nist

Guideline on Network Security

Testing

RODOLFO JOSE CAÑAS CERVANTES


Testing

El Instituto Nacional de Normas yTecnología (NIST por sus siglas en inglés, NationalInstitute of Standards and Technology), han dado aconocer un documento denominado como GuíaTécnica para Pruebas de Información de Seguridad yEvaluación que aborda y abarca metodologías depruebas de penetración de la red en un nivel alto .

http://www.pen-tests.com/nist-guideline-in-network-security-testing.html

http://www.pen-tests.com/nist-guideline-in-network-security-testing.html


Testing

Seguridad Informática

La seguridad informática o seguridad de tecnologías de la información es el

área de la informática que se enfoca en la protección de la infraestructura

computacional y todo lo relacionado con esta y, especialmente, la

información contenida o circulante.


Testing

¿De Quien nos Protegemos?

Ataque

Acceso

Remoto


Testing


Testing

Políticas de Seguridad Informática Según el Estado Colombiano


Testing

Security Testing and the System Development Life Cycle

Evaluación de la seguridad del sistema puede y debe llevarse a cabo en diferentes etapas de desarrollo del sistema. Las actividades de evaluación de seguridad incluyen, pero no se limitan a , la evaluación de riesgos , la certificación y la acreditación ( C & A) , auditorías de sistemas, y las pruebas de seguridad en períodos adecuados durante el ciclo de vida de un sistema. Estas actividades están dirigidas a garantizar que el sistema está siendo desarrollado y operado de acuerdo con la política de seguridad de una organización


Testing


• Iniciación: El sistema se describe en términos de su propósito, misión , y la configuración.

• Desarrollo y Adquisición: El sistema está , posiblemente, contratados y construidos de acuerdo con los procedimientos y requisitos documentados .

• Implementación e instalación: El sistema está instalado e integrado con otras aplicaciones , por lo general en una red.

• Operacional y Mantenimiento: El sistema es operado y mantenido de acuerdo a sus requisitos de la misión .

• Eliminación: Ciclo de vida del sistema es completo y se desactiva y se retira de la red y el uso activo.


Testing



Testing

Implementation Stage

Durante la etapa de implementación, pruebas deseguridad y evaluación deben llevarse a cabo endeterminadas partes del sistema y de todo elsistema en su conjunto. Prueba y Evaluación deSeguridad (ST&E) es un examen o análisis de lasmedidas de protección que se colocan en un sistemade información una vez que esté plenamenteintegrado y operativo


Testing

Implementation Stage Steps

• Destape diseño, implementación y fallas operativas que podría permitir la violación de la política de seguridad

• Determinar la adecuación de los mecanismos de seguridad, garantías y otras propiedades para hacer cumplir la política de seguridad

• Evaluar el grado de coherencia entre la documentación del sistema y su implementación.


Testing

Operational Stage

Una vez que el sistema está en funcionamiento, es importante para determinar su estado de funcionamiento , es decir, si un sistema es operado de acuerdo a sus requerimientos de seguridad actuales . Esto incluye tanto las acciones de las personas que operan o utilizan el sistema y el funcionamiento de los controles técnicos.


Testing

Documenting Security Testing Results

Pruebas de seguridad proporciona información sobre las otras actividades del ciclo de vida de desarrollo de sistemas , tales como el análisis de riesgos y planes de contingencia . Resultados de las pruebas de seguridad deben documentarse y ponerse a disposición del personal que participa en otra de TI y las áreas relacionadas con la seguridad .


Testing

Roles and Responsibilities

Dado que las pruebas de seguridad proporciona aportaciones o puede ser parte de múltiples fases del ciclo de vida de desarrollo de sistemas , un número de personal de TI y la seguridad del sistema puede estar interesado en su ejecución y resultado.


Testing

Senior IT Management/Chief Information Officer (CIO)

La Gestión Senior IT / CIO asegura que la postura de seguridad de la organización esadecuada. La Alta Dirección de TI proporciona servicios de dirección y asesoramientopara la protección de los sistemas de información para toda la organización

La Gestión Senior IT / CIO es responsable de las siguientes actividades que estánasociadas con las pruebas de seguridad :• Coordinar el desarrollo y el mantenimiento de políticas de la organización de

seguridad de información , normas y procedimientos ,• Garantizar el establecimiento de , y el cumplimiento de los procesos de evaluación

de la seguridad consistentes en toda la organización , y• Participar en el desarrollo de procesos para la toma de decisiones y la priorización

de los sistemas de pruebas de seguridad .


Testing

Information Systems Security Program Managers (ISSM)

Los Information Systems Security Program Managers (ISSMs) supervisan la aplicacióny el cumplimiento de las normas, reglas y regulaciones especificadas en la política deseguridad de la organización. Los ISSMs son responsables de las siguientesactividades asociadas con las pruebas de seguridad :

• Desarrollar e implementar procedimientos operativos estándar (política deseguridad )

• El cumplimiento de las políticas de seguridad , normas y requisitos , y asegurarque los sistemas críticos son identificadas y programadas para pruebas periódicasde acuerdo con los requisitos de la política de seguridad de cada sistemarespectivo .


Testing

Information Systems Security Officers (ISSO)

Son responsables de la supervisión de todos los aspectos de seguridad de la información dentro de una entidad organizativa específica. Se aseguran de que las prácticas de seguridad de la información de la organización cumplan con las políticas organizacionales y departamentales , normas y procedimientos.

• Desarrollo de normas de seguridad y procedimientos de su área de responsabilidad,

• Cooperación en el desarrollo e implementación de herramientas y mecanismos de seguridad

• El mantenimiento de los perfiles de configuración de todos los sistemas controlados por la organización, incluyendo pero no limitado a, ordenadores centrales, sistemas distribuidos, microordenadores, y marcar los puertos de acceso

• Mantener la integridad operacional de los sistemas mediante la realización de pruebas y la garantía de que los profesionales de TI designados están llevando a cabo pruebas programadas en sistemas críticos.


Testing

System and Network Administrators

Del sistema y de la red los administradores deben responder a las necesidades deseguridad del sistema específico para el que son responsables sobre una base diaria.Las cuestiones de seguridad y soluciones pueden provenir de cualquiera de fuera (porejemplo, parches de seguridad y correcciones de los equipos de respuesta a incidentesde proveedores o de seguridad informática) o dentro de la organización (por ejemplo ,la Oficina de Seguridad). Los administradores son responsables de las siguientesactividades asociadas con las pruebas de seguridad :• Seguimiento integridad del sistema, los niveles de protección , y eventos

relacionados con la seguridad ,• Resolviendo detectado anomalías de seguridad asociados a los recursos del sistema

de información ,• Realizar pruebas de seguridad según sea necesario , y• La evaluación y la verificación de las medidas de seguridad implementadas


Testing

Managers and Owners

Los gestores y los propietarios de un sistema supervisan el cumplimiento total de sus activos con sus requisitos de seguridad definidos/identificados. También son responsables de asegurar que los resultados de las pruebas y las recomendaciones que se adopten en su caso .


Testing

Bibliografía

http://www.albany.edu/acc/courses/acc661/spring2004/NIST-SP800-42.pdf

http://mosquera-cundinamarca.gov.co/apc-aa-files/38373535633130326430633438646134/poltica-de-seguridad-de-la-informacin.pdf

http://www.albany.edu/acc/courses/acc661/spring2004/NIST-SP800-42.pdf

http://mosquera-cundinamarca.gov.co/apc-aa-files/38373535633130326430633438646134/poltica-de-seguridad-de-la-informacin.pdf

nist

Documents

pruebas de seguridad

poltica de seguridad

seguridad de tecnologas

seguridad yevaluacin

mecanismos de seguridad

sistema est instalado

pruebas de informacin

actividades de evaluacin