Implementacion_-_Sistema_de_gestion_de_la_seguridad_de_la_informacion.pdf - Gu\u00eda Metodol\u00f3gica de Pruebas de Efectividad Gu\u00eda No 1 HISTORIA VERSI\u00d3N

Implementacion_-_Sistema_de_gestion_de_la_seguridad_de_la_informacion.pdf

This preview shows page 1 out of 568 pages.

Unformatted text preview: Guía Metodológica de Pruebas de Efectividad Guía No. 1 HISTORIA VERSIÓN FECHA 1.0 06/05/2016 CAMBIOS INTRODUCIDOS Versión inicial del documento TABLA DE CONTENIDO PÁG DERECHOS DE AUTOR................................................................................... 4 AUDIENCIA ....................................................................................................... 5 INTRODUCCIÓN .............................................................................................. 6 JUSTIFICACIÓN ............................................................................................... 7 GLOSARIO........................................................................................................ 8 OBJETIVOS ...................................................................................................... 9 METODOLOGÍA DE PRUEBAS DE EFECTIVIDAD ....................................... 10 ALCANCE ....................................................................................................... 11 1. LEVANTAMIENTO DE INFORMACION ............................................. 12 1.1 Revisiones Manuales ......................................................................... 12 1.2 Identificación de Amenazas ............................................................... 13 2. PRUEBAS Y ANALISIS ...................................................................... 14 2.1 Tipos de Pruebas de Efectividad ........................................................ 15 2.2 Alcance de las Pruebas ...................................................................... 15 2.3 Procedimiento de Ejecución de Pruebas de Efectividad .................... 16 2.3.1 Contextualización ............................................................................... 16 2.3.2 Reconocimiento del Objetivo .............................................................. 17 2.3.3 Modelado de Amenazas..................................................................... 19 2.3.4 Análisis de Vulnerabilidades .............................................................. 20 2.3.5 Explotación ......................................................................................... 22 2.3.6 Reporte .............................................................................................. 24 3. INFORMES Y RECOMENDACIONES ............................................... 27 3.1 Informes ............................................................................................. 27 1 DERECHOS DE AUTOR Todas las referencias a los documentos del Modelo de Seguridad y Privacidad de la Información, con derechos reservados por parte del Ministerio de Tecnologías de la Información y las Comunicaciones, a través de la estrategia de Gobierno en Línea. Todas las referencias a las políticas, definiciones o contenido relacionado, publicadas en la norma técnica colombiana NTC ISO/IEC 27000 vigente, así como a los anexos con derechos reservados por parte de ISO/ICONTEC. 2 AUDIENCIA Entidades públicas de orden nacional y territorial, así como proveedores de servicios de Gobierno en Línea, y terceros que deseen adoptar el Modelo de Seguridad y Privacidad de la información en el marco de la Estrategia de Gobierno en Línea. 3 INTRODUCCIÓN El Ministerio de Tecnologías de la Información y las Comunicaciones - MinTIC, es la entidad encargada de diseñar, adoptar y promover las políticas, planes, programas y proyectos del sector de las Tecnologías de la Información y las Comunicaciones. En este sentido, dentro del marco de la estrategia de gobierno en línea, se ha elaborado el modelo de seguridad y privacidad de la información, el cual a lo largo de los últimos años se ha ido actualizando en función de las modificaciones de la norma técnica que le sirve de sustento: ISO 27001, así como las mejores prácticas y cambios normativos de impacto sobre el modelo. A su turno el Modelo de Seguridad y Privacidad de la Información se encuentra alineado con el Marco de Referencia de Arquitectura TI y soporta transversalmente los otros componentes de la Estrategia: TIC para Servicios, TIC para Gobierno Abierto y TIC para Gestión. 4 JUSTIFICACIÓN El Ministerio de las Tecnologías de la Información y las Comunicaciones, en concordancia con las actividades de la estrategia de gobierno en línea y con la implementación del modelo de seguridad y privacidad de la información, pone a disposición de las entidades, la siguiente guía, para que puedan tener una línea base durante los análisis en el recorrido de la implementación del modelo de seguridad y privacidad, de esta manera ayudar a proteger los bienes, activos, servicios, derechos y libertades dependientes del Estado. 5 GLOSARIO ACTIVO: Cualquier cosa que tenga valor para la organización. [NTC 54111:2006] CONTROL: Medios para gestionar el riesgo, incluyendo políticas, procedimientos, directrices, prácticas o estructuras de la organización que pueden ser de naturaleza administrativa, técnica, de gestión o legal. SEGURIDAD DE LA INFORMACIÓN. Preservación de la confidencialidad, integridad y disponibilidad de la información, además, otras propiedades tales como autenticidad, responsabilidad, no-repudio y confiabilidad pueden estar involucradas. POLÍTICA. Toda intención y directriz expresada formalmente por la Dirección. RIESGO. Combinación de la probabilidad de un evento y sus consecuencias. [ISO/IEC Guía 73:2002] ANÁLISIS DE RIESGOS. Uso sistemático de la información para identificar las fuentes y estimar el riesgo. [ISO/IEC Guía 73:2002] EVALUACIÓN DE RIESGOS. Todo proceso de análisis y valoración del riesgo. [ISO/IEC Guía 73:2002] VALORACIÓN DEL RIESGO. Proceso de comparación del riesgo estimado frente a criterios de riesgo establecidos para determinar la importancia del riesgo. [ISO/IEC Guía 73:2002] GESTIÓN DEL RIESGO. Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo. [ISO/IEC Guía 73:2002] TRATAMIENTO DEL RIESGO. Proceso de selección e implementación de medidas a para modificar el riesgo. [ISO/IEC Guía 73:2002] 6 OBJETIVOS La presente guía tiene como finalidad, indicar los procedimientos de seguridad que pueden generarse durante el proceso de evaluación en los avances en la implementación del modelo de seguridad y privacidad de la información. Se procura que las entidades tengan un enfoque de seguridad en el cual se incluya el desarrollo y mantenimiento de la misma, realizando mejoras en las áreas que se requiera. Dependiendo de la entidad, dichos procedimientos pueden variar o si la entidad desea puede generar más procedimientos si lo considera conveniente. 7 METODOLOGÍA DE PRUEBAS DE EFECTIVIDAD La metodología de pruebas de efectividad es una serie de actividades, que tienen por finalidad comprobar o medir la eficiencia de la implementación del modelo de seguridad en las entidades. Esta metodología ha sido diseñada para ayudar a las entidades a entender y comprender, la realización de unas pruebas, los objetivos de las mismas y el beneficio que se obtiene al identificar sus etapas y gestionarlas. Esta metodología es desarrollada en diferentes etapas que permiten concluir que tanto ha avanzado la entidad con la implementación del modelo; de esta manera, a través de la valoración de diferentes aspectos se permitirá identificar vulnerabilidades y amenazas a las cuales está expuesta la entidad, así como también posibles debilidades en los controles implementados. Al igual que los demás procedimientos planteados en el modelo de seguridad y privacidad de la información, se busca proteger la disponibilidad, integridad y confidencialidad de la información de la entidad. Un factor externo de mucho impacto, que se alinea con la ejecución de las pruebas de seguridad y privacidad y sus resultados, son los intereses de lo que se denomina Alta Dirección, que para nuestro caso son los directivos de las entidades del estado, estos se ven reflejados en las capacidades de las entidades de llevar a buen término la implementación del modelo de seguridad para dar cumplimiento a la normatividad vigente; así como llevar a la entidad al siguiente nivel de seguridad que permite que sus procesos y atención al ciudadano deje una buena imagen en la sociedad colombiana. 8 ALCANCE La metodología busca desde el primer momento de la ejecución, crear una línea base del estado de seguridad de la entidad, es decir, facilitar la identificación de la brecha en la implementación del modelo de seguridad, entiéndase como línea base la primera medición; las siguientes mediciones darán a la entidad la percepción de seguridad que manifiestan en la implementación del modelo de seguridad. Seguridad de la información como ecosistema tiene varios principios básicos que deberían ser importantes a la hora de hacer pruebas para verificar los avances en la implementación del modelo de seguridad y privacidad, básicamente no existe una bala de plata para los problemas de seguridad que pueda tener una entidad, una evaluación de seguridad si bien es cierto es útil como primera fase, no es efectiva en evaluaciones más profundas que requiera una entidad para mejorar sus niveles de seguridad en todas las áreas; esta es una razón de que la seguridad es un proceso, no un producto. El alcance en la entidad es de total cobertura, dada la orientación del GEL, de la normatividad y demás, la seguridad y privacidad en la entidad debe desarrollarse de manera estratégica, debe tener un ciclo de vida, que permita llegar a las partes más expuestas al riesgo. 9 LEVANTAMIENTO DE INFORMACIÓN En esta fase la entidad debe recopilar la información necesaria para iniciar la actividad, dicha información puede ser organizada por parte del equipo de seguridad de la información de la entidad. La información recogida no solo debe permitir identificar los activos más importantes de la entidad, relacionados con los procesos de la misma, ya sea misionales o de apoyo. También me debe permitir el conocer el contexto de la entidad, es decir, el entorno donde se proyectan los objetivos de la entidad. El grupo de personas que hace la recolección de información, debe reconocer el organigrama de la entidad, mapa de procesos, política de seguridad, manual de políticas, metodología de riesgos, identificación de riesgos, planes de gestión de riesgos, entre otros, esta información es la base para la identificación de la brecha de seguridad que tiene la entidad. En esta fase también se debe identificar los grupos de interés, al interior de la entidad, como lo es control interno, tecnología, recursos humanos, calidad, comunicaciones, GEL, líderes de procesos. •Reunión de inicio - Equipo de Seguridad •Recoleccion de Información •Identificacion de grupos de Interes - Dueños de Procesos. •Mapa de procesos Levantamiento Información de Imagen 1. Levantamiento de Información Para entender mejor esta fase, tenga presente las actividades de revisiones manuales e identificación de amenazas. 9.1 REVISIONES MANUALES Las revisiones son inspecciones manuales que la entidad debe realizar con el objetivo de identificar lo comprendido en seguridad por los servidores públicos, lo realizado en seguridad en los procesos y el estado de las políticas de la entidad; dichas revisiones se hacen analizando la documentación, a través de reuniones con las personas a cargo de estos temas, dueños de los procesos. Esta es una manera efectiva ya que a través de estas inspecciones se consigue identificar el porqué de las implementaciones de seguridad y sus controles en la entidad. Permite comprobar si las personas comprenden los procesos de seguridad, si se ha tomado conciencia de las políticas de seguridad y privacidad que tiene la entidad. 9.2 IDENTIFICACIÓN DE AMENAZAS La identificación de amenazas no es otra cosa que la evaluación del riesgo que se realiza en la entidad, es decir, es la evaluación de las actividades donde se ven involucradas las personas, la infraestructura y los procesos; con el objetivo de identificar las amenazas que se ciernen sobre la entidad. El resultado de estas actividades permite desarrollar planes de mitigación para las vulnerabilidades encontradas, orientar mejor los recursos y la ayuda a las áreas de la entidad que más lo requieren; la búsqueda de estas amenazas debe ser desde que se crean los procesos y durante su ciclo de vida. Estas actividades deben tener un enfoque simple, es decir, descomponer los procesos a través de la evaluación manual, de manera que se sepa cómo funciona y su interrelación con las otras actividades. Definir y clasificar los activos de la entidad, evaluando su criticidad, sus posibles vulnerabilidades técnicas, operacionales y de gestión. Desarrollar una matriz con las amenazas potenciales, con sus vectores de ataque. Elaborar planes de mitigación para cada amenaza real. El resultado de todo esto puede ser una serie de documentos, listas o diagramas, en los cuales se plasma los análisis de riesgo de la entidad y sus planes de mitigación a través de los controles sugeridos Para el levantamiento de la información, se puede apoyar en el instrumento de diagnóstico y seguimiento que ha puesto a disposición de las entidades el Ministerio TIC. 10 PRUEBAS Y ANÁLISIS En esta fase las entidades deben identificar los riesgos que se manifiestan a través de las debilidades en la implementación del modelo de seguridad y privacidad de la información y las vulnerabilidades que se presentan por la falta de controles de seguridad, que mitiguen los riesgos. Estas pruebas están orientadas a evaluar la estructura de seguridad en la entidad. Para esto las entidades deben revisar varios frentes de trabajo, como son el anexo A de la ISO 27001:2013, el ciclo de vida de la seguridad (PHVA), el nivel de madurez de la entidad de acuerdo a los niveles expuestos en el modelo de seguridad y privacidad y recomendaciones para que la entidad llegue a plasmar el concepto de Ciberseguridad. •Reunión de inicio - Equipo de Seguridad •Recoleccion de Información •Identificacion de grupos de Interes - Dueños de Procesos. •Mapa de procesos Pruebas y Análisis •Validacion del Anexo A 2701:2013 •Nivel de madurez de la entidad. •Evaluacion de los Riesgos •Evaluacion de Controles •Ciberseguridad Levantamiento de Información Imagen 2. Componentes de Levantamiento de Información y Pruebas y Análisis Las pruebas de vulnerabilidad en resumen son unas técnicas empleadas para comprobar la seguridad de una entidad. Las pruebas son esencialmente las pruebas sobre aplicaciones, procesos y usuarios para encontrar vulnerabilidades. Actualmente se encuentran diferentes técnicas y el cuándo usarlas, las cuales son necesarias para tener un marco de referencia del nivel de seguridad que estoy evaluando; así como tampoco hay una sola técnica que cubra todas las comprobaciones necesarias para evaluar todo lo requerido por la entidad. Una orientación objetiva al realizar la evaluación, le permite a la entidad de manera equitativa realizar actividades manuales como pruebas técnicas; esto dará como resultado la posibilidad de una comprobación completa de lo avanzado en la implementación del modelo de seguridad y privacidad. Para entender mejor esta fase, tenga presente las siguientes recomendaciones metodológicas con las cuales se busca proteger la disponibilidad, integridad, y confidencialidad de la información. 10.2 TIPOS DE PRUEBAS DE EFECTIVIDAD Pueden realizarse 3 tipos de pruebas de efectividad, basados en el nivel de conocimiento del entorno o infraestructura de la entidad objetivo: 10.3 Pruebas Con Conocimiento Nulo Del Entorno: Es un tipo de prueba que simularía a un atacante real, ya que se basa en que tiene muy poco o nulo conocimiento del objetivo o su infraestructura. Pruebas Con Conocimiento Medio Del Entorno: Es cuando para la prueba de pentesting, se tiene más información sobre el ambiente que será atacado, es decir, direcciones IP, sistemas operativos, arquitectura de red etc… pero es información de igual manera limitada o media. Esto emula a alguna persona dentro de la red con conocimiento básico de la misma. Pruebas Con Conocimiento Completo Del Entorno: Es cuando el hacker tiene toda la información relacionada al sistema objetivo del ataque. Es generalmente para temas de auditoría. ALCANCE DE LAS PRUEBAS Deben existir reglas específicas para la ejecución de las pruebas de efectividad técnicas, para asegurar que dichas actividades no incurran en fallas mayores y se pueda afectar la infraestructura o las operaciones de la entidad. Dentro del alcance se pueden definir los siguientes aspectos: 1. Plan De Trabajo: Debe definirse durante cuánto tiempo se realizarán las pruebas, los sistemas que harán parte de las pruebas, las actividades específicas, los procedimientos de contingencia en caso de alguna afectación etc…. 2. Insumos: Que recursos son necesarios para realizar las actividades: Personal adicional, ventanas de tiempo, equipos etc… 3. Responsables: Quienes serán los encargados de efectuar las pruebas (sean proveedores o funcionarios de la entidad). 4. Afectaciones Posibles: El tipo de afectación que puede llegar a darse sobre cada sistema, también debe definirse si el objetivo es realizarlo en horario de producción o en horario de baja actividad laboral. 5. Multas o Sanciones: En caso de incumplir los parámetros anteriormente mencionados, deberán fijarse las sanciones disciplinarias o multas. Estos alcances permitirán bien sea controlar internamente el desarrollo de las pruebas, como manejar los acuerdos de servicio con terceros que pueden llegar a realizar estos procedimientos. 10.4 PROCEDIMIENTO DE EJECUCIÓN DE PRUEBAS DE EFECTIVIDAD Las pruebas de efectividad pueden realizarse por medio de las siguientes acciones de manera secuencial: CONTEXTUALIZACIÓN REPORTE POSTEXPLOTACIÓN RECONOCIMIENTO DEL OBJETIVO MODELADO DE AMENAZAS EXPLOTACIÓN EVALUACIÓN DE VULNERABILIDADES Imagen 3. Ciclo para la Ejecución de Pruebas de Efectividad Técnicas 10.4.1 Contextualización Esta fase se basa en identificar los alcances reales de las pruebas y de los procedimientos a ejecutar con base a las necesidades identificadas: Dicha identificación de necesidades, puede darse por medio de las siguientes preguntas. a. b. c. d. e. f. g. h. ¿Cuáles serán los objetivos a evaluar? ¿Qué quiere alcanzar la entidad específicamente con estas pruebas? ¿Si desea realizarlo en horas hábiles, no hábiles o fines de semana? ¿Qué direcciones IP internas o externas serán objetivo de las pruebas (Si aplica)? En caso de poderse vulnerar el sistema, que tipo de acciones posteriores solicita realizar (Pueden ser pruebas de vulnerabilidades en la máquina comprometida, escalamiento de privilegios etc) Fechas de inicio y finalización de las actividades ¿Se incluirán temas de ingeniería social? ¿Qué temas de ingeniería social pueden ser válidos para ejecutar estos procedimientos? Además de lo anterior, es importante tener en cuenta que estas pruebas no tienen como objetivo identificar solamente una vulnerabilidad sobre un sistema específico o algún sistema desactualizado, sino que la meta principal es identificar los riesgos de seguridad de la información a través de los controles que serán evaluados a través de las pruebas, para así tomar las medidas proactivas/preventivas para mitigar los riesgos encontrados. Otros aspectos importantes para la contextualización del procedimiento son las siguientes: Establecer líneas de comunicación con los administradores de cada sistema a evaluar. Reportes parciales de avance de las pruebas con una frecuencia definida. Manejo de evidencias o soportes de las actividades. Un punto final a tener en cuenta, es que estas pruebas también deben medir la efectividad de un sistema de monitoreo o detección, es decir, si se están realizando actividades de escaneo, ataques, infiltración, alteración de la información, exista una respuesta eficaz. 10.4.2 Reconocimiento del Objetivo Una vez se definen los alcances y necesidades, se procede con la fase de reconocimiento. Esta fase tiene por objetivo obtener tanta inf...
View Full Document

  • Left Quote Icon

    Student Picture

  • Left Quote Icon

    Student Picture

  • Left Quote Icon

    Student Picture