papel, el conocimiento que poseen las personas, escrituras en pizarras y papeles que se descartan, son fuentes importantes de información.

Fuente; Gastón Alejandro Toth (Tesis)



Publicado por en No hay comentarios:
Etiquetas: ,

miércoles, 30 de septiembre de 2015

Categorizaciones OSSTMM (Pentesting)



OSSTMM plantea categorizaciones estándar, que permiten identificar claramente el alcance de cada una de las actividades, evitando inconvenientes en tal sentido:

  1. Búsqueda de Vulnerabilidades: Orientado principalmente a realizar comprobaciones automáticas de un sistema o sistemas dentro de una red.
  2. Escaneo de la Seguridad: Orientado a las búsquedas principales de vulnerabilidades en el sistema que incluyen verificaciones manuales de falsos positivos, identificación de los puntos débiles en el sistemas y análisis individualizado.
  3. Test de Intrusión: Se plantean test de pruebas que se centran en romper la seguridad de un sistema determinado.
  4. Evaluación de Riesgo: se refiere a los análisis de seguridad a través de entrevistas e investigación de nivel medio que incluye la justificación negocios, las justificaciones legales y las justificaciones específicas de la industria.
  5. Auditoria de Seguridad: Se refiere a la continua inspección que sufre el sistema por parte de los administradores que controlan que se cumplan las políticas de seguridad definidas.
  6. Hacking Ético: Orientado a tratar de obtener, a partir de los test de intrusión, objetivos complejos dentro de la red de sistemas.

Publicado por en No hay comentarios:
Etiquetas:

Etapas Que Comprende El OSSTMM


El Manual de la Metodología Abierta de Comprobación de la Seguridad (OSSTMM, Open Source Security Testing Methodology Manual) es uno de los estándares profesionales más completos y comúnmente utilizados en Auditorías de Seguridad para revisar la Seguridad de los Sistemas desde Internet. Incluye un marco de trabajo que describe las fases que habría que realizar para la ejecución de la auditoría. Se ha logrado gracias a un consenso entre más de 150 expertos internacionales sobre el tema, que colaboran entre sí mediante Internet. Se encuentra en constante evolución y actualmente se compone de las siguientes fases:


Sección A -Seguridad de la Información

  • Revisión de la Inteligencia Competitiva
  • Revision de Privacidad
  • Recolección de Documentos

Sección B – Seguridad de los Procesos

  • Testeo de Solicitud
  • Testeo de Sugerencia Dirigida
  • Testeo de las Personas Confiables

Sección C – Seguridad en las tecnologías de Internet

  • Logística y Controles
  • Exploración de Red
  • Identificación de los Servicios del Sistema
  • Búsqueda de Información Competitiva
  • Revisión de Privacidad
  • Obtención de Documentos
  • Búsqueda y Verificación de Vulnerabilidades
  • Testeo de Aplicaciones de Internet
  • Enrutamiento
  • Testeo de Sistemas Confiados
  • Testeo de Control de Acceso
  • Testeo de Sistema de Detección de Intrusos
  • Testeo de Medidas de Contingencia
  • Descifrado de Contraseñas
  • Testeo de Denegación de Servicios
  • Evaluación de Políticas de Seguridad

Sección D – Seguridad en las Comunicaciones

  • Testeo de PBX
  • Testeo del Correo de Voz
  • Revisión del FAX
  • Testeo del Modem

Sección E – Seguridad Inalámbrica

  • Verificación de Radiación Electromagnética (EMR)
  • Verificación de Redes Inalámbricas [802.11]
  • Verificación de Redes Bluetooth
  • Verificación de Dispositivos de Entrada Inalámbricos
  • Verificación de Dispositivos de Mano Inalámbricos
  • Verificación de Comunicaciones sin Cable
  • Verificación de Dispositivos de Vigilancia Inalámbricos
  • Verificación de Dispositivos de Transacción Inalámbricos
  • Verficación de RFID
  • Verificación de Sistemas Infrarrojos
  • Revisión de Privacidad

Sección F – Seguridad Física

  • Revisión de Perímetro
  • Revisión de monitoreo
  • Evaluación de Controles de Acceso
  • Revisión de Respuesta de Alarmas
  • Revisión de Ubicación
  • Revisión de Entorno


Publicado por en No hay comentarios:
Etiquetas:

OSSTMM Manual de la Metodología Abierta de Testeo de Seguridad



Open Source Security Testing Methodology Manual 

El OSSTMM comprende la seguridad operacional. 

Se trata de conocer y medir las obras de seguridad como de bien. Esta metodología le dirá si lo que tienes hace lo que usted quiere que haga y no sólo lo que le dijeron que debería hacer. 

Lo que se obtiene a partir de la utilización de OSSTMM es una profunda comprensión de la interconexión de las cosas. Las personas, procesos, sistemas y software de todos tienen algún tipo de relación. Esta interconexión requiere interacciones. Algunas reacciones son pasivas y otras no lo son. Algunas reacciones son simbióticas, mientras que otros son Parasitarias. Algunas interacciones son controladas por un lado de la relación, mientras que otras están controladas por ambas. Podemos tratar de controlar en lo que no podemos confiar, pero aun así algunos controles son deficientes o superfluo, que es
perjudicial para al menos un lado de la relación, si no ambos. Lo que queremos es que nuestros controles equilibran a la perfección con las interacciones que queremos o necesitamos. Así que cuando ponemos a prueba las operaciones obtenemos el panorama general de todas nuestras relaciones, que van y vienen. Llegamos a ver la interconexión de las operaciones en los detalles finos y obtenemos para trazar nuestro negocio y nuestras operaciones que las cosas sean lo que son y  no lo que lo que pueden ser.


¿Por qué las operaciones de prueba? Por desgracia, no todo funciona como se configuró. No todo el mundo se comporta como si estuviese entrenado. Además, más y más cosas se construyen a partir de construcciones prefabricadas de materiales, o el código fuente de las bibliotecas predefinidas, o como en el caso de la formación de las personas y de las experiencias preexistentes. Los nuevos constructores sólo son conscientes de lo que ponen juntos y no cómo funcionan las piezas prefabricadas en un nuevo entorno con nuevas variables y de nuevas maneras. Por lo tanto la verdad de la configuración y la formación es el resultado de las operaciones. Nada nos puede decir más el cómo podemos cumplir con los objetivos o seguir una visión estratégica de cómo hacemos ahora lo que estamos haciendo. Y ese conocimiento nos permite controlar  las interacciones que queremos. Es por eso que tenemos que probar y testear  las operaciones.

El OSSTMM está continuamente en desarrollo a medida que aprendemos más y más acerca de lo que significa ser digno de confianza  y seguro

Sigueme @jordres
Publicado por en No hay comentarios:
Etiquetas:

ISO/IEC TR 27008:2011 Controles de seguridad de información

ISO/IEC TR 27008: 2011 proporciona orientación sobre la revisión de la implementación y operación de los controles, incluyendo la comprobación de la conformidad técnica de los controles del sistema de información, de conformidad con las normas establecidas de seguridad de información de una organización.

ISO/IEC TR 27008: 2011 se aplica a todos los tipos y tamaños de organizaciones, incluidas las empresas públicas y privadas, entidades gubernamentales y sin fines de lucro, organizaciones que realizan revisiones de seguridad de la información y las pruebas de conformidad técnica.

¿Que es ISO 27008?

Es un estándar que suministra orientación acerca de la implementación y operación de los controles, es aplicable a cualquier tipo y tamaño de empresa, tanto pública como privada que lleve a cabo revisiones relativas a la seguridad de la información y los controles de seguridad de la información.


Es compatible con otras normas como ISO 27001 o ISO 27002, y sirve como plataforma estratégica para garantizar la seguridad de la información.


¿Que Soporta 27008?

soporta tanto la planificación como la ejecución del SGSI y el proceso de gestión del riesgo del sistema de la organización.

Por otro lado, supone un valor añadido y una mejora de la calidad de las normas de la serie ISO 27000.

Mejora las auditorias del SGSI a través de la optimización de la relaciones entre los procesos del Sistema de Gestión de Seguridad de la Información y los controles necesarios para los mismos. Además garantiza un uso eficiente y efectivo de los recursos de la auditoría.

Mientras que ISO 27007 se focaliza en la auditoría de todos los elementos del SGSI, según lo describe ISO 27001, ISO-27008 se dirige a la comprobación de los controles de seguridad de la información.

La norma incluye la comprobación de la conformidad técnica frente a un estándar de implementación de seguridad de la información establecido en la empresa. No busca suministrar orientaciones específicas sobre la verificación del cumplimiento relativo a la medición, evaluación del riesgo o auditoría del SGSI.

Los controles técnicos de los que hablamos no se definen explícitamente en la norma, son los conocidos como controles de seguridad de TI, que no son sino un subconjunto de los controles de seguridad de la información descritos en la norma ISO 27001 e ISO 27002.

Estos controles que trae ISO 27008 ayudarán a la organización a:
  1. Comprender el alcance de los problemas o deficiencias en la aplicación y puesta en marcha de los controles de seguridad de la información, normas de seguridad de la información y controles de la información técnica.
  2. Identificar los posibles impactos en la empresa de las amenazas y vulnerabilidades de seguridad de la información.
  3. Planificar actividades de mitigación de riesgos de seguridad de la información.
  4. Confirmar que las deficiencias de seguridad de información emergentes se han abordado de forma adecuad.

Mas Información 
Publicado por en No hay comentarios:
Etiquetas:
Suscribirse a: Entradas (Atom)