You are on page 1of 49

ISO 27002

11. Control de Accesos 11 1 Requerimientos de negocio para el control de accesos Controlar los accesos a la informacin.

Se deberan controlar los accesos a la informacin, los recursos de tratamiento de la informacin y los procesos de negocio en base a las necesidades de seguridad y de negocio de la Organizacin.

Las regulaciones para el control de los accesos deberan considerar las polticas de distribucin de la informacin y de autorizaciones. Los propietarios de activos de informacin que son responsables ante la direccin de la proteccin "sus" activos deberan tener la capacidad de definir y/o aprobar las reglas de control de acceso y otros controles de seguridad. Asegrese de que se les responsabiliza de incumplimientos, no conformidades y otros incidentes. Porcentaje de sistemas y aplicaciones corporativas para los que los "propietarios" adecuados han: (a) sido identificados, (b) aceptado formalmente sus responsabilidades, (c) llevado a cabo -o encargadorevisiones de accesos y seguridad de aplicaciones, basadas en riesgo y (d) definido las reglas de control de acceso basadas en roles. 11.1.1. Poltica de control de accesos

Control: Se debera establecer, documentar y revisar una poltica de control de accesos en base a las necesidades de seguridad y de negocio de la Organizacin.

Garantizar el acceso a los usuarios autorizados e impedir los accesos no autorizados a los sistemas de informacin.

Se deberan establecer procedimientos formales para controlar la asignacin de los permisos de acceso a los sistemas y servicios de informacin. Los procedimientos deberan cubrir todas la etapas del ciclo de vida del acceso de los usuarios, desde del registro inicial de los nuevos usuarios hasta su baja cuando ya no sea necesario su acceso a los sistemas y servicios de informacin. Se debera prestar especial atencin, si fuera oportuno, a la necesidad de controlar la asignacin de permisos de acceso con privilegios que se salten y anulen la eficacia de los controles del sistema. Cree la funcin diferenciada de "administrador de seguridad", con responsabilidades operativas para aplicar las reglas de control de acceso definidas por los propietarios de las aplicaciones y la direccin de seguridad de la informacin. Invierta en proporcionar al administrador de seguridad herramientas para realizar sus tareas lo ms eficientemente posible. Tiempo medio transcurrido entre la solicitud y la realizacin de peticiones de cambio de accesos y nmero de solicitudes de cambio de acceso cursadas en el mes anterior (con anlisis de tendencias y comentarios acerca de cualquier pico / valle (p. ej., "Implantada nueva aplicacin financiera este mes").

11.2.1. Registro de usuario

Control: Debera existir un procedimiento formal de alta y baja de usuarios con objeto de garantizar y cancelar los accesos a todos los sistemas y servicios de informacin. Posibles Soluciones a este control: Solucin web (free trial 30 Manageengine.com days) que permite realizar las tareas ms comunes, como las altas y bajas de usuarios y la aplicacin de polticas de grupo, a travs de un interfaz intuitivo y fcil de aprender. A travs de sus informes detallados, ofrece visibilidad completa sobre todos los objetivos

en el Directorio Activo. DB Audit is a complete outof-the-box database security & auditing solution for Oracle, Sybase, MySQL, DB2 and MS SQL Server. DB Audit allows database and system administrators, security administrators, auditors and operators to track and analyze any database activity including database access and usage, data creation, change or deletion; mananage database users; quickly discover uprotected PCI and PII data; enforce SOX, PCI/CISP, HIPAA, GLBA compliance; and more.

DB Audit

Once it detects one or more SQL injections on the target host, the user can choose among a variety of options to perform an extensive back-end database management system fingerprint, retrieve DBMS session user and Pangolin audit tool database, enumerate users, password hashes, privileges, databases, dump entire or users specific DBMS tables/columns, run his own SQL statement, read specific files on the file system and more. UserLock permite proteger el acceso a las redes de Windows, impidiendo las conexiones simultneas, al dar la posibilidad de limitar las conexiones de los usuarios y proporcionando a los administradores el control remoto de las sesiones, de las funcionalidades de alerta, de informes y anlisis sobre todas las conexiones/desconexiones

efectuadas en sus redes.La versin de evaluacin de UserLock es vlida durante 180 das. No comporta ninguna limitacin en trminos de funcionalidades. 11.2.3. Gestin de contraseas de usuario Control: Se debera controlar la asignacin de contraseas mediante un proceso de gestin formal. Posibles Soluciones a este control: Plantilla en ingls con el ejemplo de clusula firmada por el empleado y la persona que autoriza el uso que debera Callio Technologies ser aadido al contrato de trabajo o en un acuerdo sobre el uso de sistemas de informacin. Nervepoint Access Manager Self Service ayuda a reducir una importante carga de trabajo en la gestin de contraseas de los empleados mediante una sencilla interfaz, la configuracin y soporte automtico en NERVEPOINT TECH marcha por una mquina virtual en cuestin de minutos. Los empleados tambin se benefician, ya que significa que no hay ms tickets o esperas a que el servicio de apoyo atienda sus peticiones. 11.2.4. Revisin de los derechos de acceso de los usuarios

Nondiclosure agreement

Nervepoint

Posibles Soluciones a este control: Plantillas de ejemplo que cubren diversos aspectos de implantacin de un SGSI, incluyendo soluciones especficas para la gestin de este control (ingls). Plantillas CALLIO

CALLIO

11 3 Responsabilidades del usuario Impedir el acceso de usuarios no autorizados y el compromiso o robo de informacin y recursos para el tratamiento de la informacin.

La cooperacin de los usuarios autorizados es esencial para una seguridad efectiva. Los usuarios deberan ser conscientes de sus responsabilidades en el mantenimiento de controles de acceso eficaces, en particular respecto al uso de contraseas y seguridad en los equipos puestos a su disposicin. Se debera implantar una poltica para mantener mesas de escritorio y monitores libres de cualquier informacin con objeto de reducir el riesgo de accesos no autorizados o el deterioro de documentos, medios y recursos para el tratamiento de la informacin. Asegrese de que se establecen las responsabilidades de seguridad y que son entendidas por el personal afectado. Una buena estrategia es definir y documentar claramente las responsabilidades relativas a seguridad de la informacin en las descripciones o perfiles de los puestos de trabajo. Son imprescindibles las revisiones peridicas para incluir cualquier cambio. Comunique regularmente a los empleados los perfiles de sus puestos (p. ej., en la revisin anual de objetivos), para recordarles sus responsabilidades y recoger cualquier cambio.

Porcentaje de descripciones de puesto de trabajo que incluyen responsabilidades en seguridad de la informacin (a) totalmente documentadas y (b) formalmente aceptadas.

Control: Se debera exigir a los usuarios el uso de las buenas prcticas de seguridad en la seleccin y uso de las contraseas. SOLUCIONES DESTACADAS: Kaspersky Password Manager crea y almacena contraseas y te permite acceder a tus sitios web y a tus aplicaciones con slo pulsar un botn, guarda tus contraseas en una base de datos cifrada, en tu ordenador, crea una contrasea robusta y nica para cada cuenta, incluye una versin porttil que puede cargarse desde una memoria USB para ejecutarla en otro ordenador, rellena formularios de datos de forma automtica.

Puesto nico Permanente 3 Puestos Permanente

Posibles Soluciones a este control: Random Password Generator (freeware) is designed to help you create secure Random passwords that are extremely difficult to crack or guess, with a combination of random lower and upper case letters, numbers and punctuation symbols. And these random generated passwords will be saved for memo. You can give a mark to the generated random password for later check. KeePass es una aplicacin free open source para la gestin de contraseas que sirve de ayuda para gestionar las contraseas de un modo seguro. Puedes almacenar todas las contraseas en una nica base de datos, la cual permanece accesible mediante una nica clave maestra o fichero. Por tanto, slo se tiene que recordar una nica contrasea o seleccionar el fichero clave para acceder a la base de datos cifrada mediante algoritmo robusto (AES y Twofish). Generador on-line de contraseas. Ophcrack is a free Windows password cracker based on rainbow tables. It is a very efficient implementation of rainbow tables done by the inventors of the method. It comes with a Graphical User Interface and runs on multiple platforms. Utilidad para verificar la fortaleza de las contraseas en uso y determinar polticas y frecuencias en la renovacin de las contraseas. Cain & Abel is a password recovery tool for Microsoft Operating Systems. It allows easy recovery of various kind of passwords by sniffing the network, cracking encrypted passwords using Dictionary, Brute-Force and Cryptanalysis attacks, recording VoIP conversations, decoding scrambled passwords, recovering wireless network keys, revealing password boxes, uncovering cached passwords and analyzing routing protocols. Utilidad para verificar la fortaleza de las contraseas en uso y determinar polticas y frecuencias en la renovacin de las contraseas.

RANDOW PASSWORD GENERATOR

Password generator

KEEPASS

Keepass

PASSWORD GENERATOR

Password.es

0PHCRACK

ophcrack

OXID

Cain & Abel

JOHN THE RIPPER

John the Ripper is free and Open Source software, distributed primarily in source code form. If you would rather use a commercial product tailored for your specific operating system, please consider John the Ripper Pro, which is distributed primarily in the form of "native" packages for the target John the Ripper operating systems and in general is meant to be easier to install and use while delivering optimal performance.Utilidad para verificar la fortaleza de las contraseas en uso y determinar polticas y frecuencias en la renovacin de las contraseas.

11.3.2. Equipo informtico de usuario desatendido Control: Los usuarios deberan garantizar que los equipos desatendidos disponen de la proteccin apropiada. 11.3.3. Polticas para escritorios y monitores sin informacin Control: Polticas para escritorios y monitores limpios de informacin Posibles Soluciones a este control: Posters are utilized to efficiently and effectively educate numerous staff on new security topics each and every month. Our eye-catching, entertaining, posters will help increase the security awareness level in your workplace.

OISSG

11 4 Control de acceso en red Impedir el acceso no autorizado a los servicios en red.

Se deberan controlar los accesos a servicios internos y externos conectados en red. El acceso de los usuarios a redes y servicios en red no debera comprometer la seguridad de los servicios en red si se garantizan:

a) que existen interfaces adecuadas entre la red de la Organizacin y las redes pblicas o privadas de otras organizaciones; b) que los mecanismos de autenticacin adecuados se aplican a los usuarios y equipos; c) el cumplimiento del control de los accesos de los usuarios a los servicios de informacin.

Mantenga el equilibrio entre controles de seguridad perimetrales (LAN/WAN) e internos (LAN/LAN), frente a controles de seguridad en aplicaciones (defensa en profundidad).

de paquetes o intentos de ataques

Estadsticas de cortafuegos, tales como porcentaje sesiones salientes que han sido bloqueadas (p. ej., acceso a pginas web prohibidas; nmero de potenciales de hacking repelidos, clasificados en insignificantes/preocupantes/crticos).

11.4.1. Poltica de uso de los servicios de red Control: Se debera proveer a los usuarios de los accesos a los servicios para los que han sido expresamente autorizados a utilizar. 11.4.2. Autenticacin de usuario para conexiones externas Control: Se deberan utilizar mtodos de autenticacin adecuados para el control del acceso remoto de los usuarios. 11.4.3. Autenticacin de nodos de la red Control: Se debera considerar la identificacin automtica de los equipos como un medio de autenticacin de conexiones procedentes de lugares y equipos especficos. Posibles Soluciones a este control: CPE es un esquema de nomenclatura estructurado para sistemas de tecnologa de la informacin, software y parches de seguridad. Sobre la base de la sintaxis genrica de los identificadores de Official Common recursos uniformes (URI), CPE incluye un formato Platform de nombre formal, un mtodo para comprobar los Enumeration nombres en un sistema y un formato de descripcin (CPE) Dictionary de texto vinculante a un nombre. El diccionario en XML proporciona una lista con nomenclatura oficialmente aprobada de nombres CPE y est abierta a todo el pblico. Herramienta bajo demanda para el descubrimiento de toda la informacin de negocio dependiente de TI y la obtencin de respuestas intantaneas en relacin a preguntas sobre sus ordenadores, red y seguridad.

NIST

PAGLO

Paglo

Solucin completa para la gestin de de la monitorizacin, helpdesk, inventario de PCs y SPICEWORKS generador de informes muy prctico y dirigido a la gestin TI en pequeas y medianas empresas.

Spiceworks

11.4.4. Proteccin a puertos de diagnstico remoto Control: Se debera controlar la configuracin y el acceso fsico y lgico a los puertos de diagnstico. Control: Se debera controlar la configuracin y el acceso fsico y lgico a los puertos de diagnstico. 11.4.5. Segregacin en las redes Control: Se deberan segregar los grupos de usuarios, servicios y sistemas de informacin en las redes. SOLUCIONES DESTACADAS: Kaspersky Internet Security 2011 proporciona una proteccin constante cuando trabajas, realizas transacciones bancarias, compras online o juegas en Internet. Mantn alejadas las amenazas con Kaspersky Internet Security 2011! Modo Ejecucin Segura ejecuta aplicaciones y sitios web sospechosos en un entorno aislado, eliminando cualquier riesgo. Puesto nico - 1 El disco de rescate restaura el sistema en caso de ao problemas. Puesto nico - 2 Modo Ejecucin Segura para sitios web aos proporciona seguridad adicional para realizar 3 Puestos - 1 ao transacciones online y protege contra el robo de 3 Puestos - 2 identidad. aos Las avanzadas tecnologas antimalware permiten su instalacin incluso en ordenadores infectados La nueva tecnologa del System Watcher permite rastrear, registrar y analizar actividades sospechosas y te permite revertir cualquier accin peligrosa. La tecnologa de Navegacin segura bloquea los sitios web infectados permitindote navegar con toda seguridad en Internet.

Posibles Soluciones a este control: La comunicacin entre el ordenador del usuario de CyberGhost VPN y el servidor de anonimizacin tambin est protegida para impedir una interceptacin de las transmisiones de datos. Esta CYBERGHOST proteccin se crea en dos pasos con el establecimiento de la conexin: la conexin se establece mediante cifrado SSL de 1.024 bits y se proporciona una clave AES de 128 bits, que es nica por conexin. ULTRAVPN Utilizado para la proteccin de la privacidad de datos en LAN o en puntos de conexin pblicos.

Solucin VPN

Solucin VPN

Proyecto Loki Network es un servicio VPN basado en SSL. Es una oportunidad para proteger sus LOKI NETWORK datos privados (direcciones IP, contraseas de ePROJECT mail/FTP/HTTP, sitios web visitados, ficheros subidos/descargados, entre otros). LogMeIn Hamachi ofrece conectividad de dispositivos de confianza y redes privadas a travs de redes pblicas. Cree redes virtuales seguras basadas en Internet mediante solicitud sin hardware dedicado o infraestructura de TI adicional.

Solucin VPN

LOGMEIN

Redes virtuales

11.4.6. Control de conexin a las redes Control: En el caso de las redes compartidas, especialmente aquellas que se extienden ms all de los lmites de la propia Organizacin, se deberan restringir las competencias de los usuarios para conectarse en red segn la poltica de control de accesos y necesidad de uso de las aplicaciones de negocio. 11.4.7. Control de encaminamiento en la red Control: Se deberan establecer controles de enrutamiento en las redes para asegurar que las conexiones de los ordenadores y flujos de informacin no incumplen la poltica de control de accesos a las aplicaciones de negocio. SOLUCIONES DESTACADAS: Kaspersky Internet Security 2011 proporciona una Puesto nico - 1 proteccin constante cuando trabajas, realizas ao transacciones bancarias, compras online o juegas Puesto nico - 2 en Internet. Mantn alejadas las amenazas con aos Kaspersky Internet Security 2011! 3 Puestos - 1 ao 3 Puestos - 2 aos Modo Ejecucin Segura ejecuta aplicaciones y sitios web sospechosos en un entorno aislado,

eliminando cualquier riesgo. El disco de rescate restaura el sistema en caso de problemas. Modo Ejecucin Segura para sitios web proporciona seguridad adicional para realizar transacciones online y protege contra el robo de identidad. Las avanzadas tecnologas antimalware permiten su instalacin incluso en ordenadores infectados La nueva tecnologa del System Watcher permite rastrear, registrar y analizar actividades sospechosas y te permite revertir cualquier accin peligrosa. La tecnologa de Navegacin segura bloquea los sitios web infectados permitindote navegar con toda seguridad en Internet. Posibles Soluciones a este control:

Simply use this list via DNS at ips.backscatterer.org for scoring or rejecting BACKSCATTERER bounces and sender callouts from abusive systems.

Backscatterer

Freeware employee monitoring. Network-Tools owner sues Microsoft, Cisco, Comcast and NETWORK-TOOLS TRUSTe over IP Address Blacklisting. Suit alleges NetworkTools eavdropping, privacy policy fraud, breach of contract and defamation. NTA Herramienta que permite escanear IPs activas en la red. Utilidad que se basa en TOR para garantizar la privacidad y que ofrece un avanzado web proxy desde el que controlar los accesos o administrar las cookies. ARP scan

PRIVOXY

Privoxy

11 5 Control de acceso al sistema operativo

Impedir el acceso no autorizado al sistema operativo de los sistemas.

Se deberan utilizar las prestaciones de seguridad del sistema operativo para permitir el acceso exclusivo a los usuarios autorizados. Las prestaciones deberan ser capaces de: a) la autenticacin de los usuarios autorizados, de acuerdo a la poltica de control de accesos definida; b) registrar los intentos de autenticacin correctos y fallidos del sistema; c) registrar el uso de privilegios especiales del sistema; d) emitir seales de alarma cuando se violan las polticas de seguridad del sistema; e) disponer los recursos adecuados para la autenticacin; f) restringir los horarios de conexin de los usuarios cuando sea necesario.

Implante estndares de seguridad bsica para todas las plataformas informticas y de comunicaciones, recogiendo las mejores prcticas de CIS, NIST, fabricantes de sistemas, etc.

Estadsticas de vulnerabilidad de sistemas y redes, como n de vulnerabilidades conocidas cerradas, abiertas y nuevas; velocidad media de parcheo de vulnerabilidades (analizadas por prioridades/categoras del fabricante o propias).

11.5.1. Procedimientos de conexin de terminalesControl: Debera controlarse el acceso al sistema operativo mediante procedimientos seguros de conexin. 11.5.2. Identificacin y autenticacin de usuario Control:

Todos los usuarios deberan disponer de un nico identificador propio para su uso personal y exclusivo. Se debera elegir una tcnica de autenticacin adecuada que verifique la identidad reclamada por un usuario. SOLUCIONES DESTACADAS: Kaspersky Password Manager crea y almacena contraseas y te permite acceder a tus sitios web y a tus aplicaciones con slo pulsar un botn, guarda tus contraseas en una base de datos cifrada, en tu ordenador, crea una contrasea robusta y nica para cada cuenta, incluye una versin porttil que puede cargarse desde una memoria USB para ejecutarla en otro ordenador, rellena formularios de datos de forma automtica. Posibles Soluciones a este control: Plantillas para el uso adecuado de los identificadores de usuario asignados a los empleados (libre descarga-ingls) MY USERNAME GENERATOR Plantilla a incluir en el contrato de empleados Plantilla de confidencialidad de contraseas

Puesto nico Permanente 3 Puestos Permanente

CALLIO

Generador de nombres de usuario en base a diversos parmetros como longitud, tipo de Myusernamegenerator caracteres, vocales, entre otros.

11.5.3. Sistema de gestin de contraseas control: Los sistemas de gestin de contraseas deberan ser interactivos y garantizar la calidad de las contraseas. SOLUCIONES DESTACADAS: Kaspersky Password Manager crea y almacena contraseas y te permite acceder a tus sitios web y a tus aplicaciones con slo pulsar un botn, guarda tus contraseas en una base de datos cifrada, en tu ordenador, crea una contrasea robusta y nica para cada cuenta, incluye una versin porttil que puede cargarse desde una memoria USB para ejecutarla en otro ordenador, rellena formularios de datos de forma automtica. Posibles Soluciones a este control: RANDOW PASSWORD GENERATOR Generador aleatorio de contraseas (freeware) diseado para crear contraseas seguras de modo aleatorio que son difciles de crackear or adivinar Password generator

Puesto nico Permanente 3 Puestos Permanente

mediante la combinacin de maysculas, minsculas, nmeros y smbolos de puntuacin. KeePass es una aplicacin free open source para la gestin de contraseas que sirve de ayuda para gestionar las contraseas de un modo seguro. Puedes almacenar todas las contraseas en una nica base de datos, la cual permanece accesible mediante una nica clave maestra o fichero. Por tanto, slo se tiene que recordar una nica contrasea o seleccionar el fichero clave para acceder a la base de datos cifrada mediante algoritmo robusto (AES y Twofish). Generador on-line de contraseas.

KEEPASS

Keepass

PASSWORD GENERATOR

Password.es

11.5.4. Uso de los servicios del sistema Control: Se debera restringir y controlar muy de cerca el uso de programas de utilidad del sistema que pudieran ser capaces de eludir los controles del propio sistema y de las aplicaciones. 11.5.5. Desconexin automtica de terminales Control: Se deberan desconectar las sesiones tras un determinado periodo de inactividad. 11.5.6. Limitacin del tiempo de conexin Control: Se deberan utilizar limitaciones en el tiempo de conexin que proporcionen un nivel de seguridad adicional a las aplicaciones de alto riesgo. 11 6 Control de acceso a las aplicaciones Impedir el acceso no autorizado a la informacin mantenida por los sistemas de las aplicaciones.

Se deberan utilizar dispositivos de seguridad con objeto de restringir el acceso a las aplicaciones y sus contenidos. Se debera restringir el acceso lgico a las aplicaciones software y su informacin nicamente a usuarios autorizados. Los sistemas de aplicacin deberan:

a) controlar el acceso de los usuarios a la informacin y funciones de los sistemas de aplicaciones, en relacin a la poltica de control de accesos definida; b) proporcionar proteccin contra accesos no autorizados derivados del uso de cualquier utilidad, software del sistema operativo y software malicioso que puedan traspasar o eludir los controles del sistema o de las aplicaciones; c) no comprometer otros sistemas con los que se compartan recursos de informacin. Implante estndares de seguridad bsica para todas las aplicaciones y middleware, recogiendo las mejores prcticas y checklists de CIS, NIST, fabricantes de software, etc.

Porcentaje de plataformas totalmente conformes con los estndares de seguridad bsica (comprobado mediante pruebas independientes), con anotaciones sobre los sistemas no conformes (p. ej., "Sistema de finanzas ser actualizado para ser conforme en cuarto trimestre)".

11.6.1. Restriccin de acceso a la informacin Control: Se debera restringir el acceso de los usuarios y el personal de mantenimiento a la informacin y funciones de los sistemas de aplicaciones, en relacin a la poltica de control de accesos definida. 11 6 2 Aislamiento de sistemas sensibles Control: Los sistemas sensibles deberan disponer de un entorno informtico dedicado (propio). Posibles Soluciones a este control:

La biblioteca TechNet Library es un recurso esencial para los profesionales de TI que usan los productos, herramientas y tecnologa de Microsoft.

technet library

11 7 Informtica mvil y tele trabajo Garantizar la seguridad de la informacin en el uso de recursos de informtica mvil y teletrabajo.

La proteccin exigible debera estar en relacin a los riesgos especficos que ocasionan estas formas especficas de trabajo. En el uso de la informtica mvil deberan considerarse los riesgos de trabajar en entornos desprotegidos y aplicar la proteccin conveniente. En el caso del teletrabajo, la Organizacin debera aplicar las medidas de proteccin al lugar remoto y garantizar que las disposiciones adecuadas estn disponibles para esta modalidad de trabajo. Tenga polticas claramente definidas para la proteccin, no slo de los propios equipos informticos porttiles (es decir, laptops, PDAs, etc.), sino, en mayor medida, de la informacin almacenada en ellos. Por lo general, el valor de la informacin supera con mucho el del hardware. Asegrese de que el nivel de proteccin de los equipos informticos utilizados dentro de las instalaciones de la organizacin tiene su correspondencia en el nivel de proteccin de los equipos porttiles, en aspectos tales como antivirus, parches, actualizaciones, software cortafuegos, etc. "Estado de la seguridad en entorno porttil / teletrabajo", es decir, un informe sobre el estado actual de la seguridad de equipos informticos porttiles (laptops, PDAs, telfonos mviles, etc.), y de teletrabajo (en casa de los empleados, fuerza de trabajo mvil), con comentarios sobre incidentes recientes/actuales, vulnerabilidades actuales de seguridad conocidas y pronsticos sobre cualquier riesgo creciente, despliegue de configuraciones seguras, antivirus, firewalls personales, etc. 12. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin Garantizar que la seguridad es parte integral de los sistemas de informacin.

Dentro de los sistemas de informacin se incluyen los sistemas operativos, infraestructuras, aplicaciones de negocio, aplicaciones estndar o de uso generalizado, servicios y aplicaciones desarrolladas por los usuarios. El diseo e implantacin de los sistemas de informacin que sustentan los procesos de negocio pueden ser cruciales para la seguridad. Los requisitos de seguridad deberan ser identificados y consensuados previamente al desarrollo y/o implantacin de los sistemas de informacin. Todos los requisitos de seguridad deberan identificarse en la fase de recogida de requisitos de un proyecto y ser justificados, aceptados y documentados como parte del proceso completo para un sistema de informacin.

Involucre a los "propietarios de activos de informacin" en evaluaciones de riesgos a alto nivel y consiga su aprobacin de los requisitos de seguridad que surjan. Si son realmente responsables de proteger sus activos, es en inters suyo el hacerlo bien. Est al tanto de las novedades sobre vulnerabilidades comunes o actuales en aplicaciones e identifique e implemente las medidas protectoras o defensivas apropiadas. Numerosas referencias ofrecen orientacin sobre la implementacin, como, p. ej., OWASP.

12.1.1. Anlisis y especificacin de los requisitos de seguridad Control: Las demandas de nuevos sistemas de informacin para el negocio o mejoras de los sistemas ya existentes deberan especificar los requisitos de los controles de seguridad. Posibles Soluciones a este control: Base de datos proporcionada en abierto por Palo Alto Network Research y su equipo de investigacin para que aprender ms sobre el nivel de riesgo de las aplicaciones que utilizan la red. El equipo de investigacin continuamente actualiza las aplicaciones (mediante una tecnologa pendiente de Application patente) el trfico de la clasificacin, con Research Center aplicaciones nuevas y emergentes a una tasa promedio de cuatro por semana. La base de datos identifica cada aplicacin adems de ofrecer una descripcin de la aplicacin, los puertos que utiliza, caractersticas de comportamiento, entre otros.

Applipedia

Comparativa realizada por el Gobierno Britnico sobre las alternaticas Open Source a soluciones Cabinet Office propietario y en el que se incluyen soluciones de UK seguridad junto a comentarios pertinentes que permiten una valoracin inicial de referencia antes de introducir posibles cambios.

Open Source Options

ISO

ISO/IEC 21827 es la norma, en ingls, que especifica el "Systems Security Engineering Capability Maturity Model", que describe las caractersticas esenciales del proceso de ingeniera ISO/IEC 21827 de seguridad en una organizacin. ISO/IEC 21827 no prescribe un proceso o secuencia particular, sino que recoge las prcticas generales del sector. Gua del FFIEC (Federal Financial Institutions Examination Council), en ingls, sobre cmo implantar un proceso de desarrollo y adquisicin de FFIEC D&A IT Handbook

FFIEC

TI eficaz en una organizacin. La acompaa una lista de verificacin -checklist-, til para auditar dicho proceso. La metodologa MTRICA Versin 3 ofrece a las organizaciones un instrumento til para la sistematizacin de las actividades que dan soporte al ciclo de vida del software. Est promovida por el Gobierno espaol. La gua de desarrollo de OWASP (Open Web Application Security Project) ayuda a crear aplicaciones web seguras. Disponible tambin en espaol.

Mtrica 3

Mtrica v3

OWASP

OWASP Guide Project

12 2 Seguridad de las aplicaciones del sistema

Evitar errores, prdidas, modificaciones no autorizadas o mal uso de la informacin en las aplicaciones.

Se deberan disear controles apropiados en las propias aplicaciones, incluidas las desarrolladas por los propios usuarios, para asegurar el procesamiento correcto de la informacin. Estos controles deberan incluir la validacin de los datos de entrada, el tratamiento interno y los datos de salida. Podran ser requeridos controles adicionales para los sistemas que procesan o tienen algn efecto en activos de informacin de carcter sensible, valioso o crtico. Dichos controles deberan ser determinados en funcin de los requisitos de seguridad y la estimacin del riesgo. Siempre que sea posible, utilice libreras y funciones estndar para necesidades corrientes como validacin de datos de entrada, restricciones de rango y tipo, integridad referencial, etc. Para mayor confianza con datos vitales, construya e incorpore funciones adicionales de validacin y chequeo cruzado (p. ej., sumas totalizadas de control). Desarrolle y use herramientas -y habilidades- de prueba automatizadas y manuales, para comprobar cuestiones habituales como desbordamientos de memoria, inyeccin SQL, etc. Porcentaje de sistemas para los cuales los controles de validacin de datos se han (a) definido y (b) implementado y demostrado eficaces mediante pruebas.

12.2.1. Validacin de los datos de entrada Control: Se deberan validar los datos de entrada utilizados por las aplicaciones para garantizar que estos datos son correctos y apropiados. 12.2.2. Control del proceso interno Control: Se deberan incluir chequeos de validacin en las aplicaciones para la deteccin de una posible corrupcin en la informacin debida a errores de procesamiento o de acciones deliberadas. Posibles Soluciones a este control: Rough Auditing Tool for Security (RATS) is an automated code review tool, provided originally by Secure Software Inc, who were acquired by Fortify Software Inc. It scans C, C++, Perl, PHP FORTIFY and Python source code and flags common SOFTWARE INC. security related programming errors such as buffer overflows and TOCTOU (Time Of Check, Time Of Use) race conditions. The tool performs a rough analysis of the source code. Graudit is a simple script and signature sets that allows you to find potential security flaws in source code using the GNU utility grep. It's JUST ANOTHER comparable to other static analysis applications HACKER like RATS, SWAAT and flaw-finder while (Eldar "Wireghoul" keeping the technical requirements to a Marcussen blog) minimum and being very flexible. Graudit supports scanning code written in several languages; asp, jsp, perl, php and python. Code Analysis Tool .NET is a binary code analysis tool that helps identify common variants of certain prevailing vulnerabilities that can give rise to common attack vectors such as Cross-Site Scripting (XSS), SQL Injection and XPath Injection. Debugger para anlisis de cdigo a nivel ensamblador, incluso cuando el cdigo fuente no est disponible. Conjunto de herramientas para pruebas de seguridad de aplicaciones web. Fue diseado por auditores de seguridad como ayuda en la planificacin de las aplicaciones web y su explotacin. En la actualidad, se utiliza un Web Crawler eficiente, rpido y estable, Archivo / Dir forcer Bruto, Fuzzer para la explotacin avanzada de vulnerabilidades conocidas y poco

RATS

GRAudit

MICROSOFT

CAT .NET

OllyDbg SuRGeoNix

OllyDbg WebSurgery

comunes, tales como inyecciones SQL, Cross Site Scripting (XSS), fuerza bruta en accesos, identificacin de las reglas de filtrado en cortafuegos, ataques DOS y Web Proxy para analizar, interceptar y manipular el trfico entre el navegador y la aplicacin web de destino. US HOMELAND SECURITY The 2010 CWE/SANS Top 25 Most Dangerous Programming Errors is a list of the most widespread and critical programming errors that can lead to serious software vulnerabilities. Herramienta para entornos de prueba de seguridad de las aplicaciones web diseada para propociornar la mejores combinaciones de tecnologas de testeo de vulnerabilidades manuales y automticas. CWE

WEBSECURIFY

WebSurgery

12.2.3. Autenticacin de mensajes Control: Se deberan identificar los requisitos para asegurar la autenticidad y proteccin de la integridad del contenido de los mensajes en las aplicaciones, e identificar e implantar los controles apropiados. 12.2.4. Validacin de los datos de salida Control: Se deberan validar los datos de salida de las aplicaciones para garantizar que el procesamiento de la informacin almacenada es correcto y apropiado a las circunstancias. 12 3 Controles criptogrficos Proteger la confidencialidad, autenticidad o integridad de la informacin con la ayuda de tcnicas criptogrficas.

Se debera desarrollar una poltica de uso de controles criptogrficos. Se debera establecer una gestin de claves que de soporte al uso de de tcnicas criptogrficas. Utilice estndares formales actuales tales como AES, en lugar de algoritmos de cosecha propia. La implementacin es crucial!

Porcentaje de sistemas que contienen datos valiosos o sensibles para los cuales se han implantado totalmente controles criptogrficos apropiados (periodo de reporte de 3 a 12 meses).

12.3.1. Poltica de uso de los controles criptogrficos Control: Se debera desarrollar e implantar una poltica de uso de controles criptogrficos para la proteccin de la informacin. Guas: Posibles Soluciones a este control:

Free Open-Source Disk Encryption Software

truecrypt

Modelo de poltica de encriptacin (ingls) Low cost, easy to use and highly secure encryption and digital signature solutions for every one from big companies to individual users Herramienta gratuita y genera firmas codificadas segn el formato PKCS#7 o CMS (Cryptographic Message Syntax)

Sans

MXC

Albalia

Implementation of the OpenPGP standard as defined by RFC4880 . GnuPG allows to encrypt and sign your data and communication, features a versatile key managment GNU project system as well as access modules for all kind of public key directories. Version 2 of GnuPG also provides support for S/MIME.

Tabla resumen descriptiva de productos y sus Northwestern funcionalidades de cifrado.

12.3.2. Cifrado Control: Se debera establecer una gestin de las claves que respalde el uso de las tcnicas criptogrficas en la Organizacin. Posibles Soluciones a este control: Herramienta gratuita y genera firmas codificadas segn el formato PKCS#7 o CMS (Cryptographic Message Syntax) El Asistente de Instalacin del DNIe es un programa que te permitir: - Comprobar el estado de una instalacin anterior del DNI Electrnico en su ordenador; - Instalar todos los elementos necesarios para poder utilizar el DNI Electrnico; - Utilizar el DNIe en los navegadores ms habituales (Internet Explorer, Firefox y Chrome); - Validar los certificados del DNI Electrnico; - Desinstalar el DNI Electrnico en su equipo Windows o Linux (Ubuntu). Mandos es un sistema que permite que los servidores con sistemas de archivos raz cifrados puedan ser reiniciados de forma desatendida y/o remota. Software gratuito de cifrado de discos y particiones

Albalia

AlbaliaFirma.zip

Asistente DNI

Zona TIC

MANDOS

Descarga Mandos

TrueCrypt

TrueCrypt

12 4 Seguridad de los ficheros del sistema Garantizar la seguridad de los sistemas de ficheros.

Se debera controlar el acceso a los sistemas de ficheros y cdigo fuente de los programas. Los proyectos TI y las actividades de soporte deberan ser dirigidos de un modo seguro. Se debera evitar la exposicin de datos sensibles en entornos de prueba. Aplique consistentemente estndares de seguridad bsica, asegurando que se siguen las recomendaciones de CIS, NIST, fabricantes de sistemas, etc. Porcentaje de sistemas evaluados de forma independiente como totalmente conformes con los estndares de seguridad bsica aprobados, aquellos que no han sido evaluados, no son para los que no se han aprobado dichos estndares.

respecto a conformes o

12.4.1. Control del software en explotacin Control: Se deberan establecer procedimientos con objeto de controlar la instalacin de software en sistemas que estn operativos. Posibles Soluciones a este control: CENTRE FOR TEH PROTECTION OF NATIONAL INFRASTRUCTURE NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY MICROSOFT TECHNET This document is a guide to patch management, defined as the process of controlling the deployment and maintenance of interim software releases into operational environments. This document provides guidance on creating a security patch and vulnerability management program and testing the effectiveness of that program. Guas de seguridad para la gestin de actualizaciones

CPNI

NIST Guia MICROSOFT

12.4.2. Proteccin de los datos de prueba del sistema Control: Se deberan seleccionar, proteger y controlar cuidadosamente los datos utilizados para las pruebas. 12.4.3. Control de acceso a la librera de programas fuente Control: Se debera restringir el acceso al cdigo fuente de los programas.

12 5 Seguridad en los procesos de desarrollo y soporte 12.5.1. Procedimientos de control de cambios Mantener la seguridad del software del sistema de aplicaciones y la informacin. Se deberan controlar estrictamente los entornos de desarrollo de proyectos y de soporte. Los directivos responsables de los sistemas de aplicaciones deberan ser tambin responsables de la seguridad del proyecto o del entorno de soporte. Ellos deberan garantizar que todas las propuestas de cambio en los sistemas son revisadas para verificar que no comprometen la seguridad del sistema o del entorno operativo. Incorpore la seguridad de la informacin al ciclo de vida de desarrollo de sistemas en todas sus fases, desde la concepcin hasta la desaparicin de un sistema, por medio de la inclusin de "recordatorios" sobre seguridad en los procedimientos y mtodos de desarrollo, operaciones y gestin de cambios. Trate el desarrollo e implementacin de software como un proceso de cambio. Integre las mejoras de seguridad en las actividades de gestin de cambios (p. ej., documentacin y formacin procedimental para usuarios y administradores). "Estado de la seguridad en sistemas en desarrollo", es decir, un informe sobre el estado actual de la seguridad en los procesos de desarrollo de software, con comentarios sobre incidentes recientes/actuales, vulnerabilidades actuales de seguridad conocidas y pronsticos sobre cualquier riesgo creciente, etc.

12.5.2. Revisin tcnica de los cambios en el sistema operativo Control: Se deberan revisar y probar las aplicaciones crticas de negocio cuando se realicen cambios en el sistema operativo, con objeto de garantizar que no existen impactos adversos para las actividades o seguridad de la Organizacin 12.5.3. Restricciones en los cambios a los paquetes de software Control: Se debera desaconsejar la modificacin de los paquetes de software, restringindose a lo imprescindible y todos los cambios deberan ser estrictamente controlados. 12.5.4. Canales encubiertos y cdigo Troyano Control:

Se debera prevenir las posibilidades de fuga de informacin. (consultar ISO/IEC 15408) 12.5.5. Desarrollo externalizado del software Control: Se debera supervisar y monitorizar el desarrollo del software subcontratado por la Organizacin. Posibles Soluciones a este control: Gua del FFIEC (Federal Financial Institutions Examination Council), en ingls, para la adecuada supervisin de proveedores de servicios TI. La acompaa una lista de verificacin -checklist-, til para auditar dicho proceso. Debugger para anlisis de cdigo a nivel ensamblador, incluso cuando el cdigo fuente no est disponible.

FFIEC

FFIEC IT providers superivision booklet

OllyDbg

OllyDbg

12 6 Gestin de las vulnerabilidades tcnicas Reducir los riesgos originados por la explotacin de vulnerabilidades tcnicas publicadas.

Se debera implantar una gestin de la vulnerabilidad tcnica siguiendo un mtodo efectivo, sistemtico y cclico, con la toma de medidas que confirmen su efectividad. Se deberan considerar sistemas operativos, as como todas las aplicaciones que se encuentren en uso. Haga un seguimiento constante de parches de seguridad mediante herramientas de gestin de vulnerabilidades y/o actualizacin automtica siempre que sea posible (p. ej., Microsoft Update o Secunia Software Inspector). Evale la relevancia y criticidad o urgencia de los parches en su entorno tecnolgico. Pruebe y aplique los parches crticos, o tome otras medidas de proteccin, tan rpida y extensamente como sea posible, para vulnerabilidades de seguridad que afecten a sus sistemas y que estn siendo explotadas fuera activamente. Evite quedarse tan atrs en la rutina de actualizacin de versiones que sus sistemas queden fuera de soporte por el fabricante.

Latencia de parcheo o semiperiodo de despliegue (tiempo que ha llevado parchear la mitad de los sistemas vulnerables -evita variaciones circunstanciales debidas a retrasos en unos pocos sistemas, tales como porttiles fuera de la empresa o almacenados-).

12.6.1. Control de las vulnerabilidades tcnicas Control: Se debera obtener informacin oportuna sobre la vulnerabilidad tcnica de los sistemas de informacin que se estn utilizando, evaluar la exposicin de la organizacin ante tal vulnerabilidad y tomar las medidas adecuadas para hacer frente a los riesgos asociados. Posibles Soluciones a este control: Belarc Advisor construye un perfil detallado del software y hardware instalado, el inventario de la red, la falta de revisiones en productos de Microsoft, el estado de anti-virus, puntos de referencia de seguridad, y muestra los resultados en el explorador Web. Toda la informacin del perfil del PC se mantiene privada y no se enva a servidores de la web. Plataforma integrada para el desarrollo de test de seguridad de aplicaciones web.

Belarc

Belarc Advisor

Burp Suite

Burp Suite

Solucin para pequeas y grandes empresas con el objetivo de ahorrar tiempo y dedicacin en labores de administracin TI en la deteccin y DELL KACE KBox actualizacin de los equipos conectados de la organizacin. Disponible diverso material informativo y una versin de prueba de 30 das. Digital Encode

KACE

Vulnerability Ejemplo, en ingls, de un informe resultante de un Assessment & anlisis de vulnerabilidades y test de penetracin Penetration Test realizado para una empresa ficticia. Report template Update Checker revisar el software instalado en tu ordenador, comprobar las versiones y despus enviar esta informacin a FileHippo.com para ver si hay nuevas versiones. stas se muestran ordenadamente en tu navegador para que las descargues. Versin gratuita. FileFuzz ha sido diseado para automatizar la creacin de formatos de fichero anormales en la ejecucin de aplicaciones. FileFuzz dispone adicionalmente de capacidades de debugging para detectar excepciones como resultados de las pruebas. Base de datos con patrones para los casos ms

FileHippo

FileHippo

FileFuzz

SecuriTeam

Fuzzdb

Fuzzdb

habituales de ataque. GFI LANguard es una herramienta, en espaol, que permite hacer gestin de actualizaciones, gestin de vulnerabilidades, auditora de red y de GFI LANguard software, inventario, gestin de cambios y anlisis de riesgos y cumplimiento. Versin gratuita para uso no comercial para hasta 5 IPs. Enorme repositorio de soluciones tcnicas en seguridad. Escner de vulnerabilidades en aplicaciones web, de Google. Repositorio con mltiples herramientas y recursos para pentesting. Esta solucin de auditora de intrusin y solucin de testeo de software est diseada para permitir a las organizaciones de cualquier tamao mitigar, monitorizar y gestionar las ltimas vulnerabilidades en seguridad para implantar polticas de seguridad activa mediante la realizacin de tests de intrusin en si infraestrustura y aplicaciones. Repositorio Skipfish Repositorio

GFI

Gizmo's freeware Google Code HackArmoury

INSECURITY RESEARCH

INSECT PRO

InfosecWriters

Documento de ejemplo, en ingls, de un proceso de anlisis de vulnerabilidades para una empresa Testing Process ficticia. CONAN es una analizador de vulnerabilidades en PCs gratuito, en espaol, desarrollado por INTECO. CONAN

INTECO Cert

LUMENSION

Gestin integrada y proactiva de gestin de parches y evaluacin de vulnerabilidades de software. Administracin completa de vulnerabilidades usando un proceso de validacin de mercado que incluye el descubrimiento e Vulnerability inventario de activos a travs de exploraciones Management tool basadas en agentes locales y de red; una remediacin automatizada e inteligente y una auditora de conformidad continua. Solucin de pago pero dispone de una versin de prueba. Herramienta que permite testar servidores IPsec VPN. Matriux es una distribucin open source que incluye un conjunto de herramientas para tests de penetracin, hacking tico, administracin de sistemas y redes, informtica forense, anlisis de vulnerabilidades, etc. Open Vulnerability Assessment System (OpenVAS) es un conjunto de servicios y herramientas de software libre en ingls que proporcionan una solucin de escaneado y gestin de vulnerabilidades. QUALYS Browser check permite realizar un test a ike-scan

NTA

Matriux

Matriux

OpenVAS

OpenVAS

QUALYS

Test de

su navegador y localizar posibles desactualizaciones y vulnerabilidades en la versin utilizada as como en plugins instalados (java, flash, pdf, ...) .

vulnerabilidades de Navegador

QUALYS

Este servicio gratuito online realiza un anlisis en profundidad de la configuracin de cualquier SSL Labs on-line servidor web SSL disponible pblicamente en tool Internet. Genera un informe en detalle de las comprobaciones realizadas adems del catalogar Rating guide el site segn un ranking documentado (rating guide). NeXpose Community Edition es una herramienta, en ingls, de gestin de vulnerabilidades para pequeas organizaciones. Es gratuita hasta un lmite de 32 IPs. Retina Network Community, es un potente escaner de vulnerabilidades free hasta 128 IPs para desarrollar valoraciones en todo tu entorno. Secunia proporciona una serie de herramientas de escaneo de vulnerabilidades software y gestin de parches. Dispone de versiones gratuitas para uso personal no comercial. Panel de informacin con las vulnerabilidades en productos y que se actualiza constantemente. La seccin de herramientas permite consultar posibles soluciones de manera extensa y en materia de seguridad. sleuthkit.org es la web oficial para The Sleuth Kit (TSK) y Autopsy Browser, ambas herramientas open source para la investigacin forense y ejecutables en entornos Windows y Unix (tales como Linux, OS X, Cygwin, FreeBSD, OpenBSD, y Solaris). Pueden analizar sistemas de ficheros NTFS, FAT, HFS+, Ext2, Ext3, UFS1, y UFS2 entre otros tipos de volmenes. TSK consiste en una librera C y una coleccin de herramientas desde ventana de comandos. Autopsy es un interace grfico para TSK. TSK es integrable de varias formas con sistemas forenses automatizados. The Sleuth Kit Hadoop Framework es un framework que incorpora TSK en cloud computing para el anlisis de grandes volmenes de datos. SQLmap es una herramienta open source, en ingls, que automatiza el proceso de deteccin y explotacin de vulnerabilidades de inyeccin SQL. NeXpose

RAPID7

RETINA

eEye

SECUNIA

Secunia

SECURE DATABASE

Dashboard y tools

Sleuth Kit

TSK

SQLMap

SQL Map

13. Gestin de Incidentes de Seguridad de la Informacin 13 1 Comunicacin de eventos y debilidades en la seguridad de la informacin

Garantizar que los eventos y debilidades en la seguridad asociados con los sistemas de informacin se comuniquen de modo que se puedan realizar acciones correctivas oportunas.

Debera establecerse el informe formal de los eventos y de los procedimientos de escalado. Todos los empleados, contratistas y terceros deberan estar al tanto de los procedimientos para informar de los diferentes tipos de eventos y debilidades que puedan tener impacto en la seguridad de los activos organizacionales. Se les debera exigir que informen de cualquier evento o debilidad en la seguridad de informacin lo ms rpido posible y al punto de contacto designado. Establezca y d a conocer una hotline (generalmente, el helpdesk habitual de TI) para que la gente pueda informar de incidentes, eventos y problemas de seguridad.

Estadsticas del helpdesk de TI, con anlisis sobre el nmero y tipos de llamadas relativas a seguridad de la informacin (p. ej., cambios de contrasea; porcentaje de preguntas acerca de riesgos y controles de seguridad de la informacin respecto al total de preguntas). A partir de las estadsticas, cree y publique una tabla de clasificacin por departamentos (ajustada segn el nmero de empleados por departamento), mostrando aquellos que estn claramente concienciados con la seguridad, frente a los que no lo estn. 13.1.2. Comunicacin de debilidades en seguridad Control: Todos los empleados, contratistas y terceros que son usuarios de los sistemas y servicios de informacin deberan anotar y comunicar cualquier debilidad observada o sospechada en la seguridad de los mismos. 13 2 Gestin de incidentes y mejoras en la seguridad de la informacin Garantizar que se aplica un enfoque consistente y eficaz para la gestin de los incidentes en la seguridad de informacin.

Deberan establecerse las responsabilidades y procedimientos para manejar los eventos y debilidades en la seguridad de informacin de una manera efectiva y una vez que hayan sido comunicados. Se debera aplicar un proceso de mejora continua en respuesta para monitorear, evaluar y gestionar en su totalidad los incidentes en la seguridad de informacin. Cuando se requieran evidencias, stas deben ser recogidas para asegurar el cumplimiento de los requisitos legales. Las revisiones post-incidente y los casos de estudio para incidentes serios, tales como fraudes, ilustran los puntos dbiles de control, identifican oportunidades de mejora y conforman por s mismos un mecanismo eficaz de concienciacin en seguridad. Nmero y gravedad de incidentes; evaluaciones de los costes de analizar, detener y reparar los cualquier prdida tangible o intangible producida. incidentes de seguridad que han causado costes por umbrales aceptables definidos por la direccin.

incidentes y Porcentaje de encima de

13.2.1. Identificacin de responsabilidades y procedimientos Control: Se deberan establecer las responsabilidades y procedimientos de gestin para asegurar una respuesta rpida, efectiva y ordenada a los incidentes en la seguridad de informacin. Posibles Soluciones a este control: La respuesta temprana para los incidentes de la seguridad se presenta en dos partes: documento maestro para el tutor (Manual) y los documentos Agencia para los estudiantes con ejercicios. Este material Europea de tiene la intencin de ayudar a una respuesta Seguridad de temprana "CERT" mediante equipos capacitados las Redes y de para reaccionar a los eventos cotidianos y la Informacin especiales. El material contiene 12 ejercicios en (ENISA) diversos escenarios, que van desde actividades CERT internos a las actividades de coordinacin durante los ataques cibernticos a gran escala contra pases enteros. NIST Este documento proporciona ayuda a las organizaciones para establecer una respuesta y gestin efectiva de los incidentes de seguridad en sistemas TI. Consideraciones sobre la gestin de incidentes de seguridad de la informacin.

ENISA Manual ENISA Toolset

SP800-61 Gestin de incidentes de seguridad

SEINHE

13.2.2. Evaluacin de incidentes en seguridad Control: Debera existir un mecanismo que permitan cuantificar y monitorear los tipos, volmenes y costes de los incidentes en la seguridad de informacin. (consultar 5.1.2) Posibles Soluciones a este control:

CERT UK

Gua de respuesta a incidentes del GovCertUK, organismo responsable del soporte a los departamentos gubernamentales del Reino Unido en los incidentes de seguridad. Herramienta que permite valorar el coste potencial de una parada en los servicios.

Incident Response Guidelines Downtime Calculator

NTA

13.2.3. Recogida de pruebas Control: Cuando una accin de seguimiento contra una persona u organizacin, despus de un incidente en la seguridad de informacin, implique accin legal (civil o criminal), la evidencia debe ser recolectada, retenida y presentada conforme a las reglas para la evidencia establecidas en la jurisdiccin relevante. (Consultar tambin 8.2.3) Posibles Soluciones a este control: AVG Rescue CD es un poderoso juego de herramientas indispensable para rescatar y reparar AVG CD rescate equipos infectados. Closed circuit television (CCTV). Management and operation. Code of practice CAINE (Computer Aided INvestigative Environment) is an Italian GNU/Linux live distribution created as a project of Digital Forensics. CAINE offers a complete forensic environment that is organized to integrate existing software tools as software modules and to provide a friendly graphical interface. Coleccin de jurisprudencia espaola sobre evidencia electrnica. Marco Open source para poder compartir en un repositorio centralizado la informacin y trazabilidad de las auditoras de seguridad en sistemas y en aplicaciones web, as como en tests de intrusin. Gua BSI

AVG BSI SHOP

CAINE

Caine

CYBEX

Cybex

DRADIS

dradis

MANDIANT

MANDIANT Memoryze es un software forense para memorias de libre uso que ayuda en la respuesta de un incidente mediante la bsqueda en actividad maliciosa en la memoria del computador. Memoryze puede obtener y/o analizar imgenes y sistemas en activo y puede incluir ficheros paginados en sus anlisis. Fully featured security distribution consisting of a bunch of powerful, open source and free tools that can be used for various purposes including, but not limited to, penetration testing, ethical hacking, system and network administration, cyber forensics investigations, security testing, vulnerability analysis, and much more. Gua de planeamiento de supervisin de la seguridad y deteccin de ataques. Aporta dos ventajas principales para las organizaciones, independientemente de su tamao: la capacidad de identificar ataques de forma instantnea y la capacidad de realizar anlisis forenses de los sucesos ocurridos antes, durante y despus de un ataque. Este documento proporciona ayuda para la integracin del anlisis forense con los mecanismos de una respuesta y gestin efectiva de los incidentes de seguridad.

Memoryze

MATRIUX

Matriux

MICROSOFT TECHNET

Guia MICROSOFT

NIST

SP800-86

OSForensics puede obtener informacin sobre accesos recientes a aplicaciones, documentos, OS FORENSICS dispositivos de almacenamiento y redes mediente el escaneo del registro. La informacin se recoge y muestra en paneles de un modo til y sencillo. The SANS SIFT Workstation is a VMware Appliance that is pre-configured with all the necessary tools to perform a detailed digital forensic examination. It is compatible with Expert Witness Format (E01), Advanced Forensic Format (AFF), and raw (dd) evidence formats. The brand new version has been completely rebuilt on an Ubuntu base with many additional tools and capabilities that can match any modern forensic tool suite. sleuthkit.org es la web oficial para The Sleuth Kit (TSK) y Autopsy Browser, ambas herramientas open source para la investigacin forense y ejecutables en entornos Windows y Unix (tales como Linux, OS X, Cygwin, FreeBSD, OpenBSD, y Solaris). Pueden analizar sistemas de ficheros NTFS, FAT, HFS+, Ext2, Ext3, UFS1, y UFS2 entre otros tipos de volmenes. TSK consiste en una librera C y una coleccin de herramientas desde ventana de comandos. Autopsy es un interace grfico para

PassMark Software

SANS

SANS

Sleuth Kit

TSK

TSK. TSK es integrable de varias formas con sistemas forenses automatizados. The Sleuth Kit Hadoop Framework es un framework que incorpora TSK en cloud computing para el anlisis de grandes volmenes de datos. 14. Gestin de Continuidad del Negocio 14.1.1. Proceso de la gestin de continuidad del negocio Control: Se debera desarrollar y mantener un proceso de gestin de la continuidad del negocio en la organizacin que trate los requerimientos de seguridad de la informacin necesarios para la continuidad del negocio. Posibles Soluciones a este control: UNE 71599-1: Norma espaola de buenas prcticas en gestin de contiuidad de negocio, basada en BS 25999-1:2006.

AENOR

UNE 71599-1:2010

AENOR

UNE 71599-2: Norma espaola que establece los requisitos para un sistema de UNE 71599-2:2010 gestin de continuidad de negocio, basada en BS 25999-2:2007. Gua de continuidad de negocio de ASIS International (en ingls). Gua en ingls de buenas prcticas de continuidad de negocio del Business Continuity Institute. ASIS Business Continuity Guideline BCI Good Practices

ASIS International BCI

El estndar BSI 100-4 describe un mtodo sistemtico para desarrollar, establecer y BSI mantener un sistema de gestin para la (Federal Office for continuidad del negocio e integrado con Information estndares como BS 25999, ISO 27001, Security) ISO 20000, PAS 99, GPG del BCI entre otros marcos de refencia. BSI BSI BSI BSI CALLIO

BSI Standard 100-4

BS 25999-1: Norma de BSI en ingls que BS 25999-1:2006 en recoge un cdigo de buenas prcticas para ingls la gestin de la continuidad de negocio. Traduccin al espaol de la norma BS 25999-1:2006. BS 25999-1:2006 en espaol

BS 25999-2: Norma de BSI en ingls que BS 25999-2:2007 en establece los requisitos para un sistema de ingls gestin de continuidad de negocio. Traduccin al espaol de la norma BS 25999-2:2007. BS 25999-2:2007 en espaol

Plantillas, modelos y guas para planificar y Address and Phone desarrollar actividades de continuidad de Number of the

negocio (ingls)

Backup Facility Communications During a Disaster Continuity Plan -Content Creation and Implementation of a Continuity Plan Criteria for Evaluating a Backup Facility Distribution List for the Continuity Plan Drafting a Recovery Plan Elaborating Business Continuity Strategies Emergency Plan Evaluating Priorities Impact Analysis Form Impact Analysis Insurance Risk Coverage List of Emergency Telephone Numbers List of Suppliers Responding to Emergency Situations Risk Analysis and Management Testing and Maintaining Continuity Plans DRII Professional Practices

DRII

Buenas prcticas de gestin de continuidad de negocio del Disaster Recovery Institute International - DRII (en ingls). Gua de planificacin de continuidad de negocio, en ingls, del Federal Financial Institutions Examination Council. La acompaa una lista de verificacin -checklist-, til para auditar el proceso. Presentacin en espaol de Manuel Ballester, de introduccin a la continuidad de negocio, realizada en las Conferencias FIST. Gua de gestin de continuidad de negocio publicada por el gobierno de la provincia canadiense de Saskatchewan (en ingls). Gua prctica para pymes en espaol de cmo implantar un plan de continuidad de negocio, editada por Inteco y Deloitte. ISO/IEC 27031: Norma ISO en ingls, de la

FFIEC

FFIEC BCP

FIST Conference

FISTconference.org

Government of Saskatchewan INTECO ISO

BCM Planning Guidelines Gua pymes continuidad de negocio ISO/IEC 27031

serie 27000, con directrices para la continuidad de TICs ISO ISO/IEC 24762: Directrices para servicios de recuperacin de desastres TIC (en ingls). Estndar NIST SP 800-34 sobre planificacin de contingencias para sistemas de informacin (en ingls). ISO/IEC 24762

NIST

NIST SP 800-34

The IIA

GTAG 10, Gua de gestin de continuidad GTAG 10 - Business de negocio del Institute of Internal Auditors Continuity (en ingls). Management

14.1.2. Continuidad del negocio y anlisis de impactos Control: Se deberan identificar los eventos que puedan causar interrupciones a los procesos de negocio junto con la probabilidad e impacto de dichas interrupciones y sus consecuencias para la seguridad de informacin. Posibles Soluciones a este control: Address and Phone Number of the Backup Facility Communications During a Disaster Continuity Plan -- Content Creation and Implementation of a Continuity Plan Criteria for Evaluating a Backup Facility Distribution List for the Continuity Plan Drafting a Recovery Plan Plantillas, modelos y guas para planificar y Elaborating Business desarrollar actividades de continuidad de Continuity Strategies negocio (ingls) Emergency Plan Evaluating Priorities Impact Analysis Form Impact Analysis Insurance Risk Coverage List of Emergency Telephone Numbers List of Suppliers Responding to Emergency Situations Risk Analysis and Management Testing and Maintaining Continuity Plans

CALLIO

direct.gov.uk

Informacin sobre continuidad de negocio del gobierno del Reino Unido.

direct.gov.uk

"Business Continuity Planning Workbook" Government of del gobierno de la provincia canadiense de Saskatchewan Saskatchewan, con especial incidencia en el anlisis de impactos. En ingls. Talking Business Continuity Plantilla en ingls para la realizacin de un BIA (anlisis de impacto en el negocio).

BC Planning Workbook

BIA Tool SANS Institute Reading Room

SANS Reading Consejos para la realizacin de un Room Business Impact Analysis (BIA), en ingls.

14.1.3. Redaccin e implantacin de planes de continuidad ontrol: Se deberan desarrollar e implantar planes de mantenimiento o recuperacin de las operaciones del negocio para asegurar la disponibilidad de la informacin en el grado y en las escalas de tiempo requeridos, tras la interrupcin o fallo de los procesos crticos de negocio. Posibles Soluciones a este control: Documento del Business Continuity Institute, en ingls, describiendo las competencias y tareas de los responsables de continuidad de negocio. PD 25111: documento en ingls de BSI que da directrices sobre aspectos de continuidad de negocio relativos a las personas.

BCI

BCI-Professional Competence

BSI CALLIO

PD 25111:2010

Plantillas, modelos y guas para Address and Phone planificar y desarrollar actividades de Number of the continuidad de negocio (ingls) Backup Facility Communications During a Disaster Continuity Plan -Content Creation and Implementation of a Continuity Plan Criteria for Evaluating a Backup Facility Distribution List for the Continuity Plan Drafting a Recovery Plan Elaborating Business Continuity Strategies

Emergency Plan Evaluating Priorities Impact Analysis Form Impact Analysis Insurance Risk Coverage List of Emergency Telephone Numbers List of Suppliers Responding to Emergency Situations Risk Analysis and Management Testing and Maintaining Continuity Plans Documento en ingls que propone Canadian Centre for una estructura y tareas para un Emergency Preparedness equipo de gestin de emergencias. Plantilla en ingls de estrategia de Canadian Centre for continuidad para un determinado Emergency Preparedness escenario de impacto. Emergency Management Team Set Up Strategy Worksheet

Documento en ingls con directrices Canadian Centre for Crisis y ejemplos para la preparacin de un Emergency Preparedness communication plan plan de comunicacin de crisis. Plantilla en ingls de plan de Canadian Centre for continuidad de negocio y ejemplo Emergency Preparedness correspondiente. BCP Template Sample

Continuity Central

Business continuity and disaster Checklist de continuidad de negocio recovery checklist para pequeas empresas, en ingls. for small business owners Repositorio de artculos sobre gestin de crisis, en ingls, de Continuity Central. Repositorio de artculos sobre continuidad TI, en ingls, de Continuity Central. Crisis Management: Advanced resources IT Continuity: Advanced resources

Continuity Central

Continuity Central

INEI

Gua Prctica para el Desarrollo de Planes de Contingencia de Sistemas Gua contingencia de Informacin del Gobierno de INEI Per. IBM System Storage Business Continuity: Part 1 Planning Guide. IBM System Storage Business Continuity: Part 2 Solutions Guide. IBM System Storage Business Continuity: Part 1 Planning Guide IBM System Storage Business Continuity:

Redbooks Redbooks

Part 2 Solutions Guide Checklist para pymes, en ingls, TalkingBusinessContinuity sobre aspectos a considerar en los planes de continuidad de negocio. 14.1.4. Marco de planificacin para la continuidad del negocio Control: Se debera mantener un esquema nico de planes de continuidad del negocio para garantizar que dichos planes son consistentes, para tratar los requisitos de seguridad y para identificar las prioridades de prueba y mantenimiento. Posibles Soluciones a este control: Address and Phone Number of the Backup Facility Communications During a Disaster Continuity Plan -- Content Creation and Implementation of a Continuity Plan Criteria for Evaluating a Backup Facility Distribution List for the Continuity Plan Drafting a Recovery Plan Plantillas, modelos y guas para planificar y Elaborating Business desarrollar actividades de continuidad de Continuity Strategies negocio (ingls) Emergency Plan Evaluating Priorities Impact Analysis Form Impact Analysis Insurance Risk Coverage List of Emergency Telephone Numbers List of Suppliers Responding to Emergency Situations Risk Analysis and Management Testing and Maintaining Continuity Plans BCM Checklist Tool

CALLIO

14.1.5. Prueba, mantenimiento y reevaluacin de planes de continuidad Control: Se deberan probar regularmente los planes de continuidad del negocio para garantizar su actualizacin y eficacia.

Posibles Soluciones a este control:

BSI Shop

PD 25666:2010 es una gua en ingls publicada por BSI, que establece buenas prcticas para la realizacin de pruebas de planes de continuidad de negocio.

PD 25666:2010

CALLIO

Address and Phone Number of the Backup Facility Communications During a Disaster Continuity Plan -Content Creation and Implementation of a Continuity Plan Criteria for Evaluating a Backup Facility Distribution List for the Continuity Plan Drafting a Recovery Plan Plantillas, modelos y guas para planificar y Elaborating Business desarrollar actividades de continuidad de Continuity Strategies negocio (ingls) Emergency Plan Evaluating Priorities Impact Analysis Form Impact Analysis Insurance Risk Coverage List of Emergency Telephone Numbers List of Suppliers Responding to Emergency Situations Risk Analysis and Management Testing and Maintaining Continuity Plans EPCB Exercise/Test Methodology Exercise Evaluation Form Continuity Central

Documento en ingls con checklists y Canadian Centre for consejos para el diseo, gestin y Emergency evaluacin de pruebas de planes de Preparedness continuidad de negocio. Canadian Centre for Ejemplo en ingls de plantilla de Emergency evaluacin del desarrollo de pruebas de Preparedness planes de continuidad de negocio. Diversos artculos en ingls de Continuity Continuity Central Central acerca de la prueba de planes de continuidad de negocio.

Documento en ingls que establece pautas para la realizacin de "pruebas de Disaster Recovery escritorio" (o sobre el papel, sin simulacro Journal real) para verificacin de planes de continuidad de negocio. SISTESEG Presentacin de la empresa colombiana SISTESEG sobre auditora de planes de continuidad de negocio y recuperacin de desastres (en entorno TI).

Disaster Recovery Journal

Presentacin de SISTESEG

15. Conformidad 15 1 Conformidad con los requisitos legales Evitar incumplimientos de cualquier ley, estatuto, regulacin u obligacin contractual y de cualquier requisito de seguridad. El diseo, operacin, uso y gestin de los sistemas de informacin pueden ser objeto de requisitos estatutarios, y de seguridad contractuales.

reguladores

Los requisitos legales especficos deberan ser advertidos por los asesores legales de la organizacin o por profesionales adec uadamente cualificados. Los requisitos que marca la legislacin cambian de un pas a otro y pueden variar para la informacin que se genera en un pas y se transmite a otro pas distinto (por ej., flujos de datos entre fronteras). Obtenga asesoramiento legal competente, especialmente si la organizacin opera o tiene clientes en mltiples jurisdicciones. Nmero de cuestiones o recomendaciones de cumplimiento legal, agrupadas y analizadas por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio o bajo). Porcentaje de requisitos externos clave que, mediante auditoras objetivas o de otra forma admisible, han sido considerados conformes. 15.1.2. Derechos de propiedad intelectual (IPR) Control: Se deberan implantar procedimientos adecuados que garanticen el cumplimento de la legislacin, regulaciones y requisitos contractuales para el uso de material con posibles derechos de propiedad intelectual asociados y para el uso de productos software propietario. Posibles Soluciones a este control: 100% legal Portal del Ministerio de Industria espaol Todosconsoftwarelegal.es

con informacin sobre software legal, enlaces a software libre, etc. Belarc Advisor construye un perfil detallado del software y hardware instalado, el inventario de la red, la falta de revisiones en productos de Microsoft, el estado de anti-virus, puntos de referencia de seguridad, y muestra los resultados en el explorador Web. Toda la informacin del perfil del PC se mantiene privada y no se enva a servidores de la web. Gua en espaol de la Business Software Alliance de argumentos jurdicos relacionados con los riesgos de utilizar software no legal en las organizaciones. Gua de buenas prcticas en espaol, de la Business Software Alliance, para el control corporativo de activos de software y sus correspondientes licencias. Copyscape es una herramienta online que permite detectar plagios de una pgina web (tiene una versin gratuita). Las licencias Creative Commons propocionan alternativas estandarizadas al sistema habitual de propiedad intelectual de "todos los derechos reservados". La aplicacin Antiplagio, de EducaRed, permite localizar e identificar documentos plagiados a partir del anlisis de diferentes fuentes.

Belarc

Belarc Advisor

BSA

Argumentos jurdicos SW legal

BSA

BSA Best practices

Copyscape

Copyscape

Creative Commons

Creative Commons

EducaRed

Antiplagio

La Licencia Pblica General GNU (GNU Free Software GPL) es la licencia de software libre ms Foundation utilizada. Frontrange Herramienta de realizacin de inventarios de HW y SW en una red. La versin de prueba de 30 das permite hacer un inventario gratuito de hasta 25 PCs. Especificaciones para el etiquetado de software con el objeto de optimizar su identificacin y gestin. (ingls).

GNU GPL

Frontrange Discovery

ISO

Estndar ISO/IEC 197702:2009 Ley de propiedad intelectual

Ministerio de Ley de propiedad intelectual espaola. Cultura

Gua del Ministerio de Cultura espaol Ministerio de sobre cmo implantar medidas en una red Gua propiedad intelectual Cultura informtica para garantizar el cumplimiento del derecho de propiedad intelectual. Ministerio de la Modificacin de la Ley Orgnica 10/1995, Presidencia de 23 de noviembre, del Cdigo Penal. ManageEngine Herramienta de gestin de activos en red, que ayuda, entre otras cosas, a la gestin Ley Orgnica 5/2010, de 22 de junio ManageEngine AssetExplorer

de licencias. La versin gratuita tiene un lmite de 25 nodos. La versin de prueba de 30 das, un lmite de 250. Microsoft Software Inventory Analyzer es una herramienta que permite hacer un inventario automatizado de todo el software de Microsoft instalado en un equipo o en una red. Gua en espaol, publicada por Microsoft, sobre aspectos relacionados con el software legal: conceptos, legislacin, herramientas, etc. Modelos para la comunicacin y gestin de incidentes contra la propiedad intelectual (ingls). Microsoft Software Inventory Analyzer

Microsoft

Microsoft

Gua Microsoft SW legal

SANS

Sans.org

Portal argentino con informacin, Software Legal legislacin, enlaces, consejos, etc., sobre software legal. Wikipedia Grfico que establece un mapa conceptual del software libre.

Software Legal Mapa conceptual del software libre

15.1.3. Salvaguarda de los registros de la Organizacin Control: Los registros importantes se deberan proteger de la prdida, destruccin y falsificacin, de acuerdo a los requisitos estatutarios, regulaciones, contractuales y de negocio. Posibles Soluciones a este control: INTECO Gua de INTECO sobre la respuesta jurdica frente a ataques de seguridad de la informacin. Gua Inteco

15.1.4. Proteccin de datos de carcter personal y de la intimidad de las personas Control: Se debera garantizar la proteccin y privacidad de los datos y segn requiera la legislacin, regulaciones y, si fueran aplicables, las clusulas relevantes contractuales. Posibles Soluciones a este control:

AGENCIA Herramienta de diagnstico basado en un autotest EVALUA LOPD ESPAOLA DE basado en preguntas con respuesta mltiple. Al PROTECCION DE final, la Agencia Espaola de Proteccin de Datos, DATOS le facilita un informe con indicaciones y recursos

que le orienten, en su caso, para cumplir con lo dispuesto en la LOPD. Canal de documentacin de la Agencia de AGENCIA Proteccin de Datos espaola, con legislacin, Canal ESPAOLA DE recomendaciones, informes jurdicos, resoluciones, documentacin PROTECCION DE sentencias, cdigos tipo, etc., relacionados con la AGPD DATOS Ley Orgnica de Proteccin de Datos de Carcter Personal. Asociacin Profesional Espaola de Privacidad (APEP) BOE La Asociacin Profesional Espaola de Privacidad publica una gua para empresas sobre lo que Definicin de debera cubrir un servicio de consultora externa de servicio de adecuacin a la LOPD espaola, con el objetivo de consulta LOPD ayudar a detectar servicios de consultora fraudulentos o inadecuados. Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal (LOPD). Legislacin espaola. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal. Legislacin espaola. Texto LOPD

BOE

Texto RDLOPD

EPIC es un centro de investigacn de inters ELECTRONIC pblico establecido en 1994 que dedica especial PRIVACY atencin a la proteccin de la privacidad y INFORMATION libertades civiles. EPIC ha recibido premios por la CENTER publicacin de sus noticias, adems de reportajes, libros entre otros asuntos de inters. Sistema de proteccin de identidad en el ordenador con versin gratuita. Identity Finder localiza nmeros de tarjetas de crdito y contraseas que son vulnerables al robo de identidad y fraude. Permite buscar los archivos que pueden contener informacin personal privada como Word, Excel, PowerPoint, Adobe PDF, texto y HTML. Una vez encontrado, el uso de las herramientas permite eliminar definitivamente los archivos, eliminar las contraseas de Firefox e Internet Explorer para Windows y asegurar la informacin sensible. El uso adicional de herramientas integradas de seguridad, como la bveda de identidad File Finder y Shredder para asegurarse de que su identidad est a salvo en su ordenador. Gua Legal sobre Privacidad en Internet. Gua sobre la Ley Orgnica de Proteccin de Datos de Carcter Personal (LOPD) y su correspondiente Reglamento (RDLOPD). Gua para Pymes sobre cmo adaptarse a la normativa sobre proteccin de datos personales.

EPIC Gua de Privacidad en Espaol

IDENTITY FINDER

identityfinder

INTECO INTECO INTECO

Gua Inteco privacidad Gua Inteco LOPD Gua Inteco LOPD pymes

INTECO

Gua para entidades locales sobre cmo adaptarse a la normativa sobre proteccin de datos personales.

Gua Inteco LOPD admon. local

INTECO

Gua destinada a informar a los ciudadanos y a los responsables de ficheros sobre los requisitos Gua Inteco legales que deben cumplir a la hora de instalar videovigilancia cmaras de videovigilancia. Se desarrolla la Instruccin 1/2006 de la AEPD. Gua legal sobre la proteccin del derecho al honor, a la intimidad y a la propia imagen en Internet. Gua Inteco imagen en Internet

INTECO

La directiva de la comisin de la Unin Europea (con efecto desde Octubre de 1998) que prohibe la transferencia de datos de carcter personal a aquellos pases externos a la propia UE que no reunan los estndares "adecuados" para la proteccin de la privacidad y considerando que los Estados Unidos consideran un enfoque de proteccin distinto al de la UE se determin cumplir con un marco denominado "Safe Harbor" que SAFE HARBOR favorezca de manera fluida que las empresas establecidas en EEUU puedan cumplir con las directivas europeas. Este website proveee la informacion que una organizacin necesitara contemplar (y posteriormente cumplir) en relacin al programa U.S.-EU Safe Harbor adems de consejeras comerciales disponibles para consulta en todo el mundo

U.S Department of Commerce SAFE HARBOR Consejera comercial de los EEUU en Espaa

15.1.5. Evitar mal uso de los dispositivos de tratamiento de la informacin Control: Se debera disuadir a los usuarios del uso de los recursos dedicados al tratamiento de la informacin para propsitos no autorizados. Posibles Soluciones a este control: CALLIO INTECO Plantilla para formalizar el compromiso de los usuarios con los recursos asignados (ingls) Gua de INTECO en espaol sobre la utilizacin de las tecnologas de la informacin en el mbito laboral y sus consideraciones legales. User Statement Gua Inteco

15.1.6. Reglamentacin de los controles de cifrados Control: Se deberan utilizar controles cifrados en conformidad con todos acuerdos, leyes y regulaciones pertinentes.

Posibles Soluciones a este control: La situacin legal de los programas criptolgicos vara segn los pases, y las COMISION DEL MERCADO leyes que rigen el uso y comercio de estos DE LAS programas evolucionan con rapidez. Wikitel TELECOMUNICACIONES es un proyecto promovido por la Comisin del Mercado de las Telecomunicaciones (CMT). 15 2 Revisiones de la poltica de seguridad y de la conformidad tcnica Garantizar la conformidad de los sistemas con las polticas y estndares de seguridad de la Organizacin.

Wikitel

Se deberan realizar revisiones regulares de la seguridad de los sistemas de informacin. Las revisiones se deberan realizar segn las polticas de seguridad apropiadas y las plataformas tcnicas y sistemas de informacin deberan ser auditados para el cumplimiento de los estndares adecuados de implantacin de la seguridad y controles de seguridad documentados. Alinee los procesos de auto-evaluacin de controles de seguridad con las auto-evaluaciones de gobierno corporativo, cumplimiento legal y regulador, etc., complementados por revisiones de la direccin y verificaciones externas de buen funcionamiento. Nmero de cuestiones o recomendaciones de poltica interna y otros aspectos de cumplimiento, analizadas por su estado (cerradas, abiertas, retrasadas) e importancia o nivel de riesgo (alto,

agrupadas y nuevas, medio o bajo).

Porcentaje de revisiones de cumplimiento de seguridad de la informacin sin incumplimientos sustanciales. 15.2.1. Conformidad con la poltica de seguridad Control: Los directivos se deberan asegurar que todos los procedimientos de seguridad dentro de su rea de responsabilidad se realizan correctamente y cumplen con los estndares y polticas de seguridad. (consultar 6.1.8) Posibles Soluciones a este control: CALLIO Plantillas, modelos y guas para planificar y Network Security Audit

acordar cuidadosamente los requisitos y actividades de auditora (ingls) 15.2.2. Comprobacin de la conformidad tcnica Control:

Security Audit Process

Se debera comprobar regularmente la conformidad de los sistemas de informacin con los estndares de implantacin de la seguridad. Posibles Soluciones a este control: Plantillas, modelos y guas para planificar y acordar cuidadosamente los requisitos y actividades de auditora (ingls) Network Security Audit Security Audit Process CIS Benchmarks

CALLIO

THE CENTER CIS offers a variety of audit tools for FOR INTERNET assessing compliance with CIS SECURITY Benchmarks. Gua de planeamiento de supervisin de la seguridad y deteccin de ataques. Aporta dos ventajas principales para las organizaciones, independientemente de su tamao: la capacidad de identificar ataques de forma instantnea y la capacidad de realizar anlisis forenses de los sucesos ocurridos antes, durante y despus de un ataque. Gua en espaol, publicada por INTECOCERT y el CSIRT-cv titulado Pentest: Information Gathering, sobre tcnicas de recopilacin de informacin para tests de penetracin.

MICROSOFT TECHNET

Guia MICROSOFT

CSIRT-cv

PenTest

15 3 Consideraciones sobre la auditora de sistemas Maximizar la efectividad del proceso de auditora de los sistemas de informacin y minimizar las intromisiones a/desde ste proceso.

Deberan existir controles para proteger los sistemas en activo y las herramientas de auditora durante el desarrollo de las auditoras de los sistemas de informacin. Tambin se requiere la proteccin para salvaguardar la integridad y prevenir el mal uso de las herramientas de auditora. Invierta en auditora TI cualificada que utilice ISO 27001, COBIT, ITIL, CMM y estndares y mtodos de buenas prcticas similares como referencias de comparacin.

Examine ISO 19011 "Directrices para la auditora de los sistemas de gestin de la calidad y/o ambiental" como fuente valiosa para la realizacin de auditoras internas del SGSI. ISO 19011 proporciona un marco excelente para crear un programa de auditoras internas y contiene asimismo las cualificaciones del equipo de auditora interna. Nmero de cuestiones o recomendaciones de auditora, agrupadas y analizadas por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio o bajo). Porcentaje de hallazgos de auditora relativos a seguridad de la informacin que han sido resueltos y cerrados, respecto al total de abiertos en el mismo periodo. Tiempo medio real de resolucin/cierre de recomendaciones, respecto a los plazos acordados por la direccin al final de las auditoras. 15.3.1. Controles de auditoria de sistemas Control: Se deberan planificar y acordar cuidadosamente los requisitos y actividades de auditora que impliquen comprobaciones en los sistemas en activo con objeto de minimizar el riesgo de interrupciones de los procesos de negocio. Posibles Soluciones a este control: Plantillas, modelos y guas para planificar y acordar cuidadosamente los requisitos y actividades de auditora (ingls) Network Security Audit Security Audit Process CIS Benchmarks Guia MICROSOFT

CALLIO

THE CENTER CIS offers a variety of audit tools for assessing FOR INTERNET compliance with CIS Benchmarks. SECURITY MICROSOFT TECHNET Guas de seguridad para la auditora y la monitorizacin

15.3.2. Proteccin de las herramientas de auditoria de sistemas Control: Se deberan proteger los accesos a las herramientas de auditora de los sistemas de informacin con objeto de prevenir cualquier posible mal uso o compromiso. Posibles Soluciones a este control: This is a VA / PT report for a fictitious bank called Vulnerability eClipse Bank PLC carried out by another fictitious Assessment & company Cynergi Solutions Inc. All names, URLs, Penetration Test IPs, etc are fictitious Report template Open Source Security Information Management: OSSIM

OSSA OSSIM

Coleccin de herramientas bajo la licencia BSD, diseadas para ayudar a los administradores de red en la seguridad de las computadoras, deteccin de intrusos y prevencin. Collection of tools for network auditing and penetration testing. dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf, and webspy passively monitor a network for interesting data (passwords, e-mail, files, etc.). arpspoof, dnsspoof, and macof facilitate the interception of network traffic normally unavailable to an attacker (e.g, due to layer-2 switching). sshmitm and webmitm implement active monkey-in-the-middle attacks against redirected SSH and HTTPS sessions by exploiting weak bindings in ad-hoc PKI. Password auditing and recovery. 15 days trial.

DSNIFF

Dsniff

L0pht HOLDINGS

l0phtcrack

BackTrack is intended for all audiences from the most savvy security professionals to early newcomers to the information security field. BACKTRACK BackTrack promotes a quick and easy way to find and update the largest database of security tool collection to-date. Fully featured security distribution consisting of a bunch of powerful, open source and free tools that can be used for various purposes including, but not limited to, penetration testing, ethical hacking, system and network administration, cyber forensics investigations, security testing, vulnerability analysis, and much more. The SANS SIFT Workstation is a VMware Appliance that is pre-configured with all the necessary tools to perform a detailed digital forensic examination. It is compatible with Expert Witness Format (E01), Advanced Forensic Format (AFF), and raw (dd) evidence formats. The brand new version has been completely rebuilt on an Ubuntu base with many additional tools and capabilities that can match any modern forensic tool suite. IDA Pro is a Windows or Linux hosted multiprocessor disassembler and debugger that offers so many features it is hard to describe them all.

BackTrack

MATRIUX

Matriux

SANS

SANS

IDA PRO

IDA Pro