Normas Internacionales

1
Normas Internacionales

• Seguridad de las Aplicaciones

2
Normas Internacionales

• Introducción
• ISO 17799
• ISO 15408
• COBIT
• SP800-1427
• SAS 94

3
Introducción

• Énfasis en seguridad de redes
• Un igual o mayor riesgo puede ser asociado con
  aplicaciones críticas
• Varias normas enfatizan la seguridad de las
  aplicaciones, incluso la confidencialidad,
  integridad y disponibilidad.
• Algunas áreas de seguridad específicas ponen
  énfasis en las normas, por ejemplo controles de
  acceso, ciclo de vida y control de criptografía.

4
Introducción

• La seguridad de la aplicación se puede definir
  como
• Un conjunto de mecanismos de seguridad alrededor
  de una aplicación que protege su
  confidencialidad, integridad y disponibilidad

5
Introducción

• Las aplicaciones en el ambiente de producción
  moderno, no operan en un vacío.
• El análisis del proceso comercial se utiliza para
  entender el papel y funcionamiento de una
  aplicación.
• La administración de riesgos es importante para
  dirigir y asignar los recursos de seguridad a las
  áreas más críticas.

6
ISO 17799

• Publicada el año 2000 y esta basada en la norma
  7799 del año 1995.
• Es un conjunto de controles que considera las
  mejores prácticas en seguridad de información
  incluyendo las políticas, prácticas,
  procedimientos, estructuras organizacionales y
  funciones del software
• Recomienda realizar y mantener un documento
  Administración Sistema Seguridad de la
  Información.
• Debe enfocarse en identificar los recursos de
  información críticos e identificar los niveles de
  seguridad requeridos.

7
ISO 17799

• Los controles detallados son organizados en 10
  secciones principales
• La Política de Seguridad
• La Organización de la Seguridad
• La Clasificación y Control del Recurso
• La Seguridad del Personal
• La Seguridad Física y Medio Ambiental
• Comunicaciones y Administración de las
  Operaciones
• Control de Acceso
• El Desarrollo y Mantención de Sistemas
• Administración del Plan de Continuidad

8
ISO 17799

• Seguridad de la Aplicación
• La sección de Desarrollo y Mantención de Sistemas
  provee objetivos de seguridad específicos,
  riesgos y controles relativos a la seguridad de
  la aplicación
• El objetivo básico es prevenir la pérdida ,
  modificación o mal uso de los datos del usuario.
• Controles deben ser diseñados alrededor de la
  entrada, proceso y salida de datos.

9
ISO 17799

• Los controles específicos de entrada incluyen
  chequeos de doble ingreso.
• El procesamiento de datos incluye controles para
  proteger la integridad de la información, como
  por ejemplo totales de control.
• Controles de salida deben incluir la posibilidad
  de verificar la razonabilidad de los datos y
  control de conciliación para asegurar el proceso
  de la totalidad de la información.
• Los controles de criptografía son analizados con
  el objetivo de proteger la confidencialidad,
  autenticidad e integridad de la información.

10
ISO 17799

• Las políticas son apropiadas aquí para
  identificar la información sensible, que requiere
  protección.
• Los algoritmos de encriptación y largo de las
  llaves son problemas importantes.
• El control de las firmas digitales y
  administración de las claves de criptografía son
  importantes para proteger la autenticidad e
  integridad de los documentos electrónicos.
• La administración de claves incluye las funciones
  críticas de generación, distribución,
  almacenamiento y revocación de claves.

11
ISO 15408Criterio de Evaluación para Seguridad
de TI

• Esta basado en el criterio común para evaluar
  productos de TI y sistemas.
• La función de criterio común es una norma para
  medir la seguridad y confiabilidad asociada con
  un producto.
• El objetivo es prevenir el acceso no autorizado,
  modificación o pérdida de uso, similar a
  confidencialidad, integridad y disponibilidad.
• Fue publicado en 1999 por un consorcio de EE.UU y
  la ISO Europea, y fue autorizado al ISO como
  ISO/IEC 15408

12
ISO 15408

• Los usuarios pueden usar la norma para determinar
  si una aplicación o sistema cumple con sus
  requerimientos.
• Los diseñadores usan la norma como una guía para
  diseñar y construir un producto.
• Los evaluadores usan la norma para probar los
  productos y determinar que funcionalidad esta
  incluida.
• Pueden evaluarse usando el criterio común
  incluso los sistemas operativos, redes, sistemas
  distribuídos y aplicaciones.

13
ISO 15408

• Seguridad de la Aplicación
• Presenta dos categorías de requerimientos de
  seguridad, funcional y requisitos de
  confiabilidad que son usadas para desarrollar
  aplicaciones con varios grados de seguridad.
• Los requerimientos de seguridad funcional están
  agrupados en 11 clases, cada uno con un número de
  familias, que tienen un objetivo específico de
  seguridad y una conducta de seguridad deseada.
• Las 11 clases son

14
ISO 15408

• Auditoría de Seguridad
• Identificación y Autenticación
• Utilización de los recursos
• Soporte de Criptografía
• Administración de Seguridad
• Control de Acceso
• Comunicación
• Privacidad
• Rutas Seguras (Canales)
• Protección de datos del Usuario
• Protección de Funciones de Seguridad.

15
ISO 15408

• Los requisitos de confiabilidad están basados en
  la confianza en la aplicación de funciones de
  seguridad así como la efectividad de las mismas.
• Estos requerimientos están basados en la
  presencia de la conducta deseada así como la
  ausencia de la conducta no deseada.
• Los ocho requisitos son

16
ISO 15408

• Administración de la configuración
• Documentación de los procedimientos
• Valoración de la vulnerabilidad
• Entrega y Operación
• Apoyo al ciclo de vida
• Mantención de la confiabilidad
• Desarrollo
• Pruebas

17
ISO 15408

• Los niveles de evaluación de confiabilidad (EAL)
  son paquetes predefinidos de los requisitos de
  confiabilidad previamente mencionados.
• EAL1 indica que un producto solo ha sido probado
  funcionalmente
• EAL7 indica que el producto ha sido sometido al
  máximo de pruebas y el diseño ha sido probado
  completamente, este nivel es asociado a una
  información de alto valor y alto riesgo.
• Esta norma no asigna un modelo para el desarrollo
  de las aplicaciones.

18
COBIT

• Fue publicado por el IT Governance Institute e
  ISACF
• Es un conjunto de administración de TI y
  prácticas de control.
• La guía de administración de TI esta integrada en
  el ciclo de requerimientos del negocio, procesos
  de TI y recursos de TI para soportar las
  operaciones de la empresa.
• Cobit describe un rango de criterios de
  información para desarrollar un programa de
  seguridad comprensivo en apoyo a las necesidades
  del negocio.
• Un concepto fundamental de Cobit es que los
  requerimientos de la empresa son la prioridad y
  la información debe conformarse de acuerdo a un
  cierto criterio.

19
COBIT

• Los criterios de información fueron desarrollados
  de otros modelos de seguridad conocidos e
  integrado los conceptos de efectividad, eficacia,
  fiabilidad y rendimiento, así como los conceptos
  de seguridad tradicionales de confidencialidad,
  integridad y disponibilidad.
• Cobit incluye 34 procesos TI agrupados en cuatro
  dominios
• Planificación y Organización (PO)
• Adquisición e Implementación (AI)
• Entrega y Soporte (DS)
• Monitoreo (M)

20
COBIT

• Los procesos son abiertos a su vez en 318
  objetivos de control específicos y guías de
  auditoría asociadas.
• Los recursos de TI incluyen datos, sistemas de
  aplicación, tecnología, instalaciones y personal.
• El control y la seguridad es crítico en la
  administración de estos recursos usando políticas
  específicas, procedimientos, prácticas y
  estructura organizacional.

21
COBIT

• Aplicación de Seguridad
• Se entienden los sistemas de aplicación como la
  suma de procedimientos manuales y procedimientos
  programados.
• Los datos se definen ampliamente incluyendo
  texto, video, gráfico y sonido.
• Estos dos recursos de TI convierten los eventos
  comerciales en información utlizable.
• Aplicación de seguridad es integrada en los
  cuatro dominios de Cobit.

22
Dominios y Procesos Relevantes a la Seguridad de
Aplicaciones
Planificación y Organización (PO) Adquisición e Implementación (AI) Entrega y Soporte (DS) Monitoreo (M)
Definir Plan Estratégico de TI (PO1) Identificar soluciones automatizadas (AI1) Definir y administrar niveles de servicio (DS1) Monitoreo de Procesos (M1)
Definir arquitectura de información (PO2) Adquirir y mantener aplicaciones de software (AI2) Administrar los servicios de terceros (DS2) Determinar un control interno adecuado (M2)
Administrar la inversión en TI (PO5) Desarrollar y mantener procedimientos (AI4) Administrar el rendimiento y capacidad (DS3) Obtener confiabilidad independiente
Asegurar cumplimiento con requerimientos externos (PO8) Instalar y acreditar sistemas (AI5) Asegurar continuidad del servicio (DS5)
Determinar riesgos (PO9) Administración de cambios (AI6) Asegurar la seguridad del sistema (DS5)
Administrar Proyectos (PO10) Identificar los costos asignados (DS6)
Administrar calidad (PO11) Ayude y aconseje a clientes (DS8)
Administre la configuración (DS9)
Administre problemas e incidentes (DS10)
Administre las operaciones (DS13)
23
SP800-14

• El Instituto de Normas y Tecnología (NIST) y el
  Departamento de Comercio de US publicaron
  Principios Generalmente Aceptados y Prácticas
  para la Seguridad de los Sistemas de Información
  Tecnológicos, Publicación Especial 800-14 en
  1996.
• Este documento proporciona una base de los
  principios de seguridad y prácticas para el uso,
  protección y diseño de los sistemas de
  información gubernamentales
• Posee 8 principios y 14 prácticas .
• Los principios de seguridad generalmente
  aceptados son generales.
• Prácticas y controles en cada una de las fases
  del ciclo de vida.
• Controles operacionales

24
SP800-14 27

• El concepto en SP800-14 fue desarrollado más
  tarde en Principios de Ingeniería para Seguridad
  de Sistemas de Informacìón Tecnológicos,
  Publicación Especial 800-27, publicada por el
  NIST el 2001.
• Provee un mayor nivel de seguridad.
• Referencia a la ISO 15408 (criterio común)
• Incluye 33 principios de seguridad que aplican a
  las fases del ciclo de vida.

25
SAS 94

• El AICPA emitió el SAS 94 en 2001 Los Efectos de
  la Tecnología de Información en el Auditor,
  Consideración del Control Interno en una
  Auditoría de Estados Financieros.
• Esta norma requiere que el auditor financiero
  considere la tecnología de información como parte
  del control interno.
• SAS 94 actualiza SAS 55 y 78.
• Controles de Aplicaciones relevantes en una
  auditoría financiera incluyen control de acceso,
  control de cambios de programas, control de
  procesos,etc.

26
SAS 94

• Sugiere dos niveles
• Primero es una revisión de los controles
  operacionales
• El segundo y más profundo es una revisión de si
  los controles están operando eficazmente.
• La diferencia entre ambos niveles es el alcance o
  magnitud
• El objetivo es la integridad de toda la
  información que afecta los estados financieros y
  la auditoría.

27
Conclusión

• Las normas y documentos presentados muestran la
  seguridad de aplicaciones desde diferentes
  perspectivas.
• Comparten controles en muchas áreas, como el
  ciclo de vida y aplicaciones de entrada, proceso
  y salida.
• La ISO 15408 ha tenido un gran impacto y ha sido
  referenciada por otras normas.
• Cobit e ISO 15408 parecen tener una mayor
  profundidad y detalle referente a la seguridad.

28
Documentación

• ISO 17799
• www.bspsl.com/secure/iso17799software/cvm.cfm
• COBIT
• www.isaca.org/cobit.htm
• www.isaca.cl
• ISO 15408
• Csrc.nist.gov/cc/ccv20/ccv2list.htm
• SP 800-14 27
• Csrc.nist.gov/publications/nistpubs
• SAS 94
• www.aicpa.org/members/div/auditstd/riasai/sas94.ht
  m

29
DS 5 Ensure Systems Security

• Proceso TI, requerimiento de la empresa y
  objetivo de control detallado define que
  necesita hacer para implementar una efectiva
  estructura de seguridad.
• La práctica de control de TI provee con más
  detalle como y por qué es necesario que el
  administrador, proveedor de servicios, usuario
  final y profesionales de auditoría implementen
  controles específicos basados en una análisis de
  la operación y riesgo de la TI.
• Dentro de Cobit DS 5 es un objetivo de control de
  alto nivel para salvaguardar la información de
  uso no autorizado, acceso no autorizado,
  modificaciones, daños o pérdidas por acceso al
  sistema, datos y programas son restringidos a
  usuarios autorizados.
• Posee 21 objetivos de control detallados

30
DS 5 Ensure Systems Security

• 5.1 Administración medidas de seguridad
• 5.2 Identificación, autenticación y acceso
• 5.3 Seguridad acceso en línea a los datos
• 5.4 Administración cuentas de usuarios
• 5.5 Administración revisión cuentas de usuarios
• 5.6 Control del usuario de las cuentas de
  usuarios
• 5.7 Vigilancia de seguridad
• 5.8 Clasificación de los datos
• 5.9 Identificación central y administración de
  los derechos de acceso

31
DS 5 Ensure Systems Security

• 5.10 Violaciones e informes de seguridad
• 5.11 Manejo de incidentes
• 5.12 Reacreditación
• 5.13 Confianza del contador de acceso
• 5.14 Autorización de transacciones
• 5.15 No repudio
• 5.16 Camino correcto
• 5.17 Protección de las funciones de seguridad
• 5.18 Administración de las claves de criptografía

32
DS 5 Ensure Systems Security

• 5.19 Prevención, detección y corrección de
  software malicioso
• 5.20 Arquitectura de Firewall y conexiones con
  redes públicas.
• 5.21 Protección del valor electrónico

33
DS 5 Ensure Systems Security

• DS 5.2 Identificación, autenticación y acceso
• Porque hacer esto
• Asegurar a los usuarios externos que el sistema
  es adecuadamente seguro
• Protección de los sistemas de información para
  prevenir acceso o uso no autorizado
• Especificación de requerimientos mínimos de
  seguridad para todos los sistemas
• Segregación apropiada entre los ambientes de
  producción, prueba y desarrollo.

34
DS 5 Ensure Systems Security

• Prácticas de Control
• Los sistemas e información están protegidos para
  prevenir un acceso no autorizado
• Los requerimientos mínimos de seguridad son
  especificados para todos los sistemas operativos
  y versiones dentro de la organización
• Los sistemas operativos son probados para cumplir
  con los requerimientos mínimos de seguridad
  establecidos.
• Cumplimiento con los requerimientos de seguridad
  establecidos son revisados regularmente.
• Los recursos están protegidos por reglas de
  acceso, basado en una adecuada identificación y
  autenticación de los usuarios.
• Posterior a una falla del sistema, los usuarios
  no esta permitido volver atrás en el sistema sin
  una reautenticación.