ISO 27002.es

El portal de ISO 27002 en Español


Enlace Apadrinado

Video Info

12. Seguridad en la Operativa

El objetivo es controlar la existencia de los procedimientos de operaciones y el desarrollo y mantenimiento de documentación actualizada relacionada.


Adicionalmente, se debería evaluar el posible impacto operativo de los cambios previstos a sistemas y equipamiento y verificar su correcta implementación, asignando las responsabilidades correspondientes y administrando los medios técnicos necesarios para permitir la segregación de los ambientes y responsabilidades en el procesamiento.


Con el fin de evitar potenciales amenazas a la seguridad del sistema o a los servicios del usuario, sería necesario monitorear las necesidades de capacidad de los sistemas en operación y proyectar las futuras demandas de capacidad.


El control de la realización de las copias de resguardo de información, así como la prueba periódica de su restauración permiten garantizar la restauración de las operaciones en los tiempos de recuperación establecidos y acotar el periodo máximo de pérdida de información asumible para cada organización.


Se deberían definir y documentar controles para la detección y prevención del acceso no autorizado, la protección contra software malicioso y para garantizar la seguridad de los datos y los servicios conectados a las redes de la organización.


Finalmente, se deberían verificar el cumplimiento de las normas, procedimientos y controles establecidos mediante auditorías técnicas y registros de actividad de los sistemas (logs) como base para la monitorización del estado del riesgo en los sistemas y descubrimiento de nuevos riesgos.



Objetivo de control


Objetivo

El objetivo es evitar el acceso físico no autorizado, los daños e interferencias a la información de la organización y las instalaciones de procesamiento de la información.


12.1 Responsabilidades y procedimientos de operación

Asegurar la operación correcta y segura de los medios de procesamiento de la información mediante el desarrollo de los procedimientos de operación apropiados.


Se deberían establecer las responsabilidades y procedimientos para la gestión y operación de todos los medios de procesamiento de la información.


Se debería implantar la segregación de tareas, cuando sea adecuado, para reducir el riesgo de un mal uso del sistema deliberado o por negligencia.


Actividades de control del riesgo

12.1.1 Documentación de procedimientos de operación: Se deberían documentar los procedimientos operativos y dejar a disposición de todos los usuarios que los necesiten.


12.1.2 Gestión de cambios: Se deberían controlar los cambios que afectan a la seguridad de la información en la organización y procesos de negocio, las instalaciones y sistemas de procesamiento de información.


12.1.3 Gestión de capacidades: Se debería monitorear y ajustar el uso de los recursos junto a proyecciones necesarias de requisitos de capacidad en el futuro con el objetivo de garantizar el rendimiento adecuado en los sistemas.


12.1.4 Separación de entornos de desarrollo, prueba y producción: Los entornos de desarrollo, pruebas y operacionales deberían permanecer separados para reducir los riesgos de acceso o de cambios no autorizados en el entorno operacional.


Métricas asociadas

Métricas de madurez de procesos TI relativos a seguridad, tales como el semiperiodo de aplicación de parches de seguridad (tiempo que ha llevado parchear al menos la mitad de los sistemas vulnerables -esta medida evita la cola variable provocada por los pocos sistemas inevitables que permanecen sin parchear por no ser de uso diario, estar normalmente fuera de la oficina o cualquier otra razón-).


Enlaces a soluciones recomendadas

FFIEC IT operations booklet: Guía del FFIEC (Federal Financial Institutions Examination Council), en inglés, sobre la realización de operaciones TI en una organización. La acompaña una lista de verificación -checklist-, útil para auditar dicho proceso.


FFIEC IT management booklet: Guía del FFIEC (Federal Financial Institutions Examination Council), en inglés, sobre la gestión de TI en una organización. La acompaña una lista de verificación -checklist-, útil para auditar dicho proceso.


DoS! Denial of Service: Guía práctica para el análisis y plan de respuesta a incidentes para ataques DoS de Denegación del Servicio.


Guías NSA de seguridad: NSA desarrolla y distribuye guías para la configuración de una amplia variedad de software, tanto open source como propietario.


Altiris: Herramienta de pago de distribución de paquetes de software en una red.


Enteo: Herramienta de pago de distribución de paquetes de software en una red.


Microsoft SCCM: Herramienta de pago de distribución de paquetes de software en una red.


GMF - GenosOrg: GMF es una implementación de las recomendaciones ITIL (IT Infrastructure Library) para la gestión de servicios de TI (IT Service Management o ITSM). GMF es un producto de software libre distribuido bajo licencia GPL e incluye módulos de gestión de incidencias (Trouble Ticketing), gestión de inventario, gestión del cambio (Change Management), SLA y reporting.


Microsoft Attack Surface Analyzer: Solución para tomar un "snapshot" de nuestro sistema previo a la instalación del software y tras la instalación, comparando ambas para comprobar las modificaciones reales y posibles exposiciones y vulnerabilidades.


OCS: OCS Inventory es una herramienta gratuita de creación automática de inventarios de HW, escaneo de red y distribución de paquetes de software.


Circular RUNOR 1 – 805: Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras.


Ernst&Young: En este documento se plantea un enfoque práctico y basado en riesgos del cumplimiento con la segregación de funciones.


ISACA: La matriz de segregación de funciones ilustra las posibilidades de segregación potencial que se pueden aplicar.


ObserveIT Xpress: Solución software que captura la actividad en cualquier sesión de usuario, incluidas terminales, escritorios remotos, Citrix, VMWare, VNC, NetOP y PC Anywhere. ObserveIT Xpress es una versión completamente free del producto ObserveIT, sin fecha de expiración. La versión free puede monitorizar un máximo de 5 servidores.


Sans: Artículo en el que se analizan los diferentes roles relevantes a la información clave de una organización, el grado de segregación recomendado y las razones para acometer esta segregación.



Objetivo de control


Objetivo

El objetivo es garantizar que la información y las instalaciones de procesamiento de información estén protegidas contra el malware.


12.2 Protección contra código malicioso

El software y los medios de procesamiento de la información son vulnerables a la introducción de códigos maliciosos y se requiere tomar precauciones para evitar y detectar la introducción de códigos de programación maliciosos y códigos con capacidad de reproducción y distribución automática no autorizados para la protección de la integridad del software y de la información que sustentan.


El código malicioso es código informático que provoca infracciones de seguridad para dañar un sistema informático. El malware se refiere específicamente a software malicioso, pero el código malicioso incluye además scripts de sitios web (applets de Java, controles de ActiveX, contenido insertado, plug-ins, lenguajes de scripts u otros lenguajes de programación en páginas web y correo electrónico) que pueden aprovechar vulnerabilidades con el fin de descargar un malware.


El software y los recursos de tratamiento de información son vulnerables a la introducción de software malicioso como virus informáticos, gusanos de la red, caballos de troya y bombas lógicas.


Los usuarios deben estar al tanto de los peligros de los códigos maliciosos como el robo y destrucción de la información o daños e inutilización de los sistemas de la organización.


Combine controles tecnológicos (p. ej., software antivirus) con medidas no técnicas (educación, concienciación y formación).


¡No sirve de mucho tener el mejor software antivirus del mercado si los empleados siguen abriendo e-mails de remitentes desconocidos o descargando ficheros de sitios no confiables!.


Actividades de control del riesgo

12.2.1 Controles contra el código malicioso: Se deberían implementar controles para la detección, prevención y recuperación ante afectaciones de malware en combinación con la concientización adecuada de los usuarios.


Métricas asociadas

Tendencia en el número de virus, gusanos, troyanos o spam detectados y bloqueados. Número y costes acumulados de incidentes por software malicioso.


Enlaces a soluciones recomendadas

Anubis: Servicio on-line para código malicioso (malware). Sube tu fichero Windows ejecutable y recibes un informe de análisis indicándote qué es lo que hace el fichero. Para el análisis de ficheros de Javascript y Flash prueba con Wepawet.


BITDEFENDER: Enfocado en las amenazas cibernéticas activas, el producto usa sólo una parte de los recursos del sistema necesarios para un análisis de virus y no requiere de tiempo para la actualización de firmas de virus, ya que el proceso de detección es ejecutado en los servidores remotos de Bitdefender. Se puede acceder al servicio Quickscan desde cualquier PC conectado a Internet.


Comodo: Servicio de análisis automático de Malware en ficheros de cualquier tipo.


EICAR: European Institute for Computer Antivirus Research dedicado a la seguridad TI y con actividad relevante en soluciones de Malware. Dispone de ficheros inócuos que permiten verificar si sus soluciones antimalware permanecen activas y eficaces.


Appstore security: Utilizando aplicaciones maliciosas se puede acceder fácilmente a datos privados almacenados o procesados por los smartphones como emails confidenciales, datos de ubicación y geoposicionamiento, llamadas telefónicas, mensajes SMS, entre otros. Partiendo de un modelo de amenazas para la tiendas de aplicaciones, este documento identifica 5 líneas de defensa que deben estar establecidas para combatir el malware en las appstores.


EUREKAServicio de análisis automático de Malware en ficheros binarios de Windows.

GMER: GMER es una aplicación que no necesita de instalación y que detecta y elimina código malicioso (rootkit) oculto mediante el escaneo de procesos, módulos, servicios, archivos, sectores de disco (MBR) y drivers que dependen de llamdas SSDT/IDT y IRP del sistema operativo (Windows NT/W2K/XP/VISTA/7).


ISO/IEC 19077-2:2009: Especificaciones para el etiquetado de software con el objeto de optimizar su identificación y gestión. (inglés).


JOTTI: El escáner de viruses de Jotti es un servicio online gratuito con el cual se puede revisar archivos sospechosos mediante diversos programas de antivirus. Los escáneres son de la version Linux y por eso posiblemente tendrán diferencias menores en comparación a los resultados de Windows. El tamaño máximo de los archivos es de 25MB. Favor de tener en cuenta que no habrá una detección de virus a 100%, tampoco en el caso que se usaría varios programas de antivirus (p.ej. este servicio de escáner).


JSUNPACK: A Generic JavaScript Unpacker que permite analizar ficheros PDF, pcap, HTML, JavaScript y URL.


Kaspersky Mobile Security Lite: Solución gratuita disponible desde Android Market que proporciona defensa antirobo, permitiendo bloquear, limpiar o encontrar tu teléfono perdido. Permite también filtrar fácilmente mensajes de texto SMS y llamadas no deseadas. Adicionalmente, el escaner Anti-Virus Lite alerta sobre aplicaciones potencialmente maliciosas antes de que dañen tu teléfono.


Virus Bulletin - VB100: En la selección de un buen AV se debe consultar a los laboratorios que están probando varios antivirus contra las últimas amenazas de malware y comprobar su actualización periódica.


AV-TEST Institute: En la selección de un buen AV se debe consultar a los laboratorios que están probando varios antivirus contra las últimas amenazas de malware y comprobar su actualización periódica.


AV Comparative: En la selección de un buen AV se debe consultar a los laboratorios que están probando varios antivirus contra las últimas amenazas de malware y comprobar su actualización periódica.


Microsoft Security Essentials: Proporciona protección en tiempo real contra virus, spyware y otros tipos de software malintencionado para PCs.


MOBILE SANDBOX: Proporciona un fichero de una aplicación Android (apk-file) y Mobile-Sandbox-System analizará el fichero en busca de un comportamiento malicioso.


NetCop UTM: servidor UTM con sistema operativo integrado. No requiere instalación de software en la parte del cliente. NetCop dispone de funcionalidades de filtrado de contenidos (Content filter), motor de cache (Cache Engine), protección contra Spam, Hotspot, control de ancho de banda. También protege tu red de amenazas del exterior como Virus, SPAM , Troyanos, entre otros.


NoVirusThanks™: Proyecto que se inició en junio de 2008 con el objetivo primordial de la creación de software y servicios relacionados con la seguridad informática y de Internet. Ofrecemos diversos servicios y software para la seguridad y ayudar a los usuarios a defenderse de las amenazas de Internet.


peepdf: Python tool para explorar ficheros PDF y comprobar si puede provocar daños o no. Peedpf proporciona todos los componentes que un investigador necesita para el análisis de PDFs y posibilita ver todos los objetos de un documento mostrando elementos sospechosos en base al uso de la mayoría de los filtros y codificaciones, parseando diferentes versiones de un fichero, streams de objetos y cifrado de ficheros. Junto a la instalación de Spidermonkey y Libemu proporciona análisis de Javascript y shellcode adicionalmente. También es capaz de crear nuevos ficheros PDF y modificar los actuales.


ROOTREPEAL: Aplicación que no necesita instalación con funcionalidades de: Driver Scan (kernel-mode drivers), Files Scan (ocultos, bloqueados o falseados), Processes Scan (en ejecución, ocultos o bloqueados), SSDT Scan (funciones adulteradas en el System Service Descriptor Table (SSDT)), Stealth Objects Scan (rootkits activos según ciertos síntomas típicos), Hidden Services Scan (servicios ocultos), Shadow SSDT Scan (similar a SSDT Scan pero centrado en funciones de interfaz gráfico). Sistemas operativos: Microsoft® Windows 2008 Server; Windows Vista®; Windows XP Professional or Home Edition; Windows 2000 with Service Pack 4; Windows 2003 Server (Nota: Only x86 versions of Windows are supported).


VirSCAN: Servicio GRATUITO de escaneo en línea que chequea los archivos subidos usando los motores antivirus indicados en la lista VirSCAN. Luego de subir el archivo a chequear podés ver los resultados y lo peligroso o inofensivo que es este archivo.


VirusTotal: servicio de análisis de archivos sospechosos que permite detectar virus, gusanos, troyanos, y malware en general. Características: Servicio independiente y gratuito, Uso simultáneo de múltiples motores antivirus, Actualización automática de los motores en tiempo real, Resultados detallados por cada uno de los antivirus, Estadísticas globales en tiempo real.



Objetivo de control


Objetivo

El objetivo es alcanzar un grado de protección deseado contra la pérdida de datos.


12.3 Copias de seguridad

Mantener la integridad y la disponibilidad de los servicios de tratamiento de información y comunicación.


Se deberían establecer procedimientos rutinarios para conseguir la estrategia aceptada de respaldo (consultar 14.1) para realizar copias de seguridad y probar su puntual recuperación.


Implante procedimientos de backup y recuperación que satisfagan no sólo requisitos contractuales sino también requisitos de negocio "internos" de la organización.


Básese en la evaluación de riesgos realizada para determinar cuáles son los activos de información más importantes y use esta información para crear su estrategia de backup y recuperación.


Hay que decidir y establecer el tipo de almacenamiento, soporte a utilizar, aplicación de backup, frecuencia de copia y prueba de soportes.


Aplique técnicas de cifrado a copias de seguridad y archivos que contengan datos sensibles o valiosos (en realidad, serán prácticamente todos porque, si no, ¿para qué hacer copias de seguridad?).


Actividades de control del riesgo

12.3.1 Copias de seguridad de la información: Se deberían realizar y pruebas regulares de las copias de la información, del software y de las imágenes del sistema en relación a una política de respaldo (Backup) convenida.


Métricas asociadas

Porcentaje de operaciones de backup exitosas.


Porcentaje de recuperaciones de prueba exitosas.


Tiempo medio transcurrido desde la recogida de los soportes de backup de su almacenamiento fuera de las instalaciones hasta la recuperación exitosa de los datos en todas ubicaciones principales.


Porcentaje de backups y archivos con datos sensibles o valiosos que están cifrados.


Enlaces a soluciones recomendadas

Cobian backup: Diversas soluciones software freeware para realizar backups de los sistemas.



Objetivo de control


Objetivo

El objetivo es registrar los eventos relacionados con la seguridad de la información y generar evidencias.


12.4 Registro de actividad y supervisión

Los sistemas deberían ser monitoreados y los eventos de la seguridad de información registrados.


El registro de los operadores y el registro de fallas debería ser usado para garantizar la identificación de los problemas del sistema de información.


La organización debería cumplir con todos los requerimientos legales aplicables para el monitoreo y el registro de actividades. El monitoreo del sistema debería ser utilizado para verificar la efectividad de los controles adoptados y para verificar la conformidad del modelo de política de acceso.


El viejo axioma del aseguramiento de la calidad "no puedes controlar lo que no puedes medir o monitorizar" es también válido para la seguridad de la información.


La necesidad de implantar procesos de supervisión es más evidente ahora que la medición de la eficacia de los controles se ha convertido en un requisito específico.


Analice la criticidad e importancia de los datos que va a monitorizar y cómo esto afecta a los objetivos globales de negocio de la organización en relación a la seguridad de la información.


Actividades de control del riesgo

12.4.1 Registro y gestión de eventos de actividad: Se deberían producir, mantener y revisar periódicamente los registros relacionados con eventos de actividad del usuario, excepciones, fallas y eventos de seguridad de la información.


12.4.2 Protección de los registros de información: Se debería proteger contra posibles alteraciones y accesos no autorizados la información de los registros.


12.4.3 Registros de actividad del administrador y operador del sistema: Se deberían registrar las actividades del administrador y del operador del sistema y los registros asociados se deberían proteger y revisar de manera regular.


12.4.4 Sincronización de relojes: Se deberían sincronizar los relojes de todos los sistemas de procesamiento de información pertinentes dentro de una organización o de un dominio de seguridad y en relación a una fuente de sincronización única de referencia.


Métricas asociadas

Porcentaje de sistemas cuyos logs de seguridad (a) están adecuadamente configurados, (b) son transferidos con seguridad a un sistema de gestión centralizada de logs y (c) son monitorizados/revisados/evaluados regularmente.


Tendencia en el número de entradas en los logs de seguridad que (a) han sido registradas, (b) han sido analizadas y (c) han conducido a actividades de seguimiento.


Enlaces a soluciones recomendadas

LINUX Audit Quick Start: La referencia rápida para habilitar auditoría en LINUX le permite registrar y hacer un seguimiento integral de acceso a los archivos, directorios y recursos de su sistema, así como de las llamadas del sistema. Le permite controlar el seguimiento de comportamientos irregulares o mal funcionamiento de las aplicaciones. Mediante la creación de un conjunto de normas que incluyen la auditoría de archivos y llamadas al sistema, usted puede asegurarse de que cualquier violación de sus políticas de seguridad queda registrada y localizada correctamente.


Q1LABS: La referencia rápida para habilitar auditoría en LINUX le permite registrar y hacer un seguimiento integral de acceso a los archivos, directorios y recursos de su sistema, así como de las llamadas del sistema. Le permite controlar el seguimiento de comportamientos irregulares o mal funcionamiento de las aplicaciones. Mediante la creación de un conjunto de normas que incluyen la auditoría de archivos y llamadas al sistema, usted puede asegurarse de que cualquier violación de sus políticas de seguridad queda registrada y localizada correctamente.


SAMHAIN: El sistema de detección de intrusiones basado en host-Samhain (HIDS) proporciona la comprobación de integridad de archivos y registro de monitoreo archivo / análisis, así como la detección de rootkits, supervisión de puertos, detección de ejecutables SUID canallas y procesos ocultos. Samhain sido diseñado para controlar múltiples hosts con potencialmente diferentes sistemas operativos, proporcionando el registro y mantenimiento centralizado, aunque también se puede utilizar como aplicación independiente en un único host.


SPLUNK: Herramienta de monitorización y análisis de datos masivos procedentes de redes, aplicaciones, equipos, etc., que permite detectar y solucionar problemas e incidentes de seguridad con rapidez.


LIRE: Open Source software en entornos Linux/Unix para el análisis y generación de informes sobre los logs y que sirvan como nexo de mejora en la documentación, ideas y el uso de otras aplicaciones de mejora en el mantenimiento de los equipos.


Log2timeline: El principal propósito de la herramienta es proporcionar una única herramienta que inspeccione varios ficheros de logs (p.ej. de diversos sistemas y equipamiento de red) y generar una linea temporal que pueda ser analizada por los analistas y/o forenses.


LOGSURFER: Open Source software en entornos Linux/Unix para la monitorización de logs de sistemas en tiempo real e informe en los eventos registrados.


LOGWATCH: Logwatch es un sistema de análisis para entornos Linux de log personalizable que revisa los logs de los sistemas y los muestra en forma de informe por las áreas analizadas que se hayan especificado. Logwatch es de fácil uso y útil en la mayoría de los sistemas.


MANDIANT: Mandiant dispone de una serie de herramientas gratuitas de monitorización y análisis de sistemas.


OBSERVE IT: Solución software que captura la actividad en cualquier sesión de usuario, incluso en Terminales, Remote Desktop, Citrix, VMWare, VNC, NetOP y PC Anywhere. ObserveIT Xpress es una versión completamente free sin tiempo límite de uso con un máximo de monitorización de 5 servidores.


OSSEC: Sistema de detección de intrusos (IDS) Open Source que realiza análisis de log, comprobación de integridad de ficheros, monitorización de políticas, detección de rootkits y respuesta con alerta activa en tiempo real. Disponible para la mayoría de sistemas opertativos, incluidos Linux, MacOS, Solaris, HP-UX, AIX y Windows.


PAGLO: Paglo es una herramienta bajo demanda que permite que las organizaciones puedan descubrir toda su información TI y obtener respuestas inmediatas a cuestiones relacionadas con sus ordenadores, redes y seguridad.


PATRIOT NG: Patriot es una herramienta 'Host IDS' para la monitorización en tiempo real de cambios en sistemas Windows o ataques de red.


RSYSLOG: Rsyslog es un programa de logging de mensajes que implementa el protocolo basico de syslog y lo extiende agregando filtros, con una configuración flexible. Tiene la capacidad de reenviar via UDP o TCP los mensajes del log a otra maquina.


SHINKEN: Herramienta que puede controlar desde sistemas TI hasta aplicaciones del usuario final. En el caso de detectarse fallos Shinken puede alertar a los responsables de operación para aplicar rápidamente actividades de gestión de incidentes. Tiene las mismas capacidades de Nagios ®, e incluso más avanzadas con funciones integradas tales como monitoreo de la disponibilidad con balanceo de carga alta. Proyecto Open Source disponible para diversos sistemas operativos.


SNARE: El rango de herramientas 'Snare' para la recolección, análisis, informes y archivo de logs de eventos permite habilitar un completo sistema de monitorización y gestión.


SNORT: Snort es una solución de detección y prevención de intrusiones en red (IDS/IPS) open source desarrollada por Sourcefire y que combina los beneficios de la inspección en firmas, protocolos y anomalías. Snort es una de las tecnologías IDS/IPS más ampliamente distribuidas a nivel mundial.


SPICEWORKS: Spiceworks es una solución completa para la monitorización e informes de la gestión de redes, helpdesk, inventario de PCs y de software que permite gestionar todo lo relacionado con TI en organizaciones PYME de medio y pequeño tamaño.


SYSLOG-NG: Syslog-ng Open Source Edition™ es una solución para crear una infraestructura segura, confiable y flexible de gestión logs en las empresas. Inicialmente para entornos LINUX/UNIX dispone actualmente de integración con otros entornos como Windows y desde la versión Open Source se puede acceder a otras versiones más completas y profesionales.


UNIBLUE: Uniblue libre y la biblioteca en línea comprensiva de procesos está para cada uno que necesite saber la naturaleza y el propósito exactos de cada proceso que debe, y no deba, funcionar en su PC.


ZENOSS CORE: Software open source para la monitorización de aplicaciones, redes, servidores y muchos más.


Web Help Desk: Web Help Desk es una herramienta de gestión de soporte a usuarios -incluyendo el registro de incidencias automático vía correo electrónico-, que dispone de una versión gratuita.


NTP POOL PROJECT: Servidores de hora NTP para todo el mundo.


Wikipedia: Enlace con información completa de protocolos de sincronización horaria y enlaces.



Objetivo de control


Objetivo

El objetivo es garantizar la integridad de los sistemas operacionales para la organización.


12.5 Control del software en explotación

Se trata de minimizar los riesgos de alteración de los sistemas de información mediante controles de implementación de cambios imponiendo el cumplimiento de procedimientos formales que garanticen que se cumplan los procedimientos de seguridad y control, respetando la división de funciones.


Verificar que los cambios sean gestionados por personal autorizado y en atención a los términos y condiciones que surjan de la licencia de uso.


Efectuar un análisis de riesgos previo a los cambios en atención al posible impacto por situaciones adversas.


Aplicar los cambios en sistemas de prueba y/o de manera escalonada empezanndo por los sistemas menos críticos ademas de aplicar medidas de backups y puntos de restauración junto a actividades adicionales que permitan retornar los sistemas al estado de estabilidad inicial con ciertas garantías.


Actualizar la documentación para cada cambio implementado, tanto de los manuales de usuario como de la documentación operativa.


Informar a las áreas usuarias antes de la implementación de un cambio que pueda afectar sus operaciones y envolver a usuarios finales en pruebas de aceptación del nuevo estado.


Actividades de control del riesgo

12.5.1 Instalación del software en sistemas en producción: Se deberían implementar procedimientos para controlar la instalación de software en sistemas operacionales.


Métricas asociadas

Número de instalaciones de software realizadas en los sistemas correctas (siguiendo los procedimientos establecidos) versus incorrectas (no siguiendo los procedimientos establecidos).


Estado de cumplimiento de las planificaciones aprobadas para la instalación del software en la organización.


Enlaces a soluciones recomendadas

OCS Inventory NG: OCS Inventory es una herramienta gratuita de creación automática de inventarios de HW, escaneo de red y distribución de paquetes de software.


Genos Open Source: GMF es una implementación de las recomendaciones ITIL (IT Infrastructure Library) para la gestión de servicios de TI (IT Service Management o ITSM). GMF es un producto de software libre distribuido bajo licencia GPL e incluye módulos de gestión de incidencias (Trouble Ticketing), gestión de inventario, gestión del cambio (Change Management), SLA y reporting.


Altiris: Herramienta de distribución de paquetes de software en una red.


Enteo NetInstall: Herramienta de distribución de paquetes de software en una red.


Microsoft System Center Configuration Manager: Herramienta de distribución de paquetes de software en una red.



Objetivo de control


Objetivo

El objetivo es evitar la explotación de vulnerabilidades técnicas.


12.6 Gestión de la vulnerabilidad técnica

Se trata de minimizar los riesgos de alteración de los sistemas de información mediante controles de implementación de cambios imponiendo el cumplimiento de procedimientos formales que garanticen que se cumplan los procedimientos de seguridad y control, respetando la división de funciones.


Verificar que los cambios sean gestionados por personal autorizado y en atención a los términos y condiciones que surjan de la licencia de uso.


Efectuar un análisis de riesgos previo a los cambios en atención al posible impacto por situaciones adversas.


Aplicar los cambios en sistemas de prueba y/o de manera escalonada empezanndo por los sistemas menos críticos ademas de aplicar medidas de backups y puntos de restauración junto a actividades adicionales que permitan retornar los sistemas al estado de estabilidad inicial con ciertas garantías.


Actualizar la documentación para cada cambio implementado, tanto de los manuales de usuario como de la documentación operativa.


Informar a las áreas usuarias antes de la implementación de un cambio que pueda afectar sus operaciones y envolver a usuarios finales en pruebas de aceptación del nuevo estado.


Evite quedarse tan atrás en la rutina de actualización de versiones que sus sistemas queden fuera de soporte por el fabricante.


Pruebe y aplique los parches críticos, o tome otras medidas de protección, tan rápida y extensamente como sea posible, para vulnerabilidades de seguridad que afecten a sus sistemas y que estén siendo explotadas fuera activamente.


Actividades de control del riesgo

12.6.1 Gestión de las vulnerabilidades técnicas: Se debería obtener información sobre las vulnerabilidades técnicas de los sistemas de información de manera oportuna para evaluar el grado de exposición de la organización y tomar las medidas necesarias para abordar los riesgos asociados.


12.6.2 Restricciones en la instalación de software: Se deberían establecer e implementar las reglas que rigen la instalación de software por parte de los usuarios.


Métricas asociadas

Latencia de parcheo o semiperiodo de despliegue (tiempo que ha llevado parchear la mitad de los sistemas vulnerables -evita variaciones circunstanciales debidas a retrasos en unos pocos sistemas, tales como portátiles fuera de la empresa o almacenados-).


Enlaces a soluciones recomendadas

Belarc: Belarc Advisor construye un perfil detallado del software y hardware instalado, el inventario de la red, la falta de revisiones en productos de Microsoft, el estado de anti-virus, puntos de referencia de seguridad, y muestra los resultados en el explorador Web. Toda la información del perfil del PC se mantiene privada y no se envía a servidores de la web.


Backtrack: BackTrack está dirigido a público profesional en la seguridad con más experiencia y a recién llegados al campo de la seguridad de la información. BackTrack promueve una forma rápida y fácil de encontrar y actualizar la base de datos más grande en herramientas de seguridad.


Burp Suite: Plataforma integrada para el desarrollo de test de seguridad de aplicaciones web.


DELL KACE KBox:Solución para pequeñas y grandes empresas con el objetivo de ahorrar tiempo y dedicación en labores de administración TI en la detección y actualización de los equipos conectados de la organización. Disponible diverso material informativo y una versión de prueba de 30 días.


Cloud Cracker: Servicio de cracking de contraseñas para test de penetración y audtitores de red que necesitan chequear la securidad de protecciones WPA2-PSK en redes wireless, crack hashes o romper cifrados de documentos.


DSNIFF: Colección de herramientas de auditoría para redes y de penetración. dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf, y webspy monitorizan la red en busca de datos de interés (passwords, e-mail, files, etc.). arpspoof, dnsspoof, y macof facilitan la intercepción de tráfico de red habitualmente no disponible a un atacante (p.ej. layer-2 switching). sshmitm y webmitm para ataques "monkey-in-the-middle" para redirecciones de sesiones SSH y HTTPS.


ENISA: Directorio con diversas soluciones recopiladas para la comprobación de vulnerabilidades y auditoría de sistemas.


Filehippo: Update Checker revisará el software instalado en tu ordenador, comprobará las versiones y después enviará esta información a FileHippo.com para ver si hay nuevas versiones. Éstas se muestran ordenadamente en tu navegador para que las descargues. Versión gratuita.


FileFuzz: FileFuzz ha sido diseñado para automatizar la creación de formatos de fichero anormales en la ejecución de aplicaciones. FileFuzz dispone adicionalmente de capacidades de debugging para detectar excepciones como resultados de las pruebas.


Fuzzdb: Base de datos con patrones para los casos más habituales de ataque.


GFI: GFI LANguard es una herramienta, en español, que permite hacer gestión de actualizaciones, gestión de vulnerabilidades, auditoría de red y de software, inventario, gestión de cambios y análisis de riesgos y cumplimiento. Versión gratuita para uso no comercial para hasta 5 IPs.


Gizmo's freeware: Enorme repositorio de soluciones técnicas en seguridad.


Google Code: Escáner de vulnerabilidades en aplicaciones web, de Google.


HackArmoury: Repositorio con múltiples herramientas y recursos para pentesting.


INSECURITY RESEARCH: Esta solución de auditoría de intrusión y solución de testeo de software está diseñada para permitir a las organizaciones de cualquier tamaño mitigar, monitorizar y gestionar las últimas vulnerabilidades en seguridad para implantar políticas de seguridad activa mediante la realización de tests de intrusión en si infraestrustura y aplicaciones.


InfosecWriters: Documento de ejemplo, en inglés, de un proceso de análisis de vulnerabilidades para una empresa ficticia.


L0phtcrack: Auditoría de recuperación de password. 15 días de prueba.


LUMENSION: Gestión integrada y proactiva de gestión de parches y evaluación de vulnerabilidades de software. Administración completa de vulnerabilidades usando un proceso de validación de mercado que incluye el descubrimiento e inventario de activos a través de exploraciones basadas en agentes locales y de red; una remediación automatizada e inteligente y una auditoría de conformidad continua. Solución de pago pero dispone de una versión de prueba.


NTA: Herramienta que permite testar servidores IPsec VPN.


MATRIUX: Matriux es una distribución open source que incluye un conjunto de herramientas para tests de penetración, hacking ético, administración de sistemas y redes, informática forense, análisis de vulnerabilidades, etc.


OpenVAS: Open Vulnerability Assessment System (OpenVAS) es un conjunto de servicios y herramientas de software libre en inglés que proporcionan una solución de escaneado y gestión de vulnerabilidades.


OSI: Oficina de seguridad del internauta con repositoriode herramientas gratuitas en las que se incluyen análisis online.


OSSIM: Open Source Security Information Management: Colección de herramientas bajo la licencia BSD, diseñadas para ayudar a los administradores de red en la seguridad de las computadoras, detección de intrusos y prevención.


QUALYS: QUALYS Browser check permite realizar un test a su navegador y localizar posibles desactualizaciones y vulnerabilidades en la versión utilizada así como en plugins instalados (java, flash, pdf, ...).


QUALYS: Este servicio gratuito online realiza un análisis en profundidad de la configuración de cualquier servidor web SSL disponible públicamente en Internet. Genera un informe en detalle de las comprobaciones realizadas además del catalogar el site según un ranking documentado (rating guide).


RAPID7: NeXpose Community Edition es una herramienta, en inglés, de gestión de vulnerabilidades para pequeñas organizaciones. Es gratuita hasta un límite de 32 IPs.


Retina: Retina Network Community, es un potente escaner de vulnerabilidades free hasta 128 IPs para desarrollar valoraciones en todo tu entorno.


SECUNIA: Secunia proporciona una serie de herramientas de escaneo de vulnerabilidades software y gestión de parches. Dispone de versiones gratuitas para uso personal no comercial.


SECURE DATABASE: Panel de información con las vulnerabilidades en productos y que se actualiza constantemente. La sección de herramientas permite consultar posibles soluciones de manera extensa y en materia de seguridad.


The Sleuth Kit: Web oficial para The Sleuth Kit (TSK) y Autopsy Browser, ambas herramientas open source para la investigación forense y ejecutables en entornos Windows y Unix (tales como Linux, OS X, Cygwin, FreeBSD, OpenBSD, y Solaris). Pueden analizar sistemas de ficheros NTFS, FAT, HFS+, Ext2, Ext3, UFS1, y UFS2 entre otros tipos de volúmenes. TSK consiste en una librería C y una colección de herramientas desde ventana de comandos. Autopsy es un interace gráfico para TSK. TSK es integrable de varias formas con sistemas forenses automatizados. The Sleuth Kit Hadoop Framework es un framework que incorpora TSK en cloud computing para el análisis de grandes volúmenes de datos.


SQL Map: SQLmap es una herramienta open source, en inglés, que automatiza el proceso de detección y explotación de vulnerabilidades de inyección SQL.


SpiderSoft: Repositorio de aplicaciones freeware para sistemas operativos Windows y Linux y drivers.


IDA Pro: Es desensamblador y depurador para Windows o Linux que ofrece tantas características que es difícil describirlas todas.



Objetivo de control


Objetivo

El objetivo es minimizar el impacto de actividades de auditoría en los sistemas operacionales.


12.7 Consideraciones de las auditorías de los sistemas de información

Maximizar la efectividad del proceso de auditoría de los sistemas de información y minimizar las intromisiones a/desde éste proceso.


Durante las auditorías de los sistemas de información debieran existir controles para salvaguardar los sistemas operacionales y herramientas de auditoría.


Acordar con el/las área/s que corresponda los requerimientos de auditoría.


Limitar las verificaciones (p.ej. a un acceso de "sólo lectura" en software y datos de producción) y/o tomar las medidas necesarias a efectos de aislar y contrarrestar los efectos de modificaciones realizadas al finalizar la auditoría (eliminar archivos transitorios, entidades ficticias y datos incorporados en archivos maestros; revertir transacciones; revocar privilegios otorgados; ...)


Identificar claramente los recursos TI para llevar a cabo las verificaciones y puestos a disposición de los auditores (Sistemas de información, Bases de datos, hardware, software de auditoría, dispositivos magnéticos, personal, conexiones a red, ...).


Documentar todos los procedimientos de auditoría, requerimientos y responsabilidades.


Actividades de control del riesgo

12.7.1 Controles de auditoría de los sistemas de información: Se deberían planificar y acordar los requisitos y las actividades de auditoría que involucran la verificación de los sistemas operacionales con el objetivo de minimizar las interrupciones en los procesos relacionados con el negocio.


Métricas asociadas

Número de cuestiones o recomendaciones de auditoría, agrupadas y analizadas por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio o bajo).


Porcentaje de hallazgos de auditoría relativos a seguridad de la información que han sido resueltos y cerrados, respecto al total de abiertos en el mismo periodo..


Tiempo medio real de resolución/cierre de recomendaciones, respecto a los plazos acordados por la dirección al final de las auditorías.


Enlaces a soluciones recomendadas

Center for Internet Security: Herramientas de benchmarking y para auditoría de sistemas.


Microsoft: Guía de planeamiento de supervisión de la seguridad y detección de ataques: Información general.


Digital Encode: Ejemplo, en inglés, de un informe resultante de un análisis de vulnerabilidades y test de penetración realizado para una empresa ficticia.


SANS: SIFT Workstation es un Appliance de VMware pre-configurado con todas las herramientas necesarias para llevar a cabo un examen forense detallado digital. Es compatible con el formato Expert Witness Format (E01), Advanced Forensic Format (AFF), y formatos raw (dd) de evidencias.