Title: Normas Internacionales
1Normas Internacionales
- Seguridad de las Aplicaciones
2Normas Internacionales
- Introducción
- ISO 17799
- ISO 15408
- COBIT
- SP800-1427
- SAS 94
3Introducción
- Énfasis en seguridad de redes
- Un igual o mayor riesgo puede ser asociado con
aplicaciones crÃticas - Varias normas enfatizan la seguridad de las
aplicaciones, incluso la confidencialidad,
integridad y disponibilidad. - Algunas áreas de seguridad especÃficas ponen
énfasis en las normas, por ejemplo controles de
acceso, ciclo de vida y control de criptografÃa.
4Introducción
- La seguridad de la aplicación se puede definir
como - Un conjunto de mecanismos de seguridad alrededor
de una aplicación que protege su
confidencialidad, integridad y disponibilidad
5Introducción
- Las aplicaciones en el ambiente de producción
moderno, no operan en un vacÃo. - El análisis del proceso comercial se utiliza para
entender el papel y funcionamiento de una
aplicación. - La administración de riesgos es importante para
dirigir y asignar los recursos de seguridad a las
áreas más crÃticas.
6ISO 17799
- Publicada el año 2000 y esta basada en la norma
7799 del año 1995. - Es un conjunto de controles que considera las
mejores prácticas en seguridad de información
incluyendo las polÃticas, prácticas,
procedimientos, estructuras organizacionales y
funciones del software - Recomienda realizar y mantener un documento
Administración Sistema Seguridad de la
Información. - Debe enfocarse en identificar los recursos de
información crÃticos e identificar los niveles de
seguridad requeridos.
7ISO 17799
- Los controles detallados son organizados en 10
secciones principales - La PolÃtica de Seguridad
- La Organización de la Seguridad
- La Clasificación y Control del Recurso
- La Seguridad del Personal
- La Seguridad FÃsica y Medio Ambiental
- Comunicaciones y Administración de las
Operaciones - Control de Acceso
- El Desarrollo y Mantención de Sistemas
- Administración del Plan de Continuidad
8ISO 17799
- Seguridad de la Aplicación
- La sección de Desarrollo y Mantención de Sistemas
provee objetivos de seguridad especÃficos,
riesgos y controles relativos a la seguridad de
la aplicación - El objetivo básico es prevenir la pérdida ,
modificación o mal uso de los datos del usuario. - Controles deben ser diseñados alrededor de la
entrada, proceso y salida de datos.
9ISO 17799
- Los controles especÃficos de entrada incluyen
chequeos de doble ingreso. - El procesamiento de datos incluye controles para
proteger la integridad de la información, como
por ejemplo totales de control. - Controles de salida deben incluir la posibilidad
de verificar la razonabilidad de los datos y
control de conciliación para asegurar el proceso
de la totalidad de la información. - Los controles de criptografÃa son analizados con
el objetivo de proteger la confidencialidad,
autenticidad e integridad de la información.
10ISO 17799
- Las polÃticas son apropiadas aquà para
identificar la información sensible, que requiere
protección. - Los algoritmos de encriptación y largo de las
llaves son problemas importantes. - El control de las firmas digitales y
administración de las claves de criptografÃa son
importantes para proteger la autenticidad e
integridad de los documentos electrónicos. - La administración de claves incluye las funciones
crÃticas de generación, distribución,
almacenamiento y revocación de claves.
11ISO 15408Criterio de Evaluación para Seguridad
de TI
- Esta basado en el criterio común para evaluar
productos de TI y sistemas. - La función de criterio común es una norma para
medir la seguridad y confiabilidad asociada con
un producto. - El objetivo es prevenir el acceso no autorizado,
modificación o pérdida de uso, similar a
confidencialidad, integridad y disponibilidad. - Fue publicado en 1999 por un consorcio de EE.UU y
la ISO Europea, y fue autorizado al ISO como
ISO/IEC 15408
12ISO 15408
- Los usuarios pueden usar la norma para determinar
si una aplicación o sistema cumple con sus
requerimientos. - Los diseñadores usan la norma como una guÃa para
diseñar y construir un producto. - Los evaluadores usan la norma para probar los
productos y determinar que funcionalidad esta
incluida. - Pueden evaluarse usando el criterio común
incluso los sistemas operativos, redes, sistemas
distribuÃdos y aplicaciones.
13ISO 15408
- Seguridad de la Aplicación
- Presenta dos categorÃas de requerimientos de
seguridad, funcional y requisitos de
confiabilidad que son usadas para desarrollar
aplicaciones con varios grados de seguridad. - Los requerimientos de seguridad funcional están
agrupados en 11 clases, cada uno con un número de
familias, que tienen un objetivo especÃfico de
seguridad y una conducta de seguridad deseada. - Las 11 clases son
14ISO 15408
- AuditorÃa de Seguridad
- Identificación y Autenticación
- Utilización de los recursos
- Soporte de CriptografÃa
- Administración de Seguridad
- Control de Acceso
- Comunicación
- Privacidad
- Rutas Seguras (Canales)
- Protección de datos del Usuario
- Protección de Funciones de Seguridad.
15ISO 15408
- Los requisitos de confiabilidad están basados en
la confianza en la aplicación de funciones de
seguridad asà como la efectividad de las mismas. - Estos requerimientos están basados en la
presencia de la conducta deseada asà como la
ausencia de la conducta no deseada. - Los ocho requisitos son
16ISO 15408
- Administración de la configuración
- Documentación de los procedimientos
- Valoración de la vulnerabilidad
- Entrega y Operación
- Apoyo al ciclo de vida
- Mantención de la confiabilidad
- Desarrollo
- Pruebas
17ISO 15408
- Los niveles de evaluación de confiabilidad (EAL)
son paquetes predefinidos de los requisitos de
confiabilidad previamente mencionados. - EAL1 indica que un producto solo ha sido probado
funcionalmente - EAL7 indica que el producto ha sido sometido al
máximo de pruebas y el diseño ha sido probado
completamente, este nivel es asociado a una
información de alto valor y alto riesgo. - Esta norma no asigna un modelo para el desarrollo
de las aplicaciones.
18COBIT
- Fue publicado por el IT Governance Institute e
ISACF - Es un conjunto de administración de TI y
prácticas de control. - La guÃa de administración de TI esta integrada en
el ciclo de requerimientos del negocio, procesos
de TI y recursos de TI para soportar las
operaciones de la empresa. - Cobit describe un rango de criterios de
información para desarrollar un programa de
seguridad comprensivo en apoyo a las necesidades
del negocio. - Un concepto fundamental de Cobit es que los
requerimientos de la empresa son la prioridad y
la información debe conformarse de acuerdo a un
cierto criterio.
19COBIT
- Los criterios de información fueron desarrollados
de otros modelos de seguridad conocidos e
integrado los conceptos de efectividad, eficacia,
fiabilidad y rendimiento, asà como los conceptos
de seguridad tradicionales de confidencialidad,
integridad y disponibilidad. - Cobit incluye 34 procesos TI agrupados en cuatro
dominios - Planificación y Organización (PO)
- Adquisición e Implementación (AI)
- Entrega y Soporte (DS)
- Monitoreo (M)
20COBIT
- Los procesos son abiertos a su vez en 318
objetivos de control especÃficos y guÃas de
auditorÃa asociadas. - Los recursos de TI incluyen datos, sistemas de
aplicación, tecnologÃa, instalaciones y personal. - El control y la seguridad es crÃtico en la
administración de estos recursos usando polÃticas
especÃficas, procedimientos, prácticas y
estructura organizacional.
21COBIT
- Aplicación de Seguridad
- Se entienden los sistemas de aplicación como la
suma de procedimientos manuales y procedimientos
programados. - Los datos se definen ampliamente incluyendo
texto, video, gráfico y sonido. - Estos dos recursos de TI convierten los eventos
comerciales en información utlizable. - Aplicación de seguridad es integrada en los
cuatro dominios de Cobit.
22Dominios y Procesos Relevantes a la Seguridad de
Aplicaciones
Planificación y Organización (PO) Adquisición e Implementación (AI) Entrega y Soporte (DS) Monitoreo (M)
Definir Plan Estratégico de TI (PO1) Identificar soluciones automatizadas (AI1) Definir y administrar niveles de servicio (DS1) Monitoreo de Procesos (M1)
Definir arquitectura de información (PO2) Adquirir y mantener aplicaciones de software (AI2) Administrar los servicios de terceros (DS2) Determinar un control interno adecuado (M2)
Administrar la inversión en TI (PO5) Desarrollar y mantener procedimientos (AI4) Administrar el rendimiento y capacidad (DS3) Obtener confiabilidad independiente
Asegurar cumplimiento con requerimientos externos (PO8) Instalar y acreditar sistemas (AI5) Asegurar continuidad del servicio (DS5)
Determinar riesgos (PO9) Administración de cambios (AI6) Asegurar la seguridad del sistema (DS5)
Administrar Proyectos (PO10) Identificar los costos asignados (DS6)
Administrar calidad (PO11) Ayude y aconseje a clientes (DS8)
Administre la configuración (DS9)
Administre problemas e incidentes (DS10)
Administre las operaciones (DS13)
23SP800-14
- El Instituto de Normas y TecnologÃa (NIST) y el
Departamento de Comercio de US publicaron
Principios Generalmente Aceptados y Prácticas
para la Seguridad de los Sistemas de Información
Tecnológicos, Publicación Especial 800-14 en
1996. - Este documento proporciona una base de los
principios de seguridad y prácticas para el uso,
protección y diseño de los sistemas de
información gubernamentales - Posee 8 principios y 14 prácticas .
- Los principios de seguridad generalmente
aceptados son generales. - Prácticas y controles en cada una de las fases
del ciclo de vida. - Controles operacionales
24SP800-14 27
- El concepto en SP800-14 fue desarrollado más
tarde en Principios de IngenierÃa para Seguridad
de Sistemas de Informacìón Tecnológicos,
Publicación Especial 800-27, publicada por el
NIST el 2001. - Provee un mayor nivel de seguridad.
- Referencia a la ISO 15408 (criterio común)
- Incluye 33 principios de seguridad que aplican a
las fases del ciclo de vida.
25SAS 94
- El AICPA emitió el SAS 94 en 2001 Los Efectos de
la TecnologÃa de Información en el Auditor,
Consideración del Control Interno en una
AuditorÃa de Estados Financieros. - Esta norma requiere que el auditor financiero
considere la tecnologÃa de información como parte
del control interno. - SAS 94 actualiza SAS 55 y 78.
- Controles de Aplicaciones relevantes en una
auditorÃa financiera incluyen control de acceso,
control de cambios de programas, control de
procesos,etc.
26SAS 94
- Sugiere dos niveles
- Primero es una revisión de los controles
operacionales - El segundo y más profundo es una revisión de si
los controles están operando eficazmente. - La diferencia entre ambos niveles es el alcance o
magnitud - El objetivo es la integridad de toda la
información que afecta los estados financieros y
la auditorÃa.
27Conclusión
- Las normas y documentos presentados muestran la
seguridad de aplicaciones desde diferentes
perspectivas. - Comparten controles en muchas áreas, como el
ciclo de vida y aplicaciones de entrada, proceso
y salida. - La ISO 15408 ha tenido un gran impacto y ha sido
referenciada por otras normas. - Cobit e ISO 15408 parecen tener una mayor
profundidad y detalle referente a la seguridad.
28Documentación
- ISO 17799
- www.bspsl.com/secure/iso17799software/cvm.cfm
- COBIT
- www.isaca.org/cobit.htm
- www.isaca.cl
- ISO 15408
- Csrc.nist.gov/cc/ccv20/ccv2list.htm
- SP 800-14 27
- Csrc.nist.gov/publications/nistpubs
- SAS 94
- www.aicpa.org/members/div/auditstd/riasai/sas94.ht
m
29DS 5 Ensure Systems Security
- Proceso TI, requerimiento de la empresa y
objetivo de control detallado define que
necesita hacer para implementar una efectiva
estructura de seguridad. - La práctica de control de TI provee con más
detalle como y por qué es necesario que el
administrador, proveedor de servicios, usuario
final y profesionales de auditorÃa implementen
controles especÃficos basados en una análisis de
la operación y riesgo de la TI. - Dentro de Cobit DS 5 es un objetivo de control de
alto nivel para salvaguardar la información de
uso no autorizado, acceso no autorizado,
modificaciones, daños o pérdidas por acceso al
sistema, datos y programas son restringidos a
usuarios autorizados. - Posee 21 objetivos de control detallados
30DS 5 Ensure Systems Security
- 5.1 Administración medidas de seguridad
- 5.2 Identificación, autenticación y acceso
- 5.3 Seguridad acceso en lÃnea a los datos
- 5.4 Administración cuentas de usuarios
- 5.5 Administración revisión cuentas de usuarios
- 5.6 Control del usuario de las cuentas de
usuarios - 5.7 Vigilancia de seguridad
- 5.8 Clasificación de los datos
- 5.9 Identificación central y administración de
los derechos de acceso
31DS 5 Ensure Systems Security
- 5.10 Violaciones e informes de seguridad
- 5.11 Manejo de incidentes
- 5.12 Reacreditación
- 5.13 Confianza del contador de acceso
- 5.14 Autorización de transacciones
- 5.15 No repudio
- 5.16 Camino correcto
- 5.17 Protección de las funciones de seguridad
- 5.18 Administración de las claves de criptografÃa
32DS 5 Ensure Systems Security
- 5.19 Prevención, detección y corrección de
software malicioso - 5.20 Arquitectura de Firewall y conexiones con
redes públicas. - 5.21 Protección del valor electrónico
33DS 5 Ensure Systems Security
- DS 5.2 Identificación, autenticación y acceso
- Porque hacer esto
- Asegurar a los usuarios externos que el sistema
es adecuadamente seguro - Protección de los sistemas de información para
prevenir acceso o uso no autorizado - Especificación de requerimientos mÃnimos de
seguridad para todos los sistemas - Segregación apropiada entre los ambientes de
producción, prueba y desarrollo.
34DS 5 Ensure Systems Security
- Prácticas de Control
- Los sistemas e información están protegidos para
prevenir un acceso no autorizado - Los requerimientos mÃnimos de seguridad son
especificados para todos los sistemas operativos
y versiones dentro de la organización - Los sistemas operativos son probados para cumplir
con los requerimientos mÃnimos de seguridad
establecidos. - Cumplimiento con los requerimientos de seguridad
establecidos son revisados regularmente. - Los recursos están protegidos por reglas de
acceso, basado en una adecuada identificación y
autenticación de los usuarios. - Posterior a una falla del sistema, los usuarios
no esta permitido volver atrás en el sistema sin
una reautenticación.