Escuela Superior Politécnica del Litoral
This presentation is the property of its rightful owner.
Sponsored Links
1 / 55

Escuela Superior Politécnica del Litoral PowerPoint PPT Presentation


  • 63 Views
  • Uploaded on
  • Presentation posted in: General

Escuela Superior Politécnica del Litoral. Gestión De Seguridad Informática Para El Control De Acceso A Redes En Cc. ISO/IEC 27002. Gestión De Seguridad Informática Para El Control De Acceso A Redes. ISO/IEC 27002. Autores: Mariela Zambrano R. Dario Palacios F.

Download Presentation

Escuela Superior Politécnica del Litoral

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Escuela superior polit cnica del litoral

Escuela Superior Politécnica del Litoral

Gestión De Seguridad Informática Para El Control De Acceso A Redes En Cc

ISO/IEC 27002


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

ISO/IEC 27002

  • Autores:

    • Mariela Zambrano R.

    • Dario Palacios F.

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

ISO/IEC 27002

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

INTRODUCCIÓN

Seguridad de la Información

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

ISO/IEC 27002

La seguridad de la Información

La seguridad de la información es la preservación de los principios básicos de la confidencialidad, integridad y disponibilidad de la misma y de los sistemas implicados en su tratamiento. Estos tres pilares se definen como:

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

ISO/IEC 27002

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

CAPITULO 1

DEFINICIÓN DE CONCEPTOS

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

ISO/IEC 27002

Etapas de un SGSI

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

ISO/IEC 27002

Beneficios de implementar un SGSI

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

ISO/IEC 27002

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

CAPITULO 2

LA EMPRESA

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

ISO/IEC 27002

Antecedentes - Organigrama

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

ISO/IEC 27002

Antecedentes

Desarrolladora de software

Consultoría de negocios

Orientada a satisfacer las necesidades y aspiraciones de los clientes.

Kennedy Norte, Av. Miguel H. Alcivar y Eleodoro Arboleda, Edificio Plaza Center Piso 8, Of. 803

Teléf.: 2-280217 ext. 124

Guayaquil – Ecuador

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

ISO/IEC 27002

Justificación - Antecedentes

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

ISO/IEC 27002

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

CAPITULO 3

ETAPA DE PLANEACIÓN

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

ISO/IEC 27002

Controles según la Norma Iso 20072

  • 11. CONTROL DE ACCESO.

  • 11.1 Requisitos de negocio para el control de acceso.

    • 11.1.1 Política de control de acceso.

  • 11.2 Gestión de acceso de usuario.

    • 11.2.1 Registro de usuario.

    • 11.2.2 Gestión de privilegios.

    • 11.2.3 Gestión de contraseñas de usuario.

    • 11.2.4 Revisión de los derechos de acceso de usuario.

  • 11.3 Responsabilidades de usuario.

    • 11.3.1 Uso de contraseñas.

    • 11.3.2 Equipo de usuario desatendido.

    • 11.3.3 Política de puesto de trabajo despejado y pantalla limpia.

  • 11.4 Control de acceso a la red.

    • 11.4.1 Política de uso de los servicios en red.

    • 11.4.2 Autenticación de usuario para conexiones externas.

    • 11.4.3 Identificación de los equipos en las redes.

    • 11.4.4 Protección de los puertos de diagnóstico y configuración remotos.

    • 11.4.5 Segregación de las redes.

    • 11.4.6 Control de la conexión a la red.

    • 11.4.7 Control de encaminamiento (routing) de red.

  • 11.5 Control de acceso al sistema operativo.

    • 11.5.1 Procedimientos seguros de inicio de sesión.

    • 11.5.2 Identificación y autenticación de usuario.

    • 11.5.3 Sistema de gestión de contraseñas.

    • 11.5.4 Uso de los recursos del sistema.

    • 11.5.5 Desconexión automática de sesión.

    • 11.5.6 Limitación del tiempo de conexión.

  • 11.6 Control de acceso a las aplicaciones y a la información.

    • 11.6.1 Restricción del acceso a la información.

    • 11.7 Ordenadores portátiles y teletrabajo.

    • 11.7.1 Ordenadores portátiles y comunicaciones móviles.

    • 11.7.2 Teletrabajo.

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

ISO/IEC 27002

Controles según la Norma Iso 20072

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Política de uso de los serviciosde red

Consiste en Controlar:

Los usuarios sólo deben tener acceso a los servicios para los cuales han sido específicamente autorizados a usar.

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Autenticación del usuario para conexiones externas.

Consiste en controlar:

Se debe utilizar métodos de autenticación para controlar el acceso de usuarios remotos

Las conexiones externas son una fuente potencial de accesos no autorizados a la información. Por tanto, el acceso por usuarios remotos debería ser objeto de su autenticación.

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Identificación de equipos en las redes

Consiste en Controlar:

Se debe considerar la identificación automática del equipo como un medio para autenticar las conexiones desde equipos y ubicaciones específicas.

Recomendación a Implementar:

La identificación del equipo se puede utilizar si es importante que la comunicación sólo sea iniciada desde una ubicación o equipo específico.

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Protección de puerto de Diagnóstico remoto

  • Consiste en:

  • Se debe controlar el acceso físico y lógico a los puertos de diagnóstico y configuración

  • Recomendación a Implementar:

    • Para dicho procedimientos se debe asegurar que el diagnostico y configuración de puertos sean solo accesibles por arreglo entre el director del servicio de computo y elpersonal de mantenimiento de hardware/software que requiere acceso.

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Segregación en las redes

Consiste en Controlar:

Los servicios de información, usuarios y sistemas

de información se deben segregar en las redes.

Recomendación a Implementar:

Un método para controlar la seguridad de grandes redes es dividirlas en dominios de red lógicos separados;

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Control de conexiones de redes

Consiste en Controlar:

Se debe restringir la capacidad de conexión de los usuarios en las redes compartidas, especialmente aquellas que se extienden a través de los límites organizaciones; se debiera restringir la capacidad de los usuarios para conectarse a la red,

en línea con la política de control de acceso y los requerimientos de las aplicaciones comerciales

Recomendación a Implementar:

Los derechos de acceso a la red de los usuarios se debieran mantener y actualizar conforme lo requiera la política de control de acceso

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Control de encaminamiento de red

Consiste en Controlar:

Se debieran implementar controles de routing en las redes para asegurar que las conexiones de la computadora y los flujos de información no violen la política de control de acceso de las

aplicaciones comerciales..

  • Recomendación a Implementar:

    • Asignación de direcciones únicas a todas las máquinas de la red,

    • independientes de la tecnología de los niveles de enlace.

    • Y Control de congestión

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

ISO/IEC 27002

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

CAPITULO 4

DEFINICIÓN DE POLITICAS

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

Políticas de seguridad

  • Busca garantizar el cumplimiento de los acuerdos de nivel de servicio en relación a la seguridad de la información establecidos con terceros. Las políticas a aplicar son las siguientes:

  • Uso aceptable de los activos

  • Uso contra software malicioso

  • Control de accesos

  • Uso de correo electrónico

  • Puestos de trabajo despejados

  • Uso de contraseñas de usuario

  • Uso de equipos portátiles

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

ISO/IEC 27002

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

CAPITULO 5

EVALUACIÓN DE RIESGO.

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

Valorización De Los Activos

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

Valorización De Los Activos

CONFIDENCIALIDAD + INTEGRIDAD + DISPONIBILIDAD) / Nº DE CRITERIOS

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

ISO/IEC 27002

Valorización del activo

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

ISO/IEC 27002

Gestión de Riesgo

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Físico

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

Gestión de Riesgo

Niveles de seguridad

Identificar Amenazas y Vulnerabilidades

Físicas

Red

Host

Aplicaciones

Datos

Debe considerar estas amenazas en cualquier evaluación de riesgos

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Datos

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

Gestión de Riesgo

Niveles de seguridad

Identificar Amenazas y Vulnerabilidades a la Red

Físico

Red

Host

Aplicaciones

Acceso no autorizado a los recursos de intranet

Visión no autorizada y modificación de los datos

Uso no autorizado del ancho de banda

Negación de servicio en el ancho de banda de la red

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Datos

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

Gestión de Riesgo

Niveles de seguridad

Identificar Amenazas y Vulnerabilidades a los Hosts

Físico

Red

Host

Aplicaciones

  • Acceso no autorizado a los recursos del host/servidor

    • Actualizaciónes de seguridad faltantes

    • Configuración errónea del host

  • Escalación de privilegios o imitación de la identidad

    • Contraseña perdida o robada

    • Creación no autorizada de cuentas

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Datos

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

Gestión de Riesgo

Niveles de seguridad

Identificar Amenazas y Vulnerabilidades a las Aplicaciones

Físico

Red

Host

Aplicaciones

  • Escalación de privilegios

    • Validación de entrada

    • Validación de parámetro

    • Administración de sesión

  • Acceso no autorizado a una aplicación

    • Faltan actualizaciones de seguridad

    • Configuración errónea

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Físico

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

Gestión de Riesgo

Niveles de seguridad

Identificar Amenazas y Vulnerabilidades a los Datos

Red

Host

Aplicaciones

Datos

Visión no autorizada de los datos

Modificación no autorizada de los datos

Uso no autorizado de los datos

Destrucción de los datos

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

Tipos de amenazas

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

Principales de amenazas

Spamming

Captura de PC desde el exterior

Violación de contraseñas

Incumplimiento de Políticas

Robo de información

Virus

Hurto de equipos

Mails anónimos con agresiones

Programas “bomba, troyanos”

Interrupción de los servicios

Acceso clandestino a redes

Robo o extravío de notebooks, palms

Agujeros de seguridad de redes conectadas

Acceso indebido a documentos impresos

Indisponibilidad de información clave

Intercepción de comunicaciones voz y wireless

Falsificación de información para terceros

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

Principales de Vulnerabilidades

Ataque

Interno

Internet

Ataque

Acceso

Remoto

Ataque

Externo

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

Todos los riesgos que se presentan podemos:

Asumir

Transferir

Reducir

Eliminar

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

Riegos

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

Riegos

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

ISO/IEC 27002

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

CAPITULO 6

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

Implementación Del Plan De Tratamiento Del Riesgo

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

Controles - Ataques Maliciosos

a.- Establecer una política formal prohibiendo el uso de software no-autorizado.

b.- Realizar revisiones regulares del software y contenido de data de los sistemas que sostienen los procesos comerciales críticos; se debiera investigar formalmente la presencia de cualquier activo no-aprobado o enmiendas no-autorizadas

4.2.1 No utilizar CD s, disquetes, memorias USB de fuera de las instalaciones en los equipos del sistema de información de la organización a menos que haya sido previamente verificado que están libres de virus u otros agentes dañinos

4.2.2 Los mensajes que se reciban de remitentes extraños o con contenido clasificable como no relacionable con la actividad empresarial deben ser eliminados en el acto, sin proceder a abrirlos

PTR

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

Controles – Acceso a Internet

11.4.1.2 el usuario no esta autorizado a instalar o retirar cables o dispositivos de la red

PTR

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

Controles – Correo Electrónico

4.4.2 Todos los emails procesados por los Sistemas de Información corporativos y redes son considerados propiedad de la organización

4.5.1 No usar el correo electrónico para enviar información confidencial/sensible, particularmente a través de internet, a menos que ésta sea primero cifrada por un sistema de cifrado aprobado por el Dpto. Informático.

4.5.2 Para crear, enviar, reenviar o almacenar emails con mensajes o adjuntos que podrían ser ilegales o considerados ofensivos, sexualmente explícitos, racistas, difamatorios, abusivos, obscenos, discriminatorios u otros ofensivos

PTR

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

Controles – Escape de información

11.4.1.4 Será responsabilidad total del usuario el uso de la información en su Equipo u otros recursos al compartirlos en la red

11.4.1.18 En caso de requerir el respaldo de información específica que no esté contemplada dentro de los servidores, el usuario tendrá la obligación de notificarlo al personal de Redes a través de un oficio signado por su Director General, Ejecutivo o de Área, indicando la periodicidad de dicho respaldo, a fin de que se incluya en el compendio de información a resguardar en cinta.

PTR

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

Controles – Acceso no autorizados

  • 11.4.1.4 Será responsabilidad total del usuario el uso de la información en su Equipo u otros recursos al compartirlos en la red.

    • 11.4.1.5 Todo recurso compartido deberá tener contraseña o determinar que usuarios tendrán acceso, así como el tipo de permisos asignados.

    • 11.4.1.14 Solamente el Director General, Ejecutivo o de Área, por medio de un oficio podrá hacer la petición del uso de los servicios para el personal que labore en su departamento, debiendo indicar los siguientes puntos.

    • 11.4.1.15 El servidor llevan un registro detallado de las operaciones ejecutadas en el, por lo cual el usuario será responsable totalmente del buen o mal uso de dichos recursos, así como pérdidas o cambios de información como resultados de errores de operación.

PTR

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

Controles – Degradación del Hardware

11.4.1.2 El usuario no esta autorizado a instalar o retirar cables o dispositivos de la red.

11.4.1.7 El personal que solicite o tenga a resguardo una computadora de escritorio, estación de trabajo, portátil, servidor, impresora, y/o cualquier otro dispositivo de entrada o salida, etc., se compromete a ser responsable por maltrato o mal manejo del mismo o alguno de sus componentes

PTR

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

Controles – Uso de Internet

11.4.7 El personal tendrá acceso al servicio de Internet. Cuando las necesidades del servicio así lo requieran.

Prohibir.

11.4.7.1 Chats, icq, bbs, irc, talk, write o cualquier programa utilizado para realizar pláticas en línea

11.4.7.2 Cualquier programa destinado a realizar enlaces de voz y video, sin que esto sea previamente autorizado y justificado por la Dirección General, Ejecutiva o de Área

11.4.7.3 Descargas de gran tamaño (mayores a 10 Mb) o uso de archivos de audio y multimedia

11.4.7.4 Sitios de interacción así como redes sociales.

PTR

Presentación de Seminario Graduación


Escuela superior polit cnica del litoral

Gestión De Seguridad InformáticaPara El Control De Acceso A Redes

Fin…

Presentación de Seminario Graduación


  • Login