Normas Internacionales Seguridad de las Aplicaciones

Normas Internacionales Introducción ISO 17799 ISO 15408 COBIT SP800-14+27 SAS 94

Introducción Énfasis en seguridad de redes Un igual o mayor riesgo puede ser asociado con aplicaciones críticas Varias normas enfatizan la seguridad de las aplicaciones, incluso la confidencialidad, integridad y disponibilidad. Algunas áreas de seguridad específicas ponen énfasis en las normas, por ejemplo : controles de acceso, ciclo de vida y control de criptografía.

Introducción La seguridad de la aplicación se puede definir como : “Un conjunto de mecanismos de seguridad alrededor de una aplicación que protege su confidencialidad, integridad y disponibilidad”

Introducción Las aplicaciones en el ambiente de producción moderno, no operan en un vacío. El análisis del proceso comercial se utiliza para entender el papel y funcionamiento de una aplicación. La administración de riesgos es importante para dirigir y asignar los recursos de seguridad a las áreas más críticas.

ISO 17799 Publicada el año 2000 y esta basada en la norma 7799 del año 1995. Es un conjunto de controles que considera las mejores prácticas en seguridad de información incluyendo las políticas, prácticas, procedimientos, estructuras organizacionales y funciones del software Recomienda realizar y mantener un documento “Administración Sistema Seguridad de la Información”. Debe enfocarse en identificar los recursos de información críticos e identificar los niveles de seguridad requeridos.

ISO 17799 Los controles detallados son organizados en 10 secciones principales : La Política de Seguridad La Organización de la Seguridad La Clasificación y Control del Recurso La Seguridad del Personal La Seguridad Física y Medio Ambiental Comunicaciones y Administración de las Operaciones Control de Acceso El Desarrollo y Mantención de Sistemas Administración del Plan de Continuidad

ISO 17799 Seguridad de la Aplicación La sección de Desarrollo y Mantención de Sistemas provee objetivos de seguridad específicos, riesgos y controles relativos a la seguridad de la aplicación El objetivo básico es prevenir la pérdida , modificación o mal uso de los datos del usuario. Controles deben ser diseñados alrededor de la entrada, proceso y salida de datos.

ISO 17799 Los controles específicos de entrada incluyen chequeos de doble ingreso. El procesamiento de datos incluye controles para proteger la integridad de la información, como por ejemplo totales de control. Controles de salida deben incluir la posibilidad de verificar la razonabilidad de los datos y control de conciliación para asegurar el proceso de la totalidad de la información. Los controles de criptografía son analizados con el objetivo de proteger la confidencialidad, autenticidad e integridad de la información.

ISO 17799 Las políticas son apropiadas aquí para identificar la información sensible, que requiere protección. Los algoritmos de encriptación y largo de las llaves son problemas importantes. El control de las firmas digitales y administración de las claves de criptografía son importantes para proteger la autenticidad e integridad de los documentos electrónicos. La administración de claves incluye las funciones críticas de generación, distribución, almacenamiento y revocación de claves.

ISO 15408 Criterio de Evaluación para Seguridad de TI Esta basado en el “criterio común” para evaluar productos de TI y sistemas. La función de “criterio común” es una norma para medir la seguridad y confiabilidad asociada con un producto. El objetivo es prevenir el acceso no autorizado, modificación o pérdida de uso, similar a confidencialidad, integridad y disponibilidad. Fue publicado en 1999 por un consorcio de EE.UU y la ISO Europea, y fue autorizado al ISO como ISO/IEC 15408

ISO 15408 Los usuarios pueden usar la norma para determinar si una aplicación o sistema cumple con sus requerimientos. Los diseñadores usan la norma como una guía para diseñar y construir un producto. Los evaluadores usan la norma para probar los productos y determinar que funcionalidad esta incluida. Pueden evaluarse usando el “criterio común” incluso los sistemas operativos, redes, sistemas distribuídos y aplicaciones.

ISO 15408 Seguridad de la Aplicación Presenta dos categorías de requerimientos de seguridad, funcional y requisitos de confiabilidad que son usadas para desarrollar aplicaciones con varios grados de seguridad. Los requerimientos de seguridad funcional están agrupados en 11 clases, cada uno con un número de “familias”, que tienen un objetivo específico de seguridad y una conducta de seguridad deseada. Las 11 clases son :

ISO 15408 Auditoría de Seguridad Identificación y Autenticación Utilización de los recursos Soporte de Criptografía Administración de Seguridad Control de Acceso Comunicación Privacidad Rutas Seguras (Canales) Protección de datos del Usuario Protección de Funciones de Seguridad.

ISO 15408 Los requisitos de confiabilidad están basados en la confianza en la aplicación de funciones de seguridad así como la efectividad de las mismas. Estos requerimientos están basados en la presencia de la conducta deseada así como la ausencia de la conducta no deseada. Los ocho requisitos son :

ISO 15408 Administración de la configuración Documentación de los procedimientos Valoración de la vulnerabilidad Entrega y Operación Apoyo al ciclo de vida Mantención de la confiabilidad Desarrollo Pruebas

ISO 15408 Los niveles de evaluación de confiabilidad (EAL) son paquetes predefinidos de los requisitos de confiabilidad previamente mencionados. EAL1 indica que un producto solo ha sido probado funcionalmente EAL7 indica que el producto ha sido sometido al máximo de pruebas y el diseño ha sido probado completamente, este nivel es asociado a una información de alto valor y alto riesgo. Esta norma no asigna un modelo para el desarrollo de las aplicaciones.

COBIT Fue publicado por el IT Governance Institute e ISACF Es un conjunto de administración de TI y prácticas de control. La guía de administración de TI esta integrada en el ciclo de requerimientos del negocio, procesos de TI y recursos de TI para soportar las operaciones de la empresa. Cobit describe un rango de criterios de información para desarrollar un programa de seguridad comprensivo en apoyo a las necesidades del negocio. Un concepto fundamental de Cobit es que los requerimientos de la empresa son la prioridad y la información debe conformarse de acuerdo a un cierto criterio.

COBIT Los criterios de información fueron desarrollados de otros modelos de seguridad conocidos e integrado los conceptos de efectividad, eficacia, fiabilidad y rendimiento, así como los conceptos de seguridad tradicionales de confidencialidad, integridad y disponibilidad. Cobit incluye 34 procesos TI agrupados en cuatro dominios : Planificación y Organización (PO) Adquisición e Implementación (AI) Entrega y Soporte (DS) Monitoreo (M)

COBIT Los procesos son abiertos a su vez en 318 objetivos de control específicos y guías de auditoría asociadas. Los recursos de TI incluyen datos, sistemas de aplicación, tecnología, instalaciones y personal. El control y la seguridad es crítico en la administración de estos recursos usando políticas específicas, procedimientos, prácticas y estructura organizacional.

COBIT Aplicación de Seguridad Se entienden los sistemas de aplicación como la suma de procedimientos manuales y procedimientos programados. Los datos se definen ampliamente incluyendo texto, video, gráfico y sonido. Estos dos recursos de TI convierten los eventos comerciales en información utlizable. Aplicación de seguridad es integrada en los cuatro dominios de Cobit.

Dominios y Procesos Relevantes a la Seguridad de Aplicaciones Planificación y Organización (PO) Adquisición e Implementación (AI) Entrega y Soporte (DS) Monitoreo (M) Definir Plan Estratégico de TI (PO1) Identificar soluciones automatizadas (AI1) Definir y administrar niveles de servicio (DS1) Monitoreo de Procesos (M1) Definir arquitectura de información (PO2) Adquirir y mantener aplicaciones de software (AI2) Administrar los servicios de terceros (DS2) Determinar un control interno adecuado (M2) Administrar la inversión en TI (PO5) Desarrollar y mantener procedimientos (AI4) Administrar el rendimiento y capacidad (DS3) Obtener confiabilidad independiente Asegurar cumplimiento con requerimientos externos (PO8) Instalar y acreditar sistemas (AI5) Asegurar continuidad del servicio (DS5) Determinar riesgos (PO9) Administración de cambios (AI6) Asegurar la seguridad del sistema (DS5) Administrar Proyectos (PO10) Identificar los costos asignados (DS6) Administrar calidad (PO11) Ayude y aconseje a clientes (DS8) Administre la configuración (DS9) Administre problemas e incidentes (DS10) Administre las operaciones (DS13)

SP800-14 El Instituto de Normas y Tecnología (NIST) y el Departamento de Comercio de US publicaron “Principios Generalmente Aceptados y Prácticas para la Seguridad de los Sistemas de Información Tecnológicos”, Publicación Especial 800-14 en 1996. Este documento proporciona una base de los principios de seguridad y prácticas para el uso, protección y diseño de los sistemas de información gubernamentales Posee 8 principios y 14 prácticas . Los principios de seguridad generalmente aceptados son generales. Prácticas y controles en cada una de las fases del ciclo de vida. Controles operacionales

SP800-14 + 27 El concepto en SP800-14 fue desarrollado más tarde en “Principios de Ingeniería para Seguridad de Sistemas de Informacìón Tecnológicos”, Publicación Especial 800-27, publicada por el NIST el 2001. Provee un mayor nivel de seguridad. Referencia a la ISO 15408 (criterio común) Incluye 33 principios de seguridad que aplican a las fases del ciclo de vida.

SAS 94 El AICPA emitió el SAS 94 en 2001 “Los Efectos de la Tecnología de Información en el Auditor, Consideración del Control Interno en una Auditoría de Estados Financieros”. Esta norma requiere que el auditor financiero considere la tecnología de información como parte del control interno. SAS 94 actualiza SAS 55 y 78. Controles de Aplicaciones relevantes en una auditoría financiera incluyen control de acceso, control de cambios de programas, control de procesos,etc.

SAS 94 Sugiere dos niveles : Primero es una revisión de los controles operacionales El segundo y más profundo es una revisión de si los controles están operando eficazmente. La diferencia entre ambos niveles es el alcance o magnitud El objetivo es la integridad de toda la información que afecta los estados financieros y la auditoría.

Conclusión Las normas y documentos presentados muestran la seguridad de aplicaciones desde diferentes perspectivas. Comparten controles en muchas áreas, como el ciclo de vida y aplicaciones de entrada, proceso y salida. La ISO 15408 ha tenido un gran impacto y ha sido referenciada por otras normas. Cobit e ISO 15408 parecen tener una mayor profundidad y detalle referente a la seguridad.

Documentación ISO 17799 COBIT ISO 15408 SP 800-14 + 27 SAS 94 www.bspsl.com/secure/iso17799software/cvm.cfm COBIT www.isaca.org/cobit.htm www.isaca.cl ISO 15408 Csrc.nist.gov/cc/ccv20/ccv2list.htm SP 800-14 + 27 Csrc.nist.gov/publications/nistpubs SAS 94 www.aicpa.org/members/div/auditstd/riasai/sas94.htm

DS 5 Ensure Systems Security Proceso TI, requerimiento de la empresa y objetivo de control detallado define que necesita hacer para implementar una efectiva estructura de seguridad. La práctica de control de TI provee con más detalle como y por qué es necesario que el administrador, proveedor de servicios, usuario final y profesionales de auditoría implementen controles específicos basados en una análisis de la operación y riesgo de la TI. Dentro de Cobit DS 5 es un objetivo de control de alto nivel para salvaguardar la información de uso no autorizado, acceso no autorizado, modificaciones, daños o pérdidas por acceso al sistema, datos y programas son restringidos a usuarios autorizados. Posee 21 objetivos de control detallados

DS 5 Ensure Systems Security 5.1 Administración medidas de seguridad 5.2 Identificación, autenticación y acceso 5.3 Seguridad acceso en línea a los datos 5.4 Administración cuentas de usuarios 5.5 Administración revisión cuentas de usuarios 5.6 Control del usuario de las cuentas de usuarios 5.7 Vigilancia de seguridad 5.8 Clasificación de los datos 5.9 Identificación central y administración de los derechos de acceso

DS 5 Ensure Systems Security 5.10 Violaciones e informes de seguridad 5.11 Manejo de incidentes 5.12 Reacreditación 5.13 Confianza del contador de acceso 5.14 Autorización de transacciones 5.15 No repudio 5.16 Camino correcto 5.17 Protección de las funciones de seguridad 5.18 Administración de las claves de criptografía

DS 5 Ensure Systems Security 5.19 Prevención, detección y corrección de software malicioso 5.20 Arquitectura de Firewall y conexiones con redes públicas. 5.21 Protección del valor electrónico

DS 5 Ensure Systems Security DS 5.2 Identificación, autenticación y acceso Porque hacer esto Asegurar a los usuarios externos que el sistema es adecuadamente seguro Protección de los sistemas de información para prevenir acceso o uso no autorizado Especificación de requerimientos mínimos de seguridad para todos los sistemas Segregación apropiada entre los ambientes de producción, prueba y desarrollo.

DS 5 Ensure Systems Security Prácticas de Control Los sistemas e información están protegidos para prevenir un acceso no autorizado Los requerimientos mínimos de seguridad son especificados para todos los sistemas operativos y versiones dentro de la organización Los sistemas operativos son probados para cumplir con los requerimientos mínimos de seguridad establecidos. Cumplimiento con los requerimientos de seguridad establecidos son revisados regularmente. Los recursos están protegidos por reglas de acceso, basado en una adecuada identificación y autenticación de los usuarios. Posterior a una falla del sistema, los usuarios no esta permitido volver atrás en el sistema sin una reautenticación.