SlideShare una empresa de Scribd logo

Sistemas De Evaluacion De Seguridad

Descargar como PPT, PDF
Chema Alonso
Chema Alonso

Charla impartida por el Doctor Antonio Guzmán,miembro del Grupo de Arquitecturas de Altas Prestaciones de la Universidad Rey Juan Carlos de Madrid, en el Curso de Verano 2009 de Seguridad Informática en la Universidad de Salamanca.

TecnologíaEducaciónEmpresariales
1 de 45
Antonio Guzmán antonio.guzman@urjc.es Guzmán, 2009
 Estándares ISO/EIC 27000  Modelos de Gestión de Riesgos • Microsoft Threat Modeling • STRIDE/DREAD • TRIKE • AS/NZS 4360 • CVSS • OCTAVE • MAGERIT • CRAMM • PTA • ACE Team  Conclusiones Guzmán, 2009 12/07/09 06:23 AM 2
 Con toda probabilidad la certificación ISO/IEC- 27001 será casi una obligación para cualquier empresa que desee competir en el mercado en un corto plazo de tiempo.  Esta certificación está encaminada al establecimiento de niveles concretos y adecuados de seguridad que serán compartidos por los distintos sistemas que deseen Guzmán, 2009 interrelacionarse. ISO – International Standardization Organization IEC – International Electrotechnical Commision 12/07/09 06:23 AM 3
 El conjunto de estándares que aportan información de la familia ISO-2700x que se pueden tener en cuenta son: (http://www.iso27001security.com/html/27004.html) • BS 7799-2:2005 (ISO/IEC 27001:2005) • ISO/IEC 27000 – proporcionará una visión general del marco normativo y un vocabulario común utilizado por todas las normas de la serie • ISO/IEC 27001 ISMS - Especificaciones para la creación de un sistema de gestión de la seguridad de la información (SGSI). Publicada en 2005. • ISO/IEC 27002 – Código de buenas prácticas para la gestión de la seguridad de la información describe el conjunto de objetivos de control y controles a utilizar en la construcción de un SGSI (actualizada desde la ISO/IEC Guzmán, 2009 17799:2005 y renombrada en el 2007 como ISO 27002:2005). Publicada en 2005 y renombrada en 2007. * En desarrollo 12/07/09 06:23 AM 4
• ISO/IEC 27003 ISMS* – proporcionará una guía de implantación de la norma ISO/IEC 27001. • ISO/IEC 27004*: describirá los criterios de medición y gestión para lograr la mejora continua y la eficacia de los SGSI. • ISO/IEC 27005 – proporcionará criterios generales para la realización de análisis y gestión de riesgos en materia de seguridad. • ISO/IEC 27006:2007 es una guía para el proceso de acreditación de las entidades de certificación de los SGSI. Publicada en 2007. • ISO/IEC 27007*: será una guía para auditar SGSI. Guzmán, 2009 12/07/09 06:23 AM 5/50
• ISO/IEC TR 27008*: proporcionará una guía para auditar los controles de seguridad de la norma ISO 27002:2005. • ISO/IEC 27010*: proporcionará una guía específica para el sector de las comunicaciones y sistemas de interconexión de redes de industrias y Administraciones, a través de un conjunto de normas más detalladas que comenzarán a partir de la ISO/IEC 27011. • ISO/IEC 27011*: será una guía para la gestión de la seguridad en telecomunicaciones (conocida también como X.1051). Guzmán, 2009 • ISO/IEC 27031*: estará centrada en la continuidad de negocio. 12/07/09 06:23 AM 6/50
• ISO/IEC 27032 *: será una guía para la ciberseguridad. • ISO/IEC 27033*: sustituirá a la ISO/IEC 18028, norma sobre la seguridad en redes de comunicaciones. • ISO/IEC 27034*: proporcionará guías para la seguridad en el desarrollo de aplicaciones. • ISO/IEC 27799: no es estrictamente una parte de la serie ISO 27000 aunque proporciona una guía para el desarrollo de SGSI para el sector específico de la salud. Guzmán, 2009 12/07/09 06:23 AM 7/50
 El diseño e implantación de un SGSI se encuentra influenciado por las necesidades, objetivos, requisitos de seguridad, los procesos, los empleados , el tamaño, los sistemas de soporte y la estructura de la organización. Partes Interesadas Partes Interesadas (Requisitos y Expectativas (Seguridad Guzmán, 2009 para la de la Seguridad Información de la Gestionada) Información) 12/07/09 06:23 AM 8/50
 La Seguridad de la Información es un proceso.  La Seguridad de la Información se basa en personas.  La Seguridad de la Información debe orientarse al riesgo.  Un buen SGSI es un sistema rentable para la organización.  Aunque no existe la seguridad absoluta. El SGSI ayuda a la gestión.  Un proyecto SGSI requiere un equipo de trabajo Guzmán, 2009 multidisciplinar. 12/07/09 06:23 AM 9/38
 El empleo de este estándar permitirá a las organizaciones dar respuesta a los interrogantes de cuán efectivo y eficiente es el Sistema de Gestión de la Seguridad de la Información (SGSI) y qué niveles de implementación y madurez han sido alcanzados.  Estas mediciones permitirán comparar los logros obtenidos en seguridad de la información sobre periodos de tiempo en áreas de negocio similares de Guzmán, 2009 la organización y como parte de continuas mejoras. 12/07/09 06:23 AM 10
• En una organización se debe describir cómo se interrelacionan e interactúan el SGSI con las mediciones, desarrollando guías que aseguren, aclaren y documenten esta relación. • Los objetivos son: • Evaluar la efectividad de la implementación de los controles de seguridad. • Evaluar la eficiencia de SGSI. • Proveer estados de seguridad que guíen las revisiones del SGSI. • Comunicar valores de seguridad a la organización. • Servir como entradas al plan de análisis y tratamiento de Guzmán, 2009 riesgos. 12/07/09 06:23 AM 11
 Los aspectos que se tienen en cuenta a la hora de establecer estas mediciones son los siguientes: • Evaluación y tratamiento de riesgos • Políticas de seguridad • Organización de la seguridad de la Información • Gestión de activos • Seguridad de recursos humanos • Seguridad física y de entorno • Gestión de las comunicaciones y operaciones • Control de Accesos • Sistemas de adquisición, desarrollo y mantenimiento de la Información • Gestión de Incidentes de seguridad de la información • Gestión de la continuidad de negocio Guzmán, 2009  Para cada uno de estos aspectos, se proponen diversas métricas de seguridad. http://www.iso27001security.com/ISO27k_implementation_guidance_1v1.pdf 12/07/09 06:24 AM 12/38
 Modelo de seguridad. • Se debe desarrollar un programa de cómo ejecutar la medición de la seguridad de la información. • Para ello hay que definir un modelo que estructure los atributos medibles con una entidad relevante. • Debe definir cómo los atributos de una entidad son cuantificados y convertidos a indicadores que provean bases para la toma de decisiones, sustentados en Guzmán, 2009 necesidades de información específica. 12/07/09 06:24 AM 13
 Al final lo importante no es tanto cuáles son los pasos a seguir para la formulación del modelo como la estimación de qué aspectos son los que se pueden definir. En función de qué se haya estimado existen muchas posibilidades: • Microsoft Threat Modelling • STRIDE/DREAD • TRIKE • AS/NZS 4360 • CVSS • OCTAVE • Magerit • CRAMM Guzmán, 2009 • PTA • ACE Team 12/07/09 06:24 AM 14
 Este modelo tiene cinco pasos: 1. Identificar los objetivos de seguridad 2. Evaluar el sistema 3. Realizar la descomposición del sistema 4. Identificar las amenazas 5. Identificar las vulnerabilidades Guzmán, 2009 12/07/09 06:24 AM 15
 Identificar los Objetivos • Los objetivos se pueden clasificar en : • Objetivos de Identidad • Objetivos Financieros • Objetivos de reputación • Objetivos de integridad y confidencialidad • Objetivos de disponibilidad Guzmán, 2009 12/07/09 06:24 AM 16
 Evaluación del sistema • Una vez que se han declarado los objetivos se debe analizar el diseño del sistema para identificar los componentes, los flujos de información y los límites de confianza.  Descomponer el sistema • Implica identificar las características y los módulos con impacto en la seguridad que deben ser evaluados. Guzmán, 2009 12/07/09 06:24 AM 17
 Identificar las amenazas • Se parte del hecho de que es imposible identificar amenazas que no son conocidas. Por lo tanto, concentrándose en los riesgos conocidos, se realiza una identificación basada en el empleo de herramientas de BugTraq. Guzmán, 2009 12/07/09 06:24 AM 18
 Identificar las amenazas • Además de saber qué tipo de amenaza es el que se puede identificar, es preciso clasificar quién es el posible atacante. Se propone la siguiente clasificación: • Descubrimiento accidental • Malware automático • Atacante curioso • Script Kiddies Guzmán, 2009 • Atacante Motivado • Crimen organizado 12/07/09 06:24 AM 19
 STRIDE es una metodología para identificar amenazas conocidas. Establece seis categorías: • Spoofing Identity • Tampering with Data • Repudiation • Information Disclosure • Denial of service Guzmán, 2009 • Elevation of privilege 12/07/09 06:24 AM 20
 DREAD es un modelo que permite establecer un grado de riesgo que permite ordenar los riesgos mediante la evaluación de cinco categorías.  Propone una expresión que se traduce en un índice: ( DAMAGE + REPRODUCTIBILITY + EXPLOTABILITY + AFFECTED USER + DISCOVERABILITY ) Risk _ Dread = Guzmán, 2009 5 12/07/09 06:24 AM 21
 Damage Potential Si la amenaza se materializa, ¿cuánto daño puede causar? • 0 = Nothing • 5 = Individual user data is compromised or affected. • 10 = Complete system or data destruction  Reproducibility ¿Cómo de facil es reproducir el exploit? • 0 = Very hard or impossible, even for administrators of the application. • 5 = One or two steps required, may need to be an authorized user. • 10 = Just a web browser and the address bar is sufficient, without authentication.  Exploitability ¿Qué se necesita para materializar la amenaza? • 0 = Advanced programming and networking knowledge, with custom or advanced attack tools. • 5 = Malware exists on the Internet, or an exploit is easily performed, using available attack tools. • 10 = Just a web browser  Affected Users ¿Cuántos usuarios se ven afectados? • 0 = None • 5 = Some users, but not all • 10 = All users  Discoverability ¿Cómo de facil es descubrir esta amenaza? Guzmán, 2009 • 0 = Very hard to impossible; requires source code or administrative access. • 5 = Can figure it out by guessing or by monitoring network traces. • 9 = Details of faults like this are already in the public domain and can be easily discovered using a search engine. • 10 = The information is visible in the web browser address bar or in a form. 12/07/09 06:24 AM 22
 Es un modelo similar al propuesto desde Microsoft.  Existen sin embargo diferencias. TRIKE propone una aproximación a la descripción del riesgo que no aúna los ataques, las amenazas y las vulnerabilidades.  Al contrario, permite distinguir unos de otros construyendo un sistema experto para toma de Guzmán, 2009 decisiones. 12/07/09 06:24 AM 23
 El Australian/New Zealand Standard es simple, muy flexible e iterativo .  Proporciona una serie de conjuntos de tablas de riesgos como ejemplos, pero permite desarrollar y adaptar su propio modelo a las organizaciones.  El modelo se resume en cinco puntos. • Establecer el contexto • Identificar los riesgos • Analizar los riesgos • Evaluar los riesgos Guzmán, 2009 • Habilitar contramedidas. 12/07/09 06:24 AM 24
 El departamento de Homeland Security (DHS) del gobierno de EEUU estableció que el denominado grupo “NIAC Vulnerability Disclosure Working Group”, que incorporaba a Cisco Systems, Symantec, ISS, Qualys, Microsoft, CERT/CC y eBay.  Uno de los resultados de este grupo ha sido el Guzmán, 2009 CVSS – Common Vulnerability Scoring System 12/07/09 06:24 AM 25
 CVSS no es un modelo en sí, sino que permite normalizar las notificaciones de seguridad asignándole una métrica única a las amenazas descubiertas.  La definición de la métrica es muy compleja y su cálculo implica tener en cuenta factores software y de entorno.  La evaluación de estos factores obliga a utilizar una tabla para determinar el grado de criticidad de las amenazas conocidas.  De hecho la sobrecarga que supone calcular el índice CVSS sobre una aplicación determinada aumenta Guzmán, 2009 factorialmente con cada amenaza que se estima. 12/07/09 06:24 AM 26
 CVSS no encuentra ni reduce la superficie de ataque.  Tampoco enumera los riesgos para una programa determinado.  Lo que proporciona es una aproximación técnica, estandarizada, abierta y ordenada de una vulnerabilidad específica. Guzmán, 2009 12/07/09 06:24 AM 27
 http://nvd.nist.gov/cvss.cfm?calculator&adv  http://jvnrss.ise.chuo-u.ac.jp/jtg/cvss/es/CVSSv2.html  http://www.security-database.com/cvss.php#AV  Ejemplo de vulnerabilidades: • CVE-2009-1301 • CVE-2009-1279 Guzmán, 2009 12/07/09 06:24 AM 28/38
 Se trata de un modelo muy complejo originario de la Carnagie Mellon University en colaboración con el CERT.  Se centra en la evaluación del riesgo organizativo y no técnico.  Aunque útil en la gestión de grandes organizaciones es demasiado costoso y no proporciona medidas para mitigar los efectos de las amenazas. Es más Guzmán, 2009 bien un decálogo de buenas costumbres. 12/07/09 06:24 AM 29
 Se trata de una metodología promovida por el CSAE (Consejo Superior de administración electrónica) que persigue una aproximación metódica al análisis de riesgos.  Se trata por tanto de una metodología para auxiliar en tarea de toma de decisiones en entornos críticos. Guzmán, 2009 12/07/09 06:24 AM 30
 Los objetivos de la aplicación de este modelo son: • Concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo • Ofrecer un método sistemático para analizar tales riesgos • Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control • Apoyar la preparación a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso  Su aplicación se estructura en cinco niveles: • Modelo de valor • Modelo de riesgos • Estado de los riesgos • Informe de insuficiencias Guzmán, 2009 • Plan de seguridad 12/07/09 06:24 AM 31
http://www.ar-tools.com/index.html?tools/pilar/index.html Guzmán, 2009 12/07/09 06:24 AM 32
 CRAMM - (CCTA (Central Computer and Telecommunications Agency) Risk Analysis and Management Method) • Propuesta creada por la CCTA de Reino Unido. • Actualmente está en su quinta versión • Está estructurada en tres etapas • Cada etapa está estructurada por unos cuestionarios que permiten identificar y analizar los riesgos del sistema. La Guzmán, 2009 última etapa propone contramedidas para los riesgos. 12/07/09 06:24 AM 33/38
 Etapa 1: Establecimiento de objetivos • Definir los límites del estudio. • Identificar y valorar los activos del sistema. • Determinar el valor de los datos del sistema a través de entrevistas con el personal acerca del potencial daño empresarial que tendría la falta de disponibilidad, su destrucción, falta de confidencialidad o su modificación. Guzmán, 2009 • Identificar y valorar los activos software del sistema. 12/07/09 06:24 AM 34/38
 Etapa 2: Evaluación de riesgos • Identificar y valorar el tipo y nivel de amenazas que podrían afectar al sistema. • Evaluar la exposición del sistema frente a estas amenazas. • Combinar ambos aspectos con la valoración de los activos para determinar una medida del riesgo. Guzmán, 2009 12/07/09 06:24 AM 35/38
 Etapa 3: Identificación y Selección de contramedidas • Se propone una librería de contramedidas agrupadas en 70 grupos lógicos para facilitar su aplicación. http://www.cramm.com/files/techpapers/CRAMM%20Counte Guzmán, 2009 12/07/09 06:24 AM 36/38
 El Practical Threat Analysis propone una suite para la elaboración de modelos de gestión de riesgos y permite estimar un nivel de seguridad a partir de la información incluida en cada proyecto. Guzmán, 2009 12/07/09 06:24 AM 37
 La realización del modelo conlleva, como en casos anteriores una serie de fases: • Establecer los prerrequisitos del modelo • Establecer lista de etiquetas • Identificar los recursos del sistema • Identificar las vulnerabilidades del sistema • Identificar las contramedidas • Identificar a los atacantes potenciales • Identificar los potenciales puntos de entrada del sistema. • Construir los escenarios de amenazas y los planes de mitigación Guzmán, 2009 • Estudiar los resultados. 12/07/09 06:24 AM 38
 El ACE Team (Application Consulting & Engineering Team) es parte de InfoSec en Microsoft y los encargados de desarrollar un modelo de gestión de riesgos. http://blogs.msdn.com/threatmodeling/ Guzmán, 2009 12/07/09 06:24 AM 39
 Se propone una metodología para la extracción de un modelo de gestión de riesgos: • Identificar los objetivos de negocio • Definir perfiles de usuario • Definir datos • Definir los controles de acceso a datos • Generar los cases para cada usuario • Definir componentes, servicios e identidades • Detallar las llamadas de y desde el sistema. • Generar y evaluar las amenazas (Attack Library) Guzmán, 2009 • Identificar la relevancia de cada componente • Remarcar las contramedidas. 12/07/09 06:24 AM 40
 Attack Library • Esta diseñada para: • Disponer del mínimo de información. • Transmitir la relación del exploit, la causa y la contramedida. • Ser accesible para que la especificación de ataques no suponga la presencia de un técnico avanzado en seguridad. • Entender cómo probar el exploit • Entender cómo reconocer una vulnerabilidad Guzmán, 2009 • Entender cómo implementar contramedidas http://channel9.msdn.com/wiki/securitywiki/inputvalidationtrainingm 12/07/09 06:24 AM 41
 Ejemplos de Attack Library  Vandalism • Threat – Denial of Service due to damage of the machine Attack – Damage through blunt weapon attacks Vulnerability - Machines made of mostly plastic parts Mitigation - Use Cast Iron parts Vulnerability - Exposed telephone style button Mitigation – Use recessed buttons Attack - Damage through vehicle intrusions Vulnerability - ATM exposed in outdoor settings Mitigation – Recess ATM behind wall with only interop panel exposed Install Secura-Posts in front of ATMs  Skimming • Threat – exposure of ATM card/account data due to the presence of skimming devices on machines Attack-Skimming device placed over card reader slot Vulnerability – User cannot tell when a skimming device is present Mitigation – place an LCD screen along edge of card slot. When user inserts card, ask user to enter code displayed on LCD. If the user cannot see the LCD, skimming device present, notify Guzmán, 2009 bank personnel 12/07/09 06:24 AM 42
DEMO–TAM (Threat Analysis & Modeling Tool) http://msdn.microsoft.com/en-us/security/aa570413.aspx Guzmán, 2009 12/07/09 06:24 AM 43
 Es necesario definir un modelo de evaluación de riesgos  Los modelos existentes sólo permiten evaluar amenazas conocidas. Esta evaluación se puede hacer de forma cualitativa o cuantitativa.  Una parte clave de estos modelos es la definición de una métrica que permita evaluar el nivel de seguridad de un sistema.  En la definición de esta métrica es preciso evaluar las vulnerabilidades y, en eso de nuevo, hay dos posibilidades: una cuantitativa (más costosa) y otra Guzmán, 2009 cualitativa (menos precisa y objetiva). 12/07/09 06:24 AM 44
 http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail  http://alerta-antivirus.red.es/docs/analisis_ISO-27001.pdf  http://www.owasp.org/index.php/Threat_Risk_Modeling  http://www.first.org/cvss/cvss-guide.pdf  www.cert.org/archive/pdf/01tr016.pdf  http://www.ptatechnologies.com/Documents/PTA_for_Software.do  http://www.cramm.com/  http://www.csi.map.es/csi/pg5m20.htm  http://blogs.msdn.com/threatmodeling/ Guzmán, 2009 12/07/09 06:24 AM 45

Recomendados

Analisis y-modelado-de-amenazas
Analisis y-modelado-de-amenazasAnalisis y-modelado-de-amenazas
Analisis y-modelado-de-amenazasAlex Pin
 
Building a Cyber Threat Intelligence Knowledge Graph
Building a Cyber Threat Intelligence Knowledge GraphBuilding a Cyber Threat Intelligence Knowledge Graph
Building a Cyber Threat Intelligence Knowledge GraphVaticle
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacionmaxol03
 
Gobierno y administración de TI en un contexto global
Gobierno y administración de TI en un contexto globalGobierno y administración de TI en un contexto global
Gobierno y administración de TI en un contexto globalDavid Solis
 
NIST Cybersecurity Framework 101
NIST Cybersecurity Framework 101 NIST Cybersecurity Framework 101
NIST Cybersecurity Framework 101 Erick Kish, U.S. Commercial Service
 
Iso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiIso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiJhonny Willians Franco Delgado
 
Powerpoint dela seguridad y proteccion de los sistemas operativos
Powerpoint dela seguridad y proteccion de los sistemas operativosPowerpoint dela seguridad y proteccion de los sistemas operativos
Powerpoint dela seguridad y proteccion de los sistemas operativosAdriana Rodriguez
 
Controles iso27002 2005
Controles iso27002 2005Controles iso27002 2005
Controles iso27002 2005Darwin Manotas Florez
 

Recomendados

Analisis y-modelado-de-amenazas
Analisis y-modelado-de-amenazasAnalisis y-modelado-de-amenazas
Analisis y-modelado-de-amenazasAlex Pin
 
Building a Cyber Threat Intelligence Knowledge Graph
Building a Cyber Threat Intelligence Knowledge GraphBuilding a Cyber Threat Intelligence Knowledge Graph
Building a Cyber Threat Intelligence Knowledge GraphVaticle
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacionmaxol03
 
Gobierno y administración de TI en un contexto global
Gobierno y administración de TI en un contexto globalGobierno y administración de TI en un contexto global
Gobierno y administración de TI en un contexto globalDavid Solis
 
NIST Cybersecurity Framework 101
NIST Cybersecurity Framework 101 NIST Cybersecurity Framework 101
NIST Cybersecurity Framework 101 Erick Kish, U.S. Commercial Service
 
Iso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiIso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiJhonny Willians Franco Delgado
 
Powerpoint dela seguridad y proteccion de los sistemas operativos
Powerpoint dela seguridad y proteccion de los sistemas operativosPowerpoint dela seguridad y proteccion de los sistemas operativos
Powerpoint dela seguridad y proteccion de los sistemas operativosAdriana Rodriguez
 
Controles iso27002 2005
Controles iso27002 2005Controles iso27002 2005
Controles iso27002 2005Darwin Manotas Florez
 
Introduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security FrameworkIntroduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security FrameworkPECB
 
Análisis y diseño estructurado
Análisis y diseño estructuradoAnálisis y diseño estructurado
Análisis y diseño estructuradoIsbel Alfonzo
 
metodologia para software Kendall
metodologia para software Kendallmetodologia para software Kendall
metodologia para software KendallJuan Avila V
 
trinomio de desarrollo ciclo de vida
trinomio de desarrollo ciclo de vidatrinomio de desarrollo ciclo de vida
trinomio de desarrollo ciclo de vidaeduardogomez08
 
Diseño de Sistemas
Diseño de SistemasDiseño de Sistemas
Diseño de SistemasJUANESTEFA
 
Control Standards for Information Security
Control Standards for Information SecurityControl Standards for Information Security
Control Standards for Information SecurityJohnHPazEMCPMPITIL5G
 
Modelos de sistemas distribuidos
Modelos de sistemas distribuidosModelos de sistemas distribuidos
Modelos de sistemas distribuidosTensor
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
Proceso unificado de desarrollo de software
Proceso unificado de desarrollo de softwareProceso unificado de desarrollo de software
Proceso unificado de desarrollo de softwareturlahackers
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001Johanna Pazmiño
 
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADDIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADjesus
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
NIST CSF Overview
NIST CSF OverviewNIST CSF Overview
NIST CSF OverviewPriyanka Aash
 
Equipos de respuesta a incidentes csirt cert clase_tres_auo
Equipos de respuesta a incidentes csirt cert clase_tres_auoEquipos de respuesta a incidentes csirt cert clase_tres_auo
Equipos de respuesta a incidentes csirt cert clase_tres_auoJhon Jairo Hernandez
 
Enterprise Security Architecture Design
Enterprise Security Architecture DesignEnterprise Security Architecture Design
Enterprise Security Architecture DesignPriyanka Aash
 
2 2 estilos arquitectonicos
2 2 estilos arquitectonicos2 2 estilos arquitectonicos
2 2 estilos arquitectonicoslandeta_p
 
Using the Threat Agent Library to improve threat modeling
Using the Threat Agent Library to improve threat modelingUsing the Threat Agent Library to improve threat modeling
Using the Threat Agent Library to improve threat modelingEric Jernigan MSIA, CISSP, CISM, CRISC
 
Compare and Contrast Security Controls and Framework Types
Compare and Contrast Security Controls and Framework TypesCompare and Contrast Security Controls and Framework Types
Compare and Contrast Security Controls and Framework TypesLearningwithRayYT
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadFrancisco Medina
 
Metodología orientada a objetos
Metodología orientada a objetosMetodología orientada a objetos
Metodología orientada a objetosalcrrsc
 
Normaiso27000
Normaiso27000Normaiso27000
Normaiso27000carlos eduardo arevalo
 
Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Informaciónferd3116
 

Más contenido relacionado

La actualidad más candente

Introduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security FrameworkIntroduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security FrameworkPECB
 
Análisis y diseño estructurado
Análisis y diseño estructuradoAnálisis y diseño estructurado
Análisis y diseño estructuradoIsbel Alfonzo
 
metodologia para software Kendall
metodologia para software Kendallmetodologia para software Kendall
metodologia para software KendallJuan Avila V
 
trinomio de desarrollo ciclo de vida
trinomio de desarrollo ciclo de vidatrinomio de desarrollo ciclo de vida
trinomio de desarrollo ciclo de vidaeduardogomez08
 
Diseño de Sistemas
Diseño de SistemasDiseño de Sistemas
Diseño de SistemasJUANESTEFA
 
Control Standards for Information Security
Control Standards for Information SecurityControl Standards for Information Security
Control Standards for Information SecurityJohnHPazEMCPMPITIL5G
 
Modelos de sistemas distribuidos
Modelos de sistemas distribuidosModelos de sistemas distribuidos
Modelos de sistemas distribuidosTensor
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
Proceso unificado de desarrollo de software
Proceso unificado de desarrollo de softwareProceso unificado de desarrollo de software
Proceso unificado de desarrollo de softwareturlahackers
 
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADDIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADjesus
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Equipos de respuesta a incidentes csirt cert clase_tres_auo
Equipos de respuesta a incidentes csirt cert clase_tres_auoEquipos de respuesta a incidentes csirt cert clase_tres_auo
Equipos de respuesta a incidentes csirt cert clase_tres_auoJhon Jairo Hernandez
 
Enterprise Security Architecture Design
Enterprise Security Architecture DesignEnterprise Security Architecture Design
Enterprise Security Architecture DesignPriyanka Aash
 
2 2 estilos arquitectonicos
2 2 estilos arquitectonicos2 2 estilos arquitectonicos
2 2 estilos arquitectonicoslandeta_p
 
Compare and Contrast Security Controls and Framework Types
Compare and Contrast Security Controls and Framework TypesCompare and Contrast Security Controls and Framework Types
Compare and Contrast Security Controls and Framework TypesLearningwithRayYT
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadFrancisco Medina
 
Metodología orientada a objetos
Metodología orientada a objetosMetodología orientada a objetos
Metodología orientada a objetosalcrrsc
 

La actualidad más candente (20)

Introduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security FrameworkIntroduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security Framework
 
Análisis y diseño estructurado
Análisis y diseño estructuradoAnálisis y diseño estructurado
Análisis y diseño estructurado
 
metodologia para software Kendall
metodologia para software Kendallmetodologia para software Kendall
metodologia para software Kendall
 
trinomio de desarrollo ciclo de vida
trinomio de desarrollo ciclo de vidatrinomio de desarrollo ciclo de vida
trinomio de desarrollo ciclo de vida
 
Diseño de Sistemas
Diseño de SistemasDiseño de Sistemas
Diseño de Sistemas
 
Control Standards for Information Security
Control Standards for Information SecurityControl Standards for Information Security
Control Standards for Information Security
 
Modelos de sistemas distribuidos
Modelos de sistemas distribuidosModelos de sistemas distribuidos
Modelos de sistemas distribuidos
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la información
 
Proceso unificado de desarrollo de software
Proceso unificado de desarrollo de softwareProceso unificado de desarrollo de software
Proceso unificado de desarrollo de software
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
 
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADDIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
 
NIST CSF Overview
NIST CSF OverviewNIST CSF Overview
NIST CSF Overview
 
Equipos de respuesta a incidentes csirt cert clase_tres_auo
Equipos de respuesta a incidentes csirt cert clase_tres_auoEquipos de respuesta a incidentes csirt cert clase_tres_auo
Equipos de respuesta a incidentes csirt cert clase_tres_auo
 
Enterprise Security Architecture Design
Enterprise Security Architecture DesignEnterprise Security Architecture Design
Enterprise Security Architecture Design
 
2 2 estilos arquitectonicos
2 2 estilos arquitectonicos2 2 estilos arquitectonicos
2 2 estilos arquitectonicos
 
Using the Threat Agent Library to improve threat modeling
Using the Threat Agent Library to improve threat modelingUsing the Threat Agent Library to improve threat modeling
Using the Threat Agent Library to improve threat modeling
 
Compare and Contrast Security Controls and Framework Types
Compare and Contrast Security Controls and Framework TypesCompare and Contrast Security Controls and Framework Types
Compare and Contrast Security Controls and Framework Types
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridad
 
Metodología orientada a objetos
Metodología orientada a objetosMetodología orientada a objetos
Metodología orientada a objetos
 

Similar a Sistemas De Evaluacion De Seguridad

Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Informaciónferd3116
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoriaJohan Retos
 
Ciclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesCiclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesjhovanyfernando
 
Ciclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesCiclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesjhovanyfernando
 
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...Amazon Web Services
 
Analisis De La Norma Iso 27001
Analisis De La Norma Iso 27001Analisis De La Norma Iso 27001
Analisis De La Norma Iso 27001dcordova923
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan BlasJonathanBlas
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Isocarloscv
 

Similar a Sistemas De Evaluacion De Seguridad (20)

Normaiso27000
Normaiso27000Normaiso27000
Normaiso27000
 
Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Información
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Iso27001
Iso27001Iso27001
Iso27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
I S O 27001
I S O 27001I S O 27001
I S O 27001
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
 
Ciclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesCiclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redes
 
Ciclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesCiclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redes
 
ii
iiii
ii
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Presentación sgsi janethpiscoya
Presentación sgsi janethpiscoyaPresentación sgsi janethpiscoya
Presentación sgsi janethpiscoya
 
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
 
Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)
 
Analisis De La Norma Iso 27001
Analisis De La Norma Iso 27001Analisis De La Norma Iso 27001
Analisis De La Norma Iso 27001
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan Blas
 
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Iso
 

Más de Chema Alonso

CyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging FruitCyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging FruitChema Alonso
 
Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0Chema Alonso
 
Configurar y utilizar Latch en Magento
Configurar y utilizar Latch en MagentoConfigurar y utilizar Latch en Magento
Configurar y utilizar Latch en MagentoChema Alonso
 
Cazando Cibercriminales con: OSINT + Cloud Computing + Big Data
Cazando Cibercriminales con: OSINT + Cloud Computing + Big DataCazando Cibercriminales con: OSINT + Cloud Computing + Big Data
Cazando Cibercriminales con: OSINT + Cloud Computing + Big DataChema Alonso
 
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...Chema Alonso
 
CritoReto 4: Buscando una aguja en un pajar
CritoReto 4: Buscando una aguja en un pajarCritoReto 4: Buscando una aguja en un pajar
CritoReto 4: Buscando una aguja en un pajarChema Alonso
 
Dorking & Pentesting with Tacyt
Dorking & Pentesting with TacytDorking & Pentesting with Tacyt
Dorking & Pentesting with TacytChema Alonso
 
Pentesting con PowerShell: Libro de 0xWord
Pentesting con PowerShell: Libro de 0xWordPentesting con PowerShell: Libro de 0xWord
Pentesting con PowerShell: Libro de 0xWordChema Alonso
 
Recuperar dispositivos de sonido en Windows Vista y Windows 7
Recuperar dispositivos de sonido en Windows Vista y Windows 7Recuperar dispositivos de sonido en Windows Vista y Windows 7
Recuperar dispositivos de sonido en Windows Vista y Windows 7Chema Alonso
 
It's a Kind of Magic
It's a Kind of MagicIt's a Kind of Magic
It's a Kind of MagicChema Alonso
 
Ingenieros y hackers
Ingenieros y hackersIngenieros y hackers
Ingenieros y hackersChema Alonso
 
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...Chema Alonso
 
Auditoría de TrueCrypt: Informe final fase II
Auditoría de TrueCrypt: Informe final fase IIAuditoría de TrueCrypt: Informe final fase II
Auditoría de TrueCrypt: Informe final fase IIChema Alonso
 
El juego es el mismo
El juego es el mismoEl juego es el mismo
El juego es el mismoChema Alonso
 
El Hardware en Apple ¿Es tan bueno?
El Hardware en Apple ¿Es tan bueno?El Hardware en Apple ¿Es tan bueno?
El Hardware en Apple ¿Es tan bueno?Chema Alonso
 
Latch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digitalLatch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digitalChema Alonso
 
Hacking con Python
Hacking con PythonHacking con Python
Hacking con PythonChema Alonso
 
Tu iPhone es tan (in)seguro como tu Windows
Tu iPhone es tan (in)seguro como tu WindowsTu iPhone es tan (in)seguro como tu Windows
Tu iPhone es tan (in)seguro como tu WindowsChema Alonso
 

Más de Chema Alonso (20)

CyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging FruitCyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging Fruit
 
Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0
 
Configurar y utilizar Latch en Magento
Configurar y utilizar Latch en MagentoConfigurar y utilizar Latch en Magento
Configurar y utilizar Latch en Magento
 
Cazando Cibercriminales con: OSINT + Cloud Computing + Big Data
Cazando Cibercriminales con: OSINT + Cloud Computing + Big DataCazando Cibercriminales con: OSINT + Cloud Computing + Big Data
Cazando Cibercriminales con: OSINT + Cloud Computing + Big Data
 
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
 
CritoReto 4: Buscando una aguja en un pajar
CritoReto 4: Buscando una aguja en un pajarCritoReto 4: Buscando una aguja en un pajar
CritoReto 4: Buscando una aguja en un pajar
 
Dorking & Pentesting with Tacyt
Dorking & Pentesting with TacytDorking & Pentesting with Tacyt
Dorking & Pentesting with Tacyt
 
Pentesting con PowerShell: Libro de 0xWord
Pentesting con PowerShell: Libro de 0xWordPentesting con PowerShell: Libro de 0xWord
Pentesting con PowerShell: Libro de 0xWord
 
Foca API v0.1
Foca API v0.1Foca API v0.1
Foca API v0.1
 
Recuperar dispositivos de sonido en Windows Vista y Windows 7
Recuperar dispositivos de sonido en Windows Vista y Windows 7Recuperar dispositivos de sonido en Windows Vista y Windows 7
Recuperar dispositivos de sonido en Windows Vista y Windows 7
 
It's a Kind of Magic
It's a Kind of MagicIt's a Kind of Magic
It's a Kind of Magic
 
Ingenieros y hackers
Ingenieros y hackersIngenieros y hackers
Ingenieros y hackers
 
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
 
Auditoría de TrueCrypt: Informe final fase II
Auditoría de TrueCrypt: Informe final fase IIAuditoría de TrueCrypt: Informe final fase II
Auditoría de TrueCrypt: Informe final fase II
 
El juego es el mismo
El juego es el mismoEl juego es el mismo
El juego es el mismo
 
El Hardware en Apple ¿Es tan bueno?
El Hardware en Apple ¿Es tan bueno?El Hardware en Apple ¿Es tan bueno?
El Hardware en Apple ¿Es tan bueno?
 
Latch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digitalLatch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digital
 
Hacking con Python
Hacking con PythonHacking con Python
Hacking con Python
 
Shuabang Botnet
Shuabang BotnetShuabang Botnet
Shuabang Botnet
 
Tu iPhone es tan (in)seguro como tu Windows
Tu iPhone es tan (in)seguro como tu WindowsTu iPhone es tan (in)seguro como tu Windows
Tu iPhone es tan (in)seguro como tu Windows
 

Último

Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerValentinaTabares11
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesEdomar AR
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzzAlexandergo5
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificialcynserafini89
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 

Último (20)

Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel taller
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, Aplicaciones
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzz
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificial
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 

Sistemas De Evaluacion De Seguridad

  • 2. Estándares ISO/EIC 27000  Modelos de Gestión de Riesgos • Microsoft Threat Modeling • STRIDE/DREAD • TRIKE • AS/NZS 4360 • CVSS • OCTAVE • MAGERIT • CRAMM • PTA • ACE Team  Conclusiones Guzmán, 2009 12/07/09 06:23 AM 2
  • 3. Con toda probabilidad la certificación ISO/IEC- 27001 será casi una obligación para cualquier empresa que desee competir en el mercado en un corto plazo de tiempo.  Esta certificación está encaminada al establecimiento de niveles concretos y adecuados de seguridad que serán compartidos por los distintos sistemas que deseen Guzmán, 2009 interrelacionarse. ISO – International Standardization Organization IEC – International Electrotechnical Commision 12/07/09 06:23 AM 3
  • 4. El conjunto de estándares que aportan información de la familia ISO-2700x que se pueden tener en cuenta son: (http://www.iso27001security.com/html/27004.html) • BS 7799-2:2005 (ISO/IEC 27001:2005) • ISO/IEC 27000 – proporcionará una visión general del marco normativo y un vocabulario común utilizado por todas las normas de la serie • ISO/IEC 27001 ISMS - Especificaciones para la creación de un sistema de gestión de la seguridad de la información (SGSI). Publicada en 2005. • ISO/IEC 27002 – Código de buenas prácticas para la gestión de la seguridad de la información describe el conjunto de objetivos de control y controles a utilizar en la construcción de un SGSI (actualizada desde la ISO/IEC Guzmán, 2009 17799:2005 y renombrada en el 2007 como ISO 27002:2005). Publicada en 2005 y renombrada en 2007. * En desarrollo 12/07/09 06:23 AM 4
  • 5. • ISO/IEC 27003 ISMS* – proporcionará una guía de implantación de la norma ISO/IEC 27001. • ISO/IEC 27004*: describirá los criterios de medición y gestión para lograr la mejora continua y la eficacia de los SGSI. • ISO/IEC 27005 – proporcionará criterios generales para la realización de análisis y gestión de riesgos en materia de seguridad. • ISO/IEC 27006:2007 es una guía para el proceso de acreditación de las entidades de certificación de los SGSI. Publicada en 2007. • ISO/IEC 27007*: será una guía para auditar SGSI. Guzmán, 2009 12/07/09 06:23 AM 5/50
  • 6. • ISO/IEC TR 27008*: proporcionará una guía para auditar los controles de seguridad de la norma ISO 27002:2005. • ISO/IEC 27010*: proporcionará una guía específica para el sector de las comunicaciones y sistemas de interconexión de redes de industrias y Administraciones, a través de un conjunto de normas más detalladas que comenzarán a partir de la ISO/IEC 27011. • ISO/IEC 27011*: será una guía para la gestión de la seguridad en telecomunicaciones (conocida también como X.1051). Guzmán, 2009 • ISO/IEC 27031*: estará centrada en la continuidad de negocio. 12/07/09 06:23 AM 6/50
  • 7. • ISO/IEC 27032 *: será una guía para la ciberseguridad. • ISO/IEC 27033*: sustituirá a la ISO/IEC 18028, norma sobre la seguridad en redes de comunicaciones. • ISO/IEC 27034*: proporcionará guías para la seguridad en el desarrollo de aplicaciones. • ISO/IEC 27799: no es estrictamente una parte de la serie ISO 27000 aunque proporciona una guía para el desarrollo de SGSI para el sector específico de la salud. Guzmán, 2009 12/07/09 06:23 AM 7/50
  • 8. El diseño e implantación de un SGSI se encuentra influenciado por las necesidades, objetivos, requisitos de seguridad, los procesos, los empleados , el tamaño, los sistemas de soporte y la estructura de la organización. Partes Interesadas Partes Interesadas (Requisitos y Expectativas (Seguridad Guzmán, 2009 para la de la Seguridad Información de la Gestionada) Información) 12/07/09 06:23 AM 8/50
  • 9. La Seguridad de la Información es un proceso.  La Seguridad de la Información se basa en personas.  La Seguridad de la Información debe orientarse al riesgo.  Un buen SGSI es un sistema rentable para la organización.  Aunque no existe la seguridad absoluta. El SGSI ayuda a la gestión.  Un proyecto SGSI requiere un equipo de trabajo Guzmán, 2009 multidisciplinar. 12/07/09 06:23 AM 9/38
  • 10. El empleo de este estándar permitirá a las organizaciones dar respuesta a los interrogantes de cuán efectivo y eficiente es el Sistema de Gestión de la Seguridad de la Información (SGSI) y qué niveles de implementación y madurez han sido alcanzados.  Estas mediciones permitirán comparar los logros obtenidos en seguridad de la información sobre periodos de tiempo en áreas de negocio similares de Guzmán, 2009 la organización y como parte de continuas mejoras. 12/07/09 06:23 AM 10
  • 11. • En una organización se debe describir cómo se interrelacionan e interactúan el SGSI con las mediciones, desarrollando guías que aseguren, aclaren y documenten esta relación. • Los objetivos son: • Evaluar la efectividad de la implementación de los controles de seguridad. • Evaluar la eficiencia de SGSI. • Proveer estados de seguridad que guíen las revisiones del SGSI. • Comunicar valores de seguridad a la organización. • Servir como entradas al plan de análisis y tratamiento de Guzmán, 2009 riesgos. 12/07/09 06:23 AM 11
  • 12. Los aspectos que se tienen en cuenta a la hora de establecer estas mediciones son los siguientes: • Evaluación y tratamiento de riesgos • Políticas de seguridad • Organización de la seguridad de la Información • Gestión de activos • Seguridad de recursos humanos • Seguridad física y de entorno • Gestión de las comunicaciones y operaciones • Control de Accesos • Sistemas de adquisición, desarrollo y mantenimiento de la Información • Gestión de Incidentes de seguridad de la información • Gestión de la continuidad de negocio Guzmán, 2009  Para cada uno de estos aspectos, se proponen diversas métricas de seguridad. http://www.iso27001security.com/ISO27k_implementation_guidance_1v1.pdf 12/07/09 06:24 AM 12/38
  • 13. Modelo de seguridad. • Se debe desarrollar un programa de cómo ejecutar la medición de la seguridad de la información. • Para ello hay que definir un modelo que estructure los atributos medibles con una entidad relevante. • Debe definir cómo los atributos de una entidad son cuantificados y convertidos a indicadores que provean bases para la toma de decisiones, sustentados en Guzmán, 2009 necesidades de información específica. 12/07/09 06:24 AM 13
  • 14. Al final lo importante no es tanto cuáles son los pasos a seguir para la formulación del modelo como la estimación de qué aspectos son los que se pueden definir. En función de qué se haya estimado existen muchas posibilidades: • Microsoft Threat Modelling • STRIDE/DREAD • TRIKE • AS/NZS 4360 • CVSS • OCTAVE • Magerit • CRAMM Guzmán, 2009 • PTA • ACE Team 12/07/09 06:24 AM 14
  • 15. Este modelo tiene cinco pasos: 1. Identificar los objetivos de seguridad 2. Evaluar el sistema 3. Realizar la descomposición del sistema 4. Identificar las amenazas 5. Identificar las vulnerabilidades Guzmán, 2009 12/07/09 06:24 AM 15
  • 16. Identificar los Objetivos • Los objetivos se pueden clasificar en : • Objetivos de Identidad • Objetivos Financieros • Objetivos de reputación • Objetivos de integridad y confidencialidad • Objetivos de disponibilidad Guzmán, 2009 12/07/09 06:24 AM 16
  • 17. Evaluación del sistema • Una vez que se han declarado los objetivos se debe analizar el diseño del sistema para identificar los componentes, los flujos de información y los límites de confianza.  Descomponer el sistema • Implica identificar las características y los módulos con impacto en la seguridad que deben ser evaluados. Guzmán, 2009 12/07/09 06:24 AM 17
  • 18. Identificar las amenazas • Se parte del hecho de que es imposible identificar amenazas que no son conocidas. Por lo tanto, concentrándose en los riesgos conocidos, se realiza una identificación basada en el empleo de herramientas de BugTraq. Guzmán, 2009 12/07/09 06:24 AM 18
  • 19. Identificar las amenazas • Además de saber qué tipo de amenaza es el que se puede identificar, es preciso clasificar quién es el posible atacante. Se propone la siguiente clasificación: • Descubrimiento accidental • Malware automático • Atacante curioso • Script Kiddies Guzmán, 2009 • Atacante Motivado • Crimen organizado 12/07/09 06:24 AM 19
  • 20. STRIDE es una metodología para identificar amenazas conocidas. Establece seis categorías: • Spoofing Identity • Tampering with Data • Repudiation • Information Disclosure • Denial of service Guzmán, 2009 • Elevation of privilege 12/07/09 06:24 AM 20
  • 21. DREAD es un modelo que permite establecer un grado de riesgo que permite ordenar los riesgos mediante la evaluación de cinco categorías.  Propone una expresión que se traduce en un índice: ( DAMAGE + REPRODUCTIBILITY + EXPLOTABILITY + AFFECTED USER + DISCOVERABILITY ) Risk _ Dread = Guzmán, 2009 5 12/07/09 06:24 AM 21
  • 22. Damage Potential Si la amenaza se materializa, ¿cuánto daño puede causar? • 0 = Nothing • 5 = Individual user data is compromised or affected. • 10 = Complete system or data destruction  Reproducibility ¿Cómo de facil es reproducir el exploit? • 0 = Very hard or impossible, even for administrators of the application. • 5 = One or two steps required, may need to be an authorized user. • 10 = Just a web browser and the address bar is sufficient, without authentication.  Exploitability ¿Qué se necesita para materializar la amenaza? • 0 = Advanced programming and networking knowledge, with custom or advanced attack tools. • 5 = Malware exists on the Internet, or an exploit is easily performed, using available attack tools. • 10 = Just a web browser  Affected Users ¿Cuántos usuarios se ven afectados? • 0 = None • 5 = Some users, but not all • 10 = All users  Discoverability ¿Cómo de facil es descubrir esta amenaza? Guzmán, 2009 • 0 = Very hard to impossible; requires source code or administrative access. • 5 = Can figure it out by guessing or by monitoring network traces. • 9 = Details of faults like this are already in the public domain and can be easily discovered using a search engine. • 10 = The information is visible in the web browser address bar or in a form. 12/07/09 06:24 AM 22
  • 23. Es un modelo similar al propuesto desde Microsoft.  Existen sin embargo diferencias. TRIKE propone una aproximación a la descripción del riesgo que no aúna los ataques, las amenazas y las vulnerabilidades.  Al contrario, permite distinguir unos de otros construyendo un sistema experto para toma de Guzmán, 2009 decisiones. 12/07/09 06:24 AM 23
  • 24. El Australian/New Zealand Standard es simple, muy flexible e iterativo .  Proporciona una serie de conjuntos de tablas de riesgos como ejemplos, pero permite desarrollar y adaptar su propio modelo a las organizaciones.  El modelo se resume en cinco puntos. • Establecer el contexto • Identificar los riesgos • Analizar los riesgos • Evaluar los riesgos Guzmán, 2009 • Habilitar contramedidas. 12/07/09 06:24 AM 24
  • 25. El departamento de Homeland Security (DHS) del gobierno de EEUU estableció que el denominado grupo “NIAC Vulnerability Disclosure Working Group”, que incorporaba a Cisco Systems, Symantec, ISS, Qualys, Microsoft, CERT/CC y eBay.  Uno de los resultados de este grupo ha sido el Guzmán, 2009 CVSS – Common Vulnerability Scoring System 12/07/09 06:24 AM 25
  • 26. CVSS no es un modelo en sí, sino que permite normalizar las notificaciones de seguridad asignándole una métrica única a las amenazas descubiertas.  La definición de la métrica es muy compleja y su cálculo implica tener en cuenta factores software y de entorno.  La evaluación de estos factores obliga a utilizar una tabla para determinar el grado de criticidad de las amenazas conocidas.  De hecho la sobrecarga que supone calcular el índice CVSS sobre una aplicación determinada aumenta Guzmán, 2009 factorialmente con cada amenaza que se estima. 12/07/09 06:24 AM 26
  • 27. CVSS no encuentra ni reduce la superficie de ataque.  Tampoco enumera los riesgos para una programa determinado.  Lo que proporciona es una aproximación técnica, estandarizada, abierta y ordenada de una vulnerabilidad específica. Guzmán, 2009 12/07/09 06:24 AM 27
  • 28. http://nvd.nist.gov/cvss.cfm?calculator&adv  http://jvnrss.ise.chuo-u.ac.jp/jtg/cvss/es/CVSSv2.html  http://www.security-database.com/cvss.php#AV  Ejemplo de vulnerabilidades: • CVE-2009-1301 • CVE-2009-1279 Guzmán, 2009 12/07/09 06:24 AM 28/38
  • 29. Se trata de un modelo muy complejo originario de la Carnagie Mellon University en colaboración con el CERT.  Se centra en la evaluación del riesgo organizativo y no técnico.  Aunque útil en la gestión de grandes organizaciones es demasiado costoso y no proporciona medidas para mitigar los efectos de las amenazas. Es más Guzmán, 2009 bien un decálogo de buenas costumbres. 12/07/09 06:24 AM 29
  • 30. Se trata de una metodología promovida por el CSAE (Consejo Superior de administración electrónica) que persigue una aproximación metódica al análisis de riesgos.  Se trata por tanto de una metodología para auxiliar en tarea de toma de decisiones en entornos críticos. Guzmán, 2009 12/07/09 06:24 AM 30
  • 31. Los objetivos de la aplicación de este modelo son: • Concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo • Ofrecer un método sistemático para analizar tales riesgos • Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control • Apoyar la preparación a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso  Su aplicación se estructura en cinco niveles: • Modelo de valor • Modelo de riesgos • Estado de los riesgos • Informe de insuficiencias Guzmán, 2009 • Plan de seguridad 12/07/09 06:24 AM 31
  • 32. http://www.ar-tools.com/index.html?tools/pilar/index.html Guzmán, 2009 12/07/09 06:24 AM 32
  • 33. CRAMM - (CCTA (Central Computer and Telecommunications Agency) Risk Analysis and Management Method) • Propuesta creada por la CCTA de Reino Unido. • Actualmente está en su quinta versión • Está estructurada en tres etapas • Cada etapa está estructurada por unos cuestionarios que permiten identificar y analizar los riesgos del sistema. La Guzmán, 2009 última etapa propone contramedidas para los riesgos. 12/07/09 06:24 AM 33/38
  • 34. Etapa 1: Establecimiento de objetivos • Definir los límites del estudio. • Identificar y valorar los activos del sistema. • Determinar el valor de los datos del sistema a través de entrevistas con el personal acerca del potencial daño empresarial que tendría la falta de disponibilidad, su destrucción, falta de confidencialidad o su modificación. Guzmán, 2009 • Identificar y valorar los activos software del sistema. 12/07/09 06:24 AM 34/38
  • 35. Etapa 2: Evaluación de riesgos • Identificar y valorar el tipo y nivel de amenazas que podrían afectar al sistema. • Evaluar la exposición del sistema frente a estas amenazas. • Combinar ambos aspectos con la valoración de los activos para determinar una medida del riesgo. Guzmán, 2009 12/07/09 06:24 AM 35/38
  • 36. Etapa 3: Identificación y Selección de contramedidas • Se propone una librería de contramedidas agrupadas en 70 grupos lógicos para facilitar su aplicación. http://www.cramm.com/files/techpapers/CRAMM%20Counte Guzmán, 2009 12/07/09 06:24 AM 36/38
  • 37. El Practical Threat Analysis propone una suite para la elaboración de modelos de gestión de riesgos y permite estimar un nivel de seguridad a partir de la información incluida en cada proyecto. Guzmán, 2009 12/07/09 06:24 AM 37
  • 38. La realización del modelo conlleva, como en casos anteriores una serie de fases: • Establecer los prerrequisitos del modelo • Establecer lista de etiquetas • Identificar los recursos del sistema • Identificar las vulnerabilidades del sistema • Identificar las contramedidas • Identificar a los atacantes potenciales • Identificar los potenciales puntos de entrada del sistema. • Construir los escenarios de amenazas y los planes de mitigación Guzmán, 2009 • Estudiar los resultados. 12/07/09 06:24 AM 38
  • 39. El ACE Team (Application Consulting & Engineering Team) es parte de InfoSec en Microsoft y los encargados de desarrollar un modelo de gestión de riesgos. http://blogs.msdn.com/threatmodeling/ Guzmán, 2009 12/07/09 06:24 AM 39
  • 40. Se propone una metodología para la extracción de un modelo de gestión de riesgos: • Identificar los objetivos de negocio • Definir perfiles de usuario • Definir datos • Definir los controles de acceso a datos • Generar los cases para cada usuario • Definir componentes, servicios e identidades • Detallar las llamadas de y desde el sistema. • Generar y evaluar las amenazas (Attack Library) Guzmán, 2009 • Identificar la relevancia de cada componente • Remarcar las contramedidas. 12/07/09 06:24 AM 40
  • 41. Attack Library • Esta diseñada para: • Disponer del mínimo de información. • Transmitir la relación del exploit, la causa y la contramedida. • Ser accesible para que la especificación de ataques no suponga la presencia de un técnico avanzado en seguridad. • Entender cómo probar el exploit • Entender cómo reconocer una vulnerabilidad Guzmán, 2009 • Entender cómo implementar contramedidas http://channel9.msdn.com/wiki/securitywiki/inputvalidationtrainingm 12/07/09 06:24 AM 41
  • 42. Ejemplos de Attack Library  Vandalism • Threat – Denial of Service due to damage of the machine Attack – Damage through blunt weapon attacks Vulnerability - Machines made of mostly plastic parts Mitigation - Use Cast Iron parts Vulnerability - Exposed telephone style button Mitigation – Use recessed buttons Attack - Damage through vehicle intrusions Vulnerability - ATM exposed in outdoor settings Mitigation – Recess ATM behind wall with only interop panel exposed Install Secura-Posts in front of ATMs  Skimming • Threat – exposure of ATM card/account data due to the presence of skimming devices on machines Attack-Skimming device placed over card reader slot Vulnerability – User cannot tell when a skimming device is present Mitigation – place an LCD screen along edge of card slot. When user inserts card, ask user to enter code displayed on LCD. If the user cannot see the LCD, skimming device present, notify Guzmán, 2009 bank personnel 12/07/09 06:24 AM 42
  • 43. DEMO–TAM (Threat Analysis & Modeling Tool) http://msdn.microsoft.com/en-us/security/aa570413.aspx Guzmán, 2009 12/07/09 06:24 AM 43
  • 44. Es necesario definir un modelo de evaluación de riesgos  Los modelos existentes sólo permiten evaluar amenazas conocidas. Esta evaluación se puede hacer de forma cualitativa o cuantitativa.  Una parte clave de estos modelos es la definición de una métrica que permita evaluar el nivel de seguridad de un sistema.  En la definición de esta métrica es preciso evaluar las vulnerabilidades y, en eso de nuevo, hay dos posibilidades: una cuantitativa (más costosa) y otra Guzmán, 2009 cualitativa (menos precisa y objetiva). 12/07/09 06:24 AM 44
  • 45. http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail  http://alerta-antivirus.red.es/docs/analisis_ISO-27001.pdf  http://www.owasp.org/index.php/Threat_Risk_Modeling  http://www.first.org/cvss/cvss-guide.pdf  www.cert.org/archive/pdf/01tr016.pdf  http://www.ptatechnologies.com/Documents/PTA_for_Software.do  http://www.cramm.com/  http://www.csi.map.es/csi/pg5m20.htm  http://blogs.msdn.com/threatmodeling/ Guzmán, 2009 12/07/09 06:24 AM 45