La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC Para Estar Seguro: Controles ISO/UNE 17799 y Herramientas Microsoft Olof Sandstrom, Applus Fernando Parrondo,

Presentaciones similares


Presentación del tema: "8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC Para Estar Seguro: Controles ISO/UNE 17799 y Herramientas Microsoft Olof Sandstrom, Applus Fernando Parrondo,"— Transcripción de la presentación:

1 WEBCAST JUL-004 © APPLUS+ CTC Para Estar Seguro: Controles ISO/UNE y Herramientas Microsoft Olof Sandstrom, Applus Fernando Parrondo, Microsoft Consulting Services

2 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Fundamentos de la Norma Dirigido a Dirigido a Directivos, cuadros medios, consultores, responsables de sistemas, responsables de áreas técnicas,administradores y cualquier persona interesada en la seguridad de la información. Directivos, cuadros medios, consultores, responsables de sistemas, responsables de áreas técnicas,administradores y cualquier persona interesada en la seguridad de la información. Objetivo Objetivo Conocer la forma de cubrir los requerimientos de seguridad de la Norma ISO con las herramientas de servidor de Microsoft Conocer la forma de cubrir los requerimientos de seguridad de la Norma ISO con las herramientas de servidor de Microsoft Contenidos Contenidos ¿Qué es ISO 17799? ¿Qué es ISO 17799? Principios básicos Principios básicos Controles de acceso Controles de acceso Desarrollo y mantenimiento de sistemas Desarrollo y mantenimiento de sistemas

3 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Código de buenas prácticas para la gestión de la seguridad de los sistemas de información ¿Qué es ISO 17799?

4 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Una cadena es tan fuerte como el más débil de sus eslabones Algunos eslabones tecnológicos Hardening de sistemas Mecanismos de control de acceso Antivirus Criptografía Firewalls y VPN Sistemas de Detección de Intrusos Smart cards Biometría Algunos eslabones no tecnológicos Políticas de seguridad Plan de seguridad Análisis y gestión de riesgos Plan de contingencia Seguridad física Seguridad del personal Procedimientos de seguridad Tarde o temprano la cadena se romperá por el eslabón más débil, ¿Cuál es el suyo?

5 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Da recomendaciones para gestionar la seguridad Da recomendaciones para gestionar la seguridad Es una base común para desarrollar... Es una base común para desarrollar... normas de seguridad organizativas, normas de seguridad organizativas, prácticas efectivas de gestión de la seguridad y prácticas efectivas de gestión de la seguridad y la confianza en las relaciones entre organizaciones la confianza en las relaciones entre organizaciones Debe usarse conforme a la legislación y reglamentos aplicables Debe usarse conforme a la legislación y reglamentos aplicables ¿Qué es ISO 17799?

6 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Principios básicos Símil con la conducción Para estar seguro no basta un buen motor Para estar seguro no basta un buen motor Todo debe estar razonablemente bien Todo debe estar razonablemente bien Sistema eléctrico, batería, alternador Sistema eléctrico, batería, alternador Refrigeración, bomba de agua, radiador Refrigeración, bomba de agua, radiador Amortiguadores y neumáticos Amortiguadores y neumáticos Frenos Frenos Etc. Etc. Pero también Pero también Seguro Seguro Permiso de circulación Permiso de circulación Inspección Técnica de Vehículos Inspección Técnica de Vehículos Impuesto de tráfico Impuesto de tráfico Etc. Etc.

7 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Aunque tecnológicamente se consiguiera un sistema seguro, el problema sigue existiendo Aunque tecnológicamente se consiguiera un sistema seguro, el problema sigue existiendo Las técnicas criptográficas son computacionalmente seguras, pero los usuarios... Las técnicas criptográficas son computacionalmente seguras, pero los usuarios... No quieren usar passwords de calidad No quieren usar passwords de calidad No quieren u olvidan cifrar ficheros y correos No quieren u olvidan cifrar ficheros y correos Los descifran y olvidan borrar el fichero en claro Los descifran y olvidan borrar el fichero en claro Los imprimen y los dejan en... Los imprimen y los dejan en... la impresora, la mesa, la papelera, el metro la impresora, la mesa, la papelera, el metro La dirección suele estar más preocupada por facilitar las cosas a los usuarios que en mejorar la seguridad de la compañía La dirección suele estar más preocupada por facilitar las cosas a los usuarios que en mejorar la seguridad de la compañía Principios básicos

8 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Prevención Detección Represión Corrección Evaluación Riesgo Incidente Daños Recuperación Cómo se aplica la Norma Tipos de controles

9 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Desarrollo de los controles ISO Política de seguridad (1 Objetivo, 3 Controles)

10 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Desarrollo de los controles ISO Política de seguridad (1 Objetivo, 3 Controles) Estructura organizativa (3 Objetivo, 10 Controles) Clasificación de activos (1 Objetivo, 3 Controles) Seguridad del personal (3 Objetivo, 10 Controles) Seguridad física (3 Objetivo, 13 Controles)

11 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Desarrollo de los controles ISO Política de seguridad (1 Objetivo, 3 Controles) Estructura organizativa (3 Objetivo, 10 Controles) Clasificación de activos (1 Objetivo, 3 Controles) Seguridad del personal (3 Objetivo, 10 Controles) Seguridad física (3 Objetivo, 13 Controles) Comunicaciones Y operaciones (7 Objetivo, 23 Controles) Control de acceso (8 Objetivo, 31 Controles) Mantenimiento De sistemas (5 Objetivo, 18 Controles)

12 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Desarrollo de los controles ISO Política de seguridad (1 Objetivo, 3 Controles) Estructura organizativa (3 Objetivo, 10 Controles) Clasificación de activos (1 Objetivo, 3 Controles) Seguridad del personal (3 Objetivo, 10 Controles) Seguridad física (3 Objetivo, 13 Controles) Conformidad legal (3 Objetivo, 11 Controles) Comunicaciones Y operaciones (7 Objetivo, 23 Controles) Control de acceso (8 Objetivo, 31 Controles) Mantenimiento De sistemas (5 Objetivo, 18 Controles)

13 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Desarrollo de los controles ISO Política de seguridad (1 Objetivo, 3 Controles) Estructura organizativa (3 Objetivo, 10 Controles) Clasificación de activos (1 Objetivo, 3 Controles) Seguridad del personal (3 Objetivo, 10 Controles) Seguridad física (3 Objetivo, 13 Controles) Conformidad legal (3 Objetivo, 11 Controles) Comunicaciones Y operaciones (7 Objetivo, 23 Controles) Control de acceso (8 Objetivo, 31 Controles) Mantenimiento De sistemas (5 Objetivo, 18 Controles) Plan de Continuidad de Negocio (1 Objetivo, 5 Controles)

14 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Microsofts Security Framework Mensajes claros acerca de la seguridad Mensajes claros acerca de la seguridad Miembro activo en los foros internacionales Miembro activo en los foros internacionales Centro de respuesta de seguridad Centro de respuesta de seguridad Arquitectura segura Arquitectura segura Características de seguridad Características de seguridad Calidad en el código Calidad en el código Reducción de posibilidad de ataques Reducción de posibilidad de ataques Lo que no se usa no se instala Lo que no se usa no se instala Principio del mínimo privilegio Principio del mínimo privilegio Proteger, detectar, defender, recuperar, gestionar Proteger, detectar, defender, recuperar, gestionar Procesos: Como, Guías arquitectura Procesos: Como, Guías arquitectura Gente: Formación Gente: Formación Seguro por diseño Seguro por defecto Seguro en despliegue Comunicación

15 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Windows Server 2003 Reducción de las vulnerabilidades de código Formación, Modelado de amenazas, Revisión de código Mejoras en el proceso de desarrollo Contabilidad Arquitectura enfocada a la seguridad IIS Rediseñado Protocolos de autentificación CLR Seguro por diseño Seguro por defecto Seguro en despliegue Comunicación

16 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Windows Server 2003 Reducción de posibilidad de ataques 20+ servicios apagados por defecto o corriendo con privilegios reducidos Configuración fuerte IE cerrado ACL en la raíz del sistema Nuevo orden de busqueda de DLL Nuevas cuentas con privilegio menor Network Service (IIS Worker Process) Local Service (Telnet) Seguro por diseño Seguro por defecto Seguro en despliegue Comunicación

17 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Windows Server 2003 Herramientas para facilitar la seguridad Directiva de restricción de aplicaciones Editor de configuración de seguridad* Sistema de recogida de eventos * Guías prescriptivas Secure Windows Server 2003 Microsoft Systems Architecture Patch Management Solutions Formación y Partners 4 Cursos Seguro por diseño Seguro por defecto Seguro en despliegue Comunicación * to be released after server release

18 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Gestión de usuarios y autenticación Gestión de usuarios y autenticación Gestión de passwords y privilegios Gestión de passwords y privilegios Autenticación de conexiones externas Autenticación de conexiones externas Autenticación de dispositivos Autenticación de dispositivosAutenticación

19 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Se requiere un procedimiento de altas y bajas de usuarios que incluya Se requiere un procedimiento de altas y bajas de usuarios que incluya Usar un identificador único para cada usuario Usar un identificador único para cada usuario Garantizar que no se dará acceso hasta que se complete la autorización Garantizar que no se dará acceso hasta que se complete la autorización Mantener un registro de los usuarios que pueden usar el servicio Mantener un registro de los usuarios que pueden usar el servicio Eliminar las autorizaciones a los usuarios que dejan la Organización Eliminar las autorizaciones a los usuarios que dejan la Organización Revisar periódicamente las cuentas de usuario redundantes Revisar periódicamente las cuentas de usuario redundantes Se pueden incluir cláusulas en el contrato laboral que especifiquen las sanciones si se realizan accesos no autorizados Se pueden incluir cláusulas en el contrato laboral que especifiquen las sanciones si se realizan accesos no autorizados Autenticación Gestión de usuarios y autenticación Registro de usuarios

20 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET AD Users and Computers

21 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Todos los usuarios tendrán un identificador único Todos los usuarios tendrán un identificador único Los identificadores no deben indicar el nivel de privilegio Los identificadores no deben indicar el nivel de privilegio Hay varios procedimientos de autenticación para comprobar la identidad del usuario Hay varios procedimientos de autenticación para comprobar la identidad del usuario Passwords Passwords Tokens Tokens Biometría Biometría Protocolos de autenticación tipo Kerberos Protocolos de autenticación tipo Kerberos Autenticación Gestión de usuarios y autenticación Identificación y autenticación de los usuarios

22 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Métodos de autentificación en Windows

23 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET El acceso a los sistemas debe hacerse mediante un proceso de logon El acceso a los sistemas debe hacerse mediante un proceso de logon Debe mostrar el mínimo posible de información sobre el sistema para no facilitar ayuda a usuarios no autorizados... Debe mostrar el mínimo posible de información sobre el sistema para no facilitar ayuda a usuarios no autorizados... No mostrar identificación del sistema hasta que termine el logon No mostrar identificación del sistema hasta que termine el logon Advertir que es un sistema solo para usuarios autorizados Advertir que es un sistema solo para usuarios autorizados No ofrecer mensajes que puedan guiar a usuarios no autorizados No ofrecer mensajes que puedan guiar a usuarios no autorizados Validar la conexión sólo tras rellenar todos los datos de entrada Validar la conexión sólo tras rellenar todos los datos de entrada Si hay errores, no indicará qué parte de los datos es incorrecta Si hay errores, no indicará qué parte de los datos es incorrecta Limitar el número de intentos fallidos de conexión Limitar el número de intentos fallidos de conexión Limitar los tiempos máximo y mínimo permitidos para hacer el logon Limitar los tiempos máximo y mínimo permitidos para hacer el logon Mostrar la siguiente información tras completar el logon: Mostrar la siguiente información tras completar el logon: Fecha y hora del ultimo logon Fecha y hora del ultimo logon Información de los intentos fallidos desde el último logon Información de los intentos fallidos desde el último logon Autenticación Gestión de usuarios y autenticación Procedimientos de conexión de terminales

24 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Logon Windows

25 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Debe controlarse el uso y asignación de privilegios teniendo en cuenta... Identificar los privilegios de cada elemento del sistema y las categorías de empleados que los necesitan Identificar los privilegios de cada elemento del sistema y las categorías de empleados que los necesitan Asignar privilegios según la necesidad y caso por caso Asignar privilegios según la necesidad y caso por caso Mantener un proceso de autorización y un registro de los privilegios asignados Mantener un proceso de autorización y un registro de los privilegios asignados No se darán privilegios hasta que se complete el proceso de autorización No se darán privilegios hasta que se complete el proceso de autorización Promover el desarrollo y uso de rutinas para evitar la asignación de privilegios a los usuarios Promover el desarrollo y uso de rutinas para evitar la asignación de privilegios a los usuarios Asignar los privilegios a un identificador de usuario distinto del asignado para uso normal Asignar los privilegios a un identificador de usuario distinto del asignado para uso normal Autenticación Gestión de passwords y privilegios Gestión de privilegios

26 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Privilegios. Gestion AD

27 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Se debe controlar la asignación de contraseñas por medio de un proceso que debe... Dar inicialmente una contraseña temporal segura que se cambiará en el primer logon Dar inicialmente una contraseña temporal segura que se cambiará en el primer logon También se darán contraseñas temporales cuando un usuario olvide la suya, sólo después de identificar al usuario También se darán contraseñas temporales cuando un usuario olvide la suya, sólo después de identificar al usuario Establecer una forma segura para dar las contraseñas temporales a los usuarios Establecer una forma segura para dar las contraseñas temporales a los usuarios Las contraseñas no se almacenarán sin protegerlas con otras tecnologías, por ejemplo cifrado Autenticación Gestión de passwords y privilegios Gestión de contraseñas de usuario

28 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Los usuarios seguirán buenas prácticas con sus passwords Los usuarios seguirán buenas prácticas con sus passwords Mantenerlas confidenciales, no compartirlas Mantenerlas confidenciales, no compartirlas No escribirlas en papel No escribirlas en papel Cambiarlas si se sospecha que esta comprometida Cambiarlas si se sospecha que esta comprometida Seleccionar contraseñas de buena calidad que sean: Seleccionar contraseñas de buena calidad que sean: Difíciles de adivinar y fáciles de recordar Difíciles de adivinar y fáciles de recordar No basadas en nombre, fecha de nacimiento, número de teléfono, etc. No basadas en nombre, fecha de nacimiento, número de teléfono, etc. Que incluyan números y letras Que incluyan números y letras Cambiarlas periódicamente evitando reutilizarlas Cambiarlas periódicamente evitando reutilizarlas No incluirlas en procedimientos automático de conexión No incluirlas en procedimientos automático de conexión Autenticación Gestión de passwords y privilegios Uso de contraseñas

29 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Gestion contraseñas

30 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Los usuarios remotos deben autenticarse Los usuarios remotos deben autenticarse Se puede hacer usando criptografía, tokens o protocolos challenge-response Se puede hacer usando criptografía, tokens o protocolos challenge-response También pueden usarse líneas dedicadas o verificar información de la dirección del usuario o de su terminal También pueden usarse líneas dedicadas o verificar información de la dirección del usuario o de su terminal Autenticación Autenticación de conexiones externas Autenticación de usuarios para conexiones externas

31 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Se deben autenticar las conexiones a sistemas remotos (Bancos, B2B, Administración, etc) Se deben autenticar las conexiones a sistemas remotos (Bancos, B2B, Administración, etc) Esto es muy importante si la conexión usa una red cuyo control de seguridad lo lleva un tercero Esto es muy importante si la conexión usa una red cuyo control de seguridad lo lleva un tercero La autenticación de nodos puede ser una alternativa a la autenticación de grupos de usuarios remotos, cuando éstos están conectados a un sistema compartido seguro La autenticación de nodos puede ser una alternativa a la autenticación de grupos de usuarios remotos, cuando éstos están conectados a un sistema compartido seguro Autenticación Autenticación de dispositivos Autenticación de nodos de la red

32 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Autenticación red

33 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Segmentación de redes Segmentación de redes Protección de recursos del sistema Protección de recursos del sistema Desconexión automática y ventanas temporales Desconexión automática y ventanas temporalesAutorización

34 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Se deben dividir las redes por grupos de usuarios Se deben dividir las redes por grupos de usuarios Un método para controlar la seguridad de grandes redes es dividirlas en dominios separados cada uno protegido por un perímetro definido de seguridad Un método para controlar la seguridad de grandes redes es dividirlas en dominios separados cada uno protegido por un perímetro definido de seguridad Entre las redes a interconectar pueden implantarse firewalls que controlen los accesos y los flujos de información entre los dominios Entre las redes a interconectar pueden implantarse firewalls que controlen los accesos y los flujos de información entre los dominios Los criterios para segregar las redes en dominios se basarán en la política de control de accesos Los criterios para segregar las redes en dominios se basarán en la política de control de accesos Autorización Segmentación de redes Segregación en las redes

35 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Metodos de Segmentacion red

36 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Es imprescindible controlar el acceso a los puertos de diagnóstico Es imprescindible controlar el acceso a los puertos de diagnóstico En muchos ordenadores y sistemas de comunicación se instala un servicio para que el personal de mantenimiento pueda hacer diagnósticos o incluso mantenimientos remotos En muchos ordenadores y sistemas de comunicación se instala un servicio para que el personal de mantenimiento pueda hacer diagnósticos o incluso mantenimientos remotos Estos puertos pueden permitir accesos no autorizados Estos puertos pueden permitir accesos no autorizados Autorización Protección de los recursos del sistema Protección a puertos de diagnóstico remoto

37 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET ICF

38 Los usuarios deben asegurase de que los equipos estén protegidos cuando quedan desatendidos... Los usuarios deben asegurase de que los equipos estén protegidos cuando quedan desatendidos... Cerrar las sesiones activas antes de marcharse Cerrar las sesiones activas antes de marcharse Bloquear el equipo, por ejemplo con un protector de pantalla con contraseña Bloquear el equipo, por ejemplo con un protector de pantalla con contraseña Hacer log-off cuando se ha terminado la sesión Hacer log-off cuando se ha terminado la sesión Autorización Protección de los recursos del sistema Equipamiento informático de usuario desatendido

39 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Mecanismos de logoff

40 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET La mayoría de los sistemas informáticos disponen de utilidades del sistema capaces de eludir las medidas de control La mayoría de los sistemas informáticos disponen de utilidades del sistema capaces de eludir las medidas de control Es fundamental que su uso se restrinja y se mantenga controlado Es fundamental que su uso se restrinja y se mantenga controlado Usar procedimientos de autenticación para las utilidades Usar procedimientos de autenticación para las utilidades Segregar las utilidades respecto al software aplicativo Segregar las utilidades respecto al software aplicativo Limitar el uso de las utilidades al mínimo número de usuarios Limitar el uso de las utilidades al mínimo número de usuarios Autorizar el uso de las utilidades solo con un propósito concreto Autorizar el uso de las utilidades solo con un propósito concreto Limitar la disponibilidad de las utilidades, por ejemplo, durante un cambio autorizado Limitar la disponibilidad de las utilidades, por ejemplo, durante un cambio autorizado Registrar los usos de las utilidades Registrar los usos de las utilidades Definir y documentar los niveles de autorización para las utilidades Definir y documentar los niveles de autorización para las utilidades Desactivar todas las utilidades que no sean necesarias Desactivar todas las utilidades que no sean necesarias Autorización Protección de los recursos del sistema Uso de utilidades del sistema

41 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Autorizacion a nivel de recursos y privilegios SO

42 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Los terminales de riesgo se desactivarán tras un periodo de inactividad Los terminales de riesgo se desactivarán tras un periodo de inactividad La desactivación borrará la pantalla y cerrará la aplicación y las sesiones La desactivación borrará la pantalla y cerrará la aplicación y las sesiones Muchos PCs suelen tener una forma limitada de este dispositivo que borra la pantalla, pero no cierra la aplicación o las sesiones Muchos PCs suelen tener una forma limitada de este dispositivo que borra la pantalla, pero no cierra la aplicación o las sesiones Autorización Desconexión automática y ventanas temporales Desconexión automática de terminales

43 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Limitar el periodo de tiempo durante el que se aceptan conexiones reduce la ventana de oportunidad para accesos no autorizados Limitar el periodo de tiempo durante el que se aceptan conexiones reduce la ventana de oportunidad para accesos no autorizados Estas medidas se emplearán para aplicaciones sensibles, en especial para terminales instalados en áreas de riesgo con restricciones como... Estas medidas se emplearán para aplicaciones sensibles, en especial para terminales instalados en áreas de riesgo con restricciones como... Usar ventanas de tiempo predeterminadas Usar ventanas de tiempo predeterminadas La restricción de tiempos de conexión al horario normal de oficina, si no existen requerimientos para operar fuera de este horario La restricción de tiempos de conexión al horario normal de oficina, si no existen requerimientos para operar fuera de este horario Autorización Desconexión automática y ventanas temporales Limitación del tiempo de conexión

44 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Scheduling conexion

45 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Monitorización del sistema y de las comunicaciones Monitorización del sistema y de las comunicaciones Monitorización de los derechos de acceso Monitorización de los derechos de acceso Monitorización y auditoría

46 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Se debe mantener un log que incluya... Se debe mantener un log que incluya... Tiempos de arranque y cierre del sistema Tiempos de arranque y cierre del sistema Errores del sistema y las correcciones correspondientes Errores del sistema y las correcciones correspondientes El nombre de quien registra la entrada en el log El nombre de quien registra la entrada en el log Los logs se comprobaran periódicamente para verificar que se esta trabajando de acuerdo a lo que se estableció en los procedimientos de operación Los logs se comprobaran periódicamente para verificar que se esta trabajando de acuerdo a lo que se estableció en los procedimientos de operación Monitorización y auditoría Monitorización del sistema y de las comunicaciones Diarios de Operación

47 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Deben mantenerse durante un tiempo los registros de auditoría, que contendrán también... Deben mantenerse durante un tiempo los registros de auditoría, que contendrán también... El identificador del usuario El identificador del usuario Fecha y hora de conexión y desconexión Fecha y hora de conexión y desconexión Identificación del terminal o el lugar si es posible Identificación del terminal o el lugar si es posible Registro de los intentos de acceso al sistema Registro de los intentos de acceso al sistema Registro de los intentos de acceso a datos y otros recursos. Registro de los intentos de acceso a datos y otros recursos. Se tienen que archivar los registros de auditoría como parte de la política de retención de registros o por requerimientos de recogida de evidencias Se tienen que archivar los registros de auditoría como parte de la política de retención de registros o por requerimientos de recogida de evidencias Monitorización y auditoría Monitorización del sistema y de las comunicaciones Registro de incidencias

48 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Visor de sucesos

49 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Es necesario hacer un seguimiento del uso de los sistemas para asegurarse de que se usan correctamente, incluyendo... Es necesario hacer un seguimiento del uso de los sistemas para asegurarse de que se usan correctamente, incluyendo... El acceso autorizado El acceso autorizado Todas las operaciones que precisan privilegios especiales Todas las operaciones que precisan privilegios especiales Registro de los intentos aceptados y rechazados de acceso al sistema Registro de los intentos aceptados y rechazados de acceso al sistema Alertas o fallos del sistema Alertas o fallos del sistema Monitorización y auditoría Monitorización del sistema y de las comunicaciones Seguimiento del uso de los sistemas

50 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET La seguridad del dispositivo de registro es fundamental, porque si se manipula se tendrá una falsa sensación de seguridad La seguridad del dispositivo de registro es fundamental, porque si se manipula se tendrá una falsa sensación de seguridad Se tendrán en cuenta controles para protegerlo de cambios no autorizados y problemas como pueden ser... Se tendrán en cuenta controles para protegerlo de cambios no autorizados y problemas como pueden ser... La desactivación del dispositivo La desactivación del dispositivo Alteraciones al tipo de mensajes registrados Alteraciones al tipo de mensajes registrados La edición o borrado de registros La edición o borrado de registros La saturación del soporte del registro, no registrando o regrabando La saturación del soporte del registro, no registrando o regrabando Monitorización y auditoría Monitorización del sistema y de las comunicaciones Seguimiento del uso de los sistemas

51 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Configuracion visor AD

52 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Para disponer de buenos registros de auditoría es imprescindible que los relojes de los elementos del sistema estén sincronizados Para disponer de buenos registros de auditoría es imprescindible que los relojes de los elementos del sistema estén sincronizados La inexactitud de los registros puede impedir las investigaciones y restar credibilidad a las evidencias La inexactitud de los registros puede impedir las investigaciones y restar credibilidad a las evidencias Los relojes de tiempo real de todos los elementos del sistema, deben ajustarse a un estándar aceptado, como el Tiempo Universal Coordinado (UCT) o a la hora local estándar aceptada. Los relojes de tiempo real de todos los elementos del sistema, deben ajustarse a un estándar aceptado, como el Tiempo Universal Coordinado (UCT) o a la hora local estándar aceptada. Si los relojes de algún elemento del sistema pueden adelantarse o retrasarse, entonces se necesita un procedimiento que lo corrija Si los relojes de algún elemento del sistema pueden adelantarse o retrasarse, entonces se necesita un procedimiento que lo corrija Monitorización y auditoría Monitorización del sistema y de las comunicaciones Sincronización de relojes

53 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Protección logs

54 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Gestión del cambio y Continuidad de negocio

55 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Periódicamente es necesario efectuar cambios en el sistema operativo, por ejemplo, para instalar una nueva versión o un parche de software. Periódicamente es necesario efectuar cambios en el sistema operativo, por ejemplo, para instalar una nueva versión o un parche de software. Se deben revisar y probar las aplicaciones cuando se efectúen cambios, para asegurar que no afectan a las operaciones o a la seguridad Se deben revisar y probar las aplicaciones cuando se efectúen cambios, para asegurar que no afectan a las operaciones o a la seguridad Gestión del cambio y continuidad de negocio Revisión técnica de los cambios en el sistema operativo

56 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Estos canales secretos se pueden activar cambiando un parámetro accesible por los elementos seguros e inseguros del sistema Estos canales secretos se pueden activar cambiando un parámetro accesible por los elementos seguros e inseguros del sistema El código de tipo Troyano se diseña para afectar a un sistema por medios no autorizados ni descubiertos a tiempo ni requeridos por el receptor o el usuario del programa El código de tipo Troyano se diseña para afectar a un sistema por medios no autorizados ni descubiertos a tiempo ni requeridos por el receptor o el usuario del programa Los canales encubiertos y los códigos Troyanos raramente tienen lugar de forma accidental Los canales encubiertos y los códigos Troyanos raramente tienen lugar de forma accidental Se debe tener en cuenta lo siguiente: Se debe tener en cuenta lo siguiente: Comprar programas sólo de proveedores fiables Comprar programas sólo de proveedores fiables Usar productos evaluados Usar productos evaluados Inspeccionar el código fuente antes de usarlo Inspeccionar el código fuente antes de usarlo Controlar el acceso y las modificaciones una vez instalado Controlar el acceso y las modificaciones una vez instalado Usar personal de confianza probada para trabajar en los sistemas clave Usar personal de confianza probada para trabajar en los sistemas clave Gestión del cambio y continuidad de negocio Canales encubiertos y código Troyano

57 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET La seguridad de la información no se logra sólo con tecnología La seguridad de la información no se logra sólo con tecnología Las recomendaciones de la Norma ISO son un buen apoyo a las herramientas tecnológicas Las recomendaciones de la Norma ISO son un buen apoyo a las herramientas tecnológicas Los productos de servidor de Microsoft pueden adecuarse en la mayoría de las ocasiones a los requerimientos de la Norma Los productos de servidor de Microsoft pueden adecuarse en la mayoría de las ocasiones a los requerimientos de la NormaConclusiones

58 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Retos claves de la industria Plataforma segura para la Web Acceso Móvil seguro Gestión de la identidad Presencia segura en la Web Presencia segura en la Web Desarrollo de aplicaciones Web Seguras e integradas Desarrollo de aplicaciones Web Seguras e integradas Integración con sistemas de backend Integración con sistemas de backend Comunicaciones seguras sin importar dónde, cuándo o qué dispositivo Comunicaciones seguras sin importar dónde, cuándo o qué dispositivo Mejorar la productividad del trabajador remoto Mejorar la productividad del trabajador remoto Mejorar la experiencia en la web Mejorar la experiencia en la web Integrar socios en la cadena de suministros Integrar socios en la cadena de suministros Reducir Riesgos Reducir Riesgos

59 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Soluciones Microsoft.NET Framework.NET Framework Plataforma de aplicaciones web seguras Plataforma de aplicaciones web seguras Soluciones eBusiness Soluciones eBusiness Soluciones de redes virtuales privadas Soluciones de redes virtuales privadas Solución de WLAN Solución de WLAN Windows Single Sign-on Windows Single Sign-on Enterprise Reduced Sign-on Enterprise Reduced Sign-on Web Single Sign-on Web Single Sign-on Plataforma segura para la Web Acceso Móvil seguro Gestión de la identidad

60 WEBCAST JUL-004 © APPLUS+ CTC – MICROSOFT TECHNET Secure Connected Infrastructure UNIXApplication Messaging Web Applications File Sharing Database Active Directory Non-AD Non-ADDirectory Menor coste Solución de infraestructura integrada Solución de infraestructura integrada Gestión de recursos centralizada Gestión de recursos centralizada Menor número de identidades a gestionar Menor número de identidades a gestionar Interoperabilidad con otras plataformas Interoperabilidad con otras plataformas Reducción de riesgos Guías prescriptivas Guías prescriptivas Protección via firewall y filtrado de contenidos Protección via firewall y filtrado de contenidos Herramientas y servicios de seguridad Herramientas y servicios de seguridad Infraestrucutra de gestión de parches Infraestrucutra de gestión de parches LAN Wireless LAN VPNGateway

61 WEBCAST JUL-004 © APPLUS+ CTC es un proceso, La seguridad no un producto


Descargar ppt "8721-27-0405-WEBCAST JUL-004 © APPLUS+ CTC Para Estar Seguro: Controles ISO/UNE 17799 y Herramientas Microsoft Olof Sandstrom, Applus Fernando Parrondo,"

Presentaciones similares


Anuncios Google