RIESGOS INFORMATICOS
jueves, 3 de diciembre de 2015
domingo, 15 de noviembre de 2015
CUBO COBIT
Dado que la nueva versión de COBIT 5 oficial publicada por ISACA el 10/Abril, posee algunos cambios en cuanto a cantidad y distribución de procesos respecto a la versión “draft” de Junio 2011, a continuación se actualiza el diagrama de procesos y el mapeo con COBIT 4.1, junto con un resumen a criterio personal de las diferencias principales entre COBIT 5 y la versión de COBIT 4.1, principalmente orientado a la comunidad de habla hispana (desde ya cualquier corrección es bienvenida).
La nueva versión de COBIT incluye los siguientes cambios principales
respecto a la versión anterior 4.1:
Procesos y Dominios:
A nivel de la estructura de Procesos y Dominios esto es lo más relevante
del comparativo entre ambas versiones:
- Existe
un nuevo Dominio (ahora son 5), que se enfoca en aspectos de Gobierno de
TI, denominado “EDM – Evaluar, Dirigir & Monitorear” y que cubre el
antiguo proceso ME4 de COBIT 4.
- La
cantidad de procesos se ha incrementado de 34 a 37 (en el draft eran 36, se
agregó APO013 “Gestionar Seguridad”).
- Si
bien los objetivos de control que corresponden a cada proceso de COBIT 4,
se mantienen mayoritariamente dentro del mismo Dominio, existen
excepciones como las siguientes:
- PO10
– Administrar los proyectos, pasó al Dominio BAI.
- AI5
– Procurar recursos de IT, pasó al Dominio APO.
- DS1
– Definir y Administrar los niveles de servicio, pasó al Dominio APO.
- DS2
– Administrar los servicios de Terceros, pasó al Dominio APO.
- DS3
– Administrar el desempeño y la capacidad, pasó al Dominio BAI.
- DS6
– Identificar y asignar costos, pasó al Dominio APO.
- DS7
– Educar y Entrenar a los usuarios, pasó al Dominio APO.
- En
el dominio APO – Administrar, Planear y Organizar, es donde se observa
mayor reorganización interna de los objetivos de control, es decir que un
antiguo proceso de COBIT 4, ahora puede estar distribuido como parte de
hasta 5 procesos del mismo dominio en COBIT 5.
- El
proceso DS12 – Administrar el Ambiente Físico ahora forma parte del DSS5 –
Gestionar los Servicios de Seguridad
- Existen
nuevos procesos cuyo contenido es mayormente producto de COBIT 5,
destacándose:
- EDM1
– Definir el Framework para el Governance
- APO1
– Definir el Framework para el Management
- APO4
– Gestionar Innovación
- APO13
– Gestionar Seguridad (también hay un Proceso DSS05 Gestionar los
Servicios de Seguridad)
- BAI8
– Gestión del Conocimiento
http://www.isaca.org/Groups/Professional-English/cobit-5-use-it-effectively/Pages/ViewDiscussion.aspx?PostID=18
HISTORIA DE COBIT
El COBIT, es una
herramienta de gobierno de las Tecnologías de la Información que ha cambiado de
igual forma que lo ha hecho el trabajo de los profesionales de TI. La ISACF,
organización creadora de esta norma COBIT (Information Systems Audit and
Control Foundation) así como sus patrocinadores, han diseñado este producto
principalmente como una fuente de instrucción para los profesionales dedicados
a las actividades de control. La defnición que nos ofrece el sumario ejecutivo
del COBIT (Control OBjetives for Information and related Tecnology , Gobierno,
Control y Revisión de la Información y Tecnologías Relacionadas) es la
siguiente:
La misión del COBIT:
buscar, desarrollar, publicar y promover un autoritario y actualizado conjunto
internacional de objetivos de control de tecnologías de la información,
generalmente aceptadas, para el uso diario por parte de gestores de negocio y
auditores.
Dicho de una forma menos
formal, señalaremos que el COBIT ayuda a salvar las brechas existentes entre
los riesgos de negocio, necesidades de control y aspectos técnicos. Además,
proporciona "prácticas sanas" a través de un Marco Referencial
(Framework) de dominios y procesos, y presenta actividades en una estructura
manejable y lógica. Las “prácticas sanas” del COBIT representan el consenso de
los expertos (ayudarán a los profesionales a optimizar la inversión en
información, pero aún más importante, representan aquello sobre lo que serán
juzgados si las cosas salen mal).
HISTORIA DE COBIT
El proyecto COBIT se emprendió por primera vez en el año 1995, con el
fin de crear un mayor producto global que pudiese tener un impacto duradero
sobre el campo de visión de los negocios, así como sobre los controles de los
sistemas de información implantados. La primera edición del COBIT, fue publicada
en 1996 y fue vendida en 98 países de todo el mundo.
La segunda edición publicada en Abril de 1998, desarrolla y mejora lo
que poseía la anterior mediante la incorporación de un mayor número de
documentos de referencia fundamentales, nuevos y revisados objetivos de control
de alto nivel, intensificando las líneas maestras de auditoría, introduciendo
un conjunto de herramientas de implementación, así como un CD-ROM completamente
organizado el cual contiene la totalidad de los contenidos de esta segunda
edición.
La tercera edición en 2000 (la edición on-line estuvo disponible en
2003).
La cuarta edición en Diciembre de 2005.
La versión 4.1 está disponible desde Mayo de 2007.
La versión COBIT 5 Isaca lanzó el 10 de abril del 2012 la nueva edición
de este marco de referencia. COBIT 5 es la última edición del framework
mundialmente aceptado, el cual proporciona una visión empresarial del Gobierno
de TI que tiene a la tecnología y a la información como protagonistas en la
creación de valor para las empresas.
COBIT 5 se basa en COBIT 4.1, y a su vez lo amplía mediante la
integración de otros importantes marcos y normas como Information Technology
Infrastructure Library (ITIL ®) y las normas ISO relacionadas. (ISACA, 2013)
¿QUE ES ISACA?
JOHN MARIO RUBIANO RAMÍREZ
YONAIRO CALLEVELAZCO
¿QUÉ ES ISACA?
ISACA
comenzó en 1967, cuando un pequeño grupo de personas con trabajos similares auditar
controles en los sistemas computacionales que se estaban haciendo cada vez más
críticos para las operaciones de sus respectivas organizaciones, se sentaron a
discutir la necesidad de tener una fuente centralizada de información y guías
en dicho campo.
En 1969,
el grupo se formalizó, incorporándose bajo el nombre de EDP Auditors
Association (Asociación de Auditores de Procesamiento Electrónico de Datos). En
1976 la asociación formó una fundación de educación para llevar a cabo
proyectos de investigación de gran escala para expandir los conocimientos y el
valor en el campo de gobierno y control de TI. Conocida
previamente como la Information Systems Audit and Control Association (Asociación de Auditoría y Control en
Sistemas de Información), ISACA ahora es solo un acrónimo, que refleja la
amplia gama de profesionales en gobierno de TI a los que sirve.
Hoy, los
integrantes de ISACA (más de 115,000 en todo el mundo) se caracterizan por su
diversidad. Los integrantes viven y trabajan en más de 180 países y cubren una
variedad de puestos profesionales relacionados con TI – sólo por nombrar
algunos ejemplos, auditor de SI, consultor, profesional de la educación,
profesional de seguridad de SI, regulador, director ejecutivo de información
(CIO) y auditor interno. Algunos son nuevos en el campo, otros están en niveles
medios de la gerencia y algunos otros están en los rangos más elevados.
Trabajan
en casi todas las categorías de industrias, incluyendo finanzas y banca,
contabilidad pública, gobierno y sector público, servicios y manufactura. Esta
diversidad permite que los miembros aprendan unos de otros, e intercambien
puntos de vista muy diferentes sobre una variedad de tópicos profesionales.
Esta ha sido considerada durante mucho tiempo como una de las fortalezas de
ISACA.
martes, 3 de noviembre de 2015
IPCOP
¿Que es IPCop?
IPCop es un proyecto GNU/GPL. Se trata de un firewall basado en Linux que
nos brinda una interesante gama de posibilidades a la hora de conectar una red
local a Internet. La última versión
al momento de escribir estas líneas es la 1.4.18. Su interfase de usuario
es totalmente web (aunque permite también acceso por SSH) y esta disponible en
32 idiomas.
Requiere de un hardware dedicado y permite gestionar el acceso a Internet,
la seguridad y la interacción de hasta cuatro redes distintas que, en la jerga
del IPCop, se denominan GREEN, BLUE, ORANGE y RED. Las mismas tienen las
siguientes características:
GREEN: Esta es la interfase de red de nuestra LAN o red de área
local. Aquí es donde conectaremos todos nuestros equipos que necesiten mayor
protección, como servidores que no tengan que tener presencia en Internet y
puestos de trabajo. Los dispositivos que se encuentren conectados a esta
interfase tendrán acceso irrestricto a las interfases RED, BLUE y ORANGE, o sea
que podrán salir a Internet (y conectarse a los equipos que se encuentren en
cualquiera de estas otras tres redes) por cualquier puerto, pero a su vez los
equipos de
la interfase RED (equipos en Internet) no pueden iniciar conexiones a
ningún equipo que se encuentre en las interfases GREEN, BLUE y ORANGE. En otras
palabras, estarán protegidos del exterior, en el sentido que no son accesibles
desde Internet.
BLUE: Es la interfase que se asigna normalmente para conectar
un access point de modo que se puedan conectar dispositivos inalámbricos. De
todas maneras sirve para conectar cualquier otra red que se necesite sea esta
inalámbrica o no. Los dispositivos que se encuentren en esta red, no podrán
iniciar una conexión a los dispositivos que se encuentren en la interfase
GREEN, pero salvo esta excepción, contarán con el mismo nivel de acceso y
protección que cuentan los dispositivos conectados a la interfase GREEN. No es
necesario activar esta interfase en una instalación de IPCop si no se cuenta
con más de una red, o no se va a utilizar un router inalámbrico(*).
ORANGE: Esta es la interfase que se utilizará para montar una
DMZ o zona desmilitarizada. Principalmente se utiliza para montar servidores
web, de correo, de ftp, etc. que deban tener presencia en Internet; o sea que
sean accesibles desde Internet, pero que en el caso que se produzca alguna
intrusión a algún equipo de esta red, eso no comprometa la seguridad de nuestra
red interna (GREEN). Los equipos que formen parte de la red ORANGE no podrán
iniciar conexiones a ninguno de los dispositivos que se encuentren en las
interfases GREEN y BLUE. No es necesario activar esta interfase en una
instalación de IPCop si no se piensa utilizar una DMZ.
RED: Es la interfase de red que nos conectará directamente a
nuestro proveedor de Internet. Puede ser una conexión ADSL, cablemodem, una
línea dedicada o hasta inclusive un modem telefónico común. Obviamente que por
razones de ancho de banda esta última opción es desaconsejable, pero es
perfectamente factible tenerla configurada para una contingencia en la cual
nuestro proveedor de Internet tenga inconvenientes para brindarnos nuestro
vínculo habitual, pero si este operativo el acceso dialup. Cualquier
instalación de IPCop contará con esta interfase habilitada. (Soporta tanto
dispositivos ethernet como USB) Como aclaración cabe destacar que los equipos
que están en la misma red, ya sea esta GREEN, BLUE u ORANGE, tienen la posibilidad
de iniciar conexiones entre ellos.
(*) En el caso de contar con un router wifi, si bien es conveniente, no es
obligatorio que este conectado a la interfase blue, ya que se podrá conectar
sin problemas a la interfase GREEN.
Las características antes mencionadas de cada interfase son las políticas
de seguridad que IPCop implementa por defecto, pero existe la posibilidad de
realizar modificaciones a estas políticas para adaptarlas a las necesidades que
tengamos mediante las opciones de Port Forwarding y DMZ Pinholes.
Estas cuatro posibles redes no son más que cuatro placas de red en la misma
PC. No es necesario utilizar las cuatro, sino que se puede configurar de
diferentes maneras dependiendo de las necesidades que tengamos.
En la interfase RED estará conectado nuestro router o modem de acceso a
Internet (ADSL, cablemodem, etc.), y en las otras tres interfases puede
montarse un switch si hace falta conectar más de un equipo en alguna de ellas.
Funcionalidades
IPCop brinda una amplia gama de funcionalidades que van más allá de las que
ofrecen algunos firewalls comerciales. Sin pretender explicar cada una de ellas
y solo a modo de numeración, tenemos:
- Acceso seguro por SSL a
la interfase d »» e administración web
- DHCP cliente / servidor
- DNS dinámico
- Lista de hosts seteable
desde la interfase web
- HTTP / FTP proxy (squid)
- IDS (snort) en todas las
interfases
- Log local o remoto
- NTP cliente / servidor
- servidor SSH (PSK o con
password)
- Traffic shaping (en la
interfase RED)
- “Statefull” Firewall
- Módulos “nat helper”
para h323, irc, mms, pptp, proto-gre, quake3
- Port forwarding
(redireccionamiento de puertos)
- DMZ pin holes
- Activar o desactivar
ping en todas las interfases
- VPN (IPSEC)
- Gráficos de monitoreo de
CPU, RAM, swap, HD, tráfico de RED, etc.
Hardware Soportado
Las características generales en cuanto al hardware soportado son las
siguientes:
- Arquitecturas: i386 y
Alpha (PPC y Sparc están planeadas para versiones futuras)
- Memoria: de 12MB a
4GBDiscos: IDE, SCSI y SATA, soporta configuraciones con RAID.
- También soporta
dispositivos flash.
- Placas de red: ISA/PCI
(las soportadas por el kernel de Linux 2.4)
- CPU: Disponibilidad de
kernel SMP para CPUs multicore
- Dándole nuevas funciones
a IPCop: Los Addons
Dándole nuevas funciones a
IPCop: Los Addons
Existen varios desarrolladores (sin vinculación con el equipo de desarrollo
de IPCop) que han desarrollado paquetes con funcionalidad adicional, que se
denominan addons, Estos permiten una amplia gama de funcionalidades no
incluidas originalmente en el producto. De la gran variedad de addons
disponibles vamos a ver a modo de ejemplo las siguientes:
Copfilter:
Se trata de un excelente addon que en términos generales podemos decir que
permite integrar a IPCop funciones de antivirus y antispam. Para ello se vale
de paquetes de software antivirus como ClamAV (se le puede agregar también
F-Prot y AVG), y SpamAssasin para el caso del antispam. Integra también
numeros.
Zerina:
Si bien IPCop nos permite trabajar con una VPN por medio de IPSEC, este
excelente addon nos da la posibilidad de agregar además OpenVPN. De esta manera
es posible tener un excelente y robusto entorno de trabajo remoto accediendo
por cualquiera de estas dos alternativas de VPNs, que permiten que trabajemos
en cualquiera de los equipos internos de nuestra red tal como si estuviéramos
dentro de nuestra red GREEN, pero trabajando tanto desde la red BLUE como la
RED.
Adán Server:
Finalmente este addon es en realidad un servidor de addons que permite
instalar en forma simple y desde la interfase de administración web una variada
lista de addons de diverso tipo para controlar el acceso desde la red GREEN
hacia las oras tres, control horario de acceso a Internet, control de tráfico
de cada red, mayor nivel de filtrado del tráfico, y un largo etcétera.
Actualizaciones:
Otro punto importante es la facilidad de actualización que nos brinda, por
la cual el propio IPCop nos avisará en la pantalla principal de su interfase
web, si hay actualizaciones disponibles,las cuales bastará con descargar a una
PC y luego hacer el correspondiente upload de
la misma para que se instale.
Cabe destacar que debido a que los addons no están oficialmente soportados,
no es inusual que una actualización haga desaparecer algún Addon o algún punto
de menú del mismo, por lo que debemos prestar especial atención a las
actualizaciones si es que hemos instalado algún addon a nuestro IPCop.
Instalación.
Respecto al hardware necesario para su instalación, se podría decir que
corre en casi cualquier equipo que hoy tengamos disponible, ya que un Pentium
con 32MB de RAM y unos cuantos cientos de MB en disco son más que suficientes
para correr IPCop sin problemas.(En realidad también puede correr con un
hardware inferior).
De todas formas si queremos instalar algún addon, sería mejor que
utilicemos hardware más moderno, cuanto más potente mejor sobre todo para que pueda
correr sin problemas un addon como Copfilter que consume bastantes recursos de
memoria y CPU. No vamos a ver en detalle el proceso de instalación ya que esta
claramente explicada en las instrucciones que se brindan en la documentación de
IPCop, pero a modo de introducción el proceso es básicamente el siguiente:
Luego de bootear con el CD de instalación, deberemos seleccionar un
lenguaje, elegir el medio de instalación que utilizaremos (por.ej. CD) y
seleccionar los drivers de las placas de red que obviamente ya deberemos tener
instaladas en el equipo antes de comenzar.
Para esto tenemos la opción de “probe” que intentará seleccionar el driver
adecuado para nuestras placas de red. Luego deberemos ingresar los datos de
nuestra red GREEN (dirección IP y máscara de red).
Después de esto, IPCop dará formato al disco rígido y se instalará.
Finalizado este paso, nos pedirá que reiniciemos el equipo para luego proceder
a hacer el setup inicial, donde deberemos seleccionar tipo de teclado, zona
horaria, el nombre de host y el del dominio.
Luego deberemos elegir la configuración de la red, esto implica elegir (en
base a las placas de red que ya tengamos instaladas) la combinación de GREEN,
BLUE, ORANGE y RED que necesitemos.
Configuraremos entonces las redes faltantes (recordemos que ya hemos
configurado la GREEN) comenzando por la RED, donde seleccionaremos el tipo de
conexión a Internet que tenemos.(estático, DHCP, PPPoE o PPTP) y algunos
detalles más que dependen del mismo.
Ahora nos solicitará el password inicial para el usuario admin., que es el
usuario que utilizaremos para administrar el IPCop por medio de la interfase
web, y también la clave del usuario root que usaremos si nos conectamos por
ssh.
Luego deberemos reiniciar nuevamente y ya estaremos en condiciones de
acceder desde un navegador web desde cualquier PC de la red GREEN. Solo tenemos
que colocar la dirección IP que le hayamos asignado (la IP que le asignamos a
la red GREEN) en la barra de direcciones del navegador, y a partir de ahí solo
tendremos que configurar nuestra conexión a Internet y voila!, ya estará listo
para funcionar.
Cuando intentemos esto último, primero solicitará que nos identifiquemos,
por lo que deberemos acceder con el usuario admin y su correspondiente clave a
la opción Dialup del menú Network. SMP para CPUs multicore
Link de procedimiento de instalacion y configuración:
FIREWALL
Un firewall es software o hardware que comprueba la información procedente de Internet o de una red y, a continuación, bloquea o permite el paso de ésta al equipo, en función de la configuración del firewall.
Un firewall puede ayudar a impedir que hackers o software malintencionado (como gusanos) obtengan acceso al equipo a través de una red o de Internet. Un firewall también puede ayudar a impedir que el equipo envíe software malintencionado a otros equipos.
En la siguiente ilustración se muestra el funcionamiento de un firewall.
Un firewall no es lo mismo que un programa antivirus. Para ayudar a proteger su equipo, necesita tanto un firewall como un programa antivirus y antimalware.
ANTECEDENTES:
Primera generación – cortafuegos de red: filtrado de paquetes
El primer documento publicado para la tecnología firewall data de 1988, cuando el equipo de ingenieros Digital Equipment Corporation (DEC) desarrolló los sistemas de filtro conocidos como cortafuegos de filtrado de paquetes. Este sistema, bastante básico, fue la primera generación de lo que se convertiría en una característica más técnica y evolucionada de la seguridad de Internet.
El filtrado de paquetes actúa mediante la inspección de los paquetes
(que representan la unidad básica de transferencia de datos entre
ordenadores en Internet). Si un paquete coincide con el conjunto de
reglas del filtro, el paquete se reducirá (descarte silencioso) o será
rechazado (desprendiéndose de él y enviando una respuesta de error al
emisor). Este tipo de filtrado de paquetes no presta atención a si el
paquete es parte de una secuencia existente de tráfico. En su lugar, se
filtra cada paquete basándose únicamente en la información contenida
en el paquete en sí (por lo general utiliza una combinación del emisor del
paquete y la dirección de destino, su protocolo, y, en el tráfico TCP y
UDP, el número de puerto). Los protocolos TCP y UDP comprenden la
mayor parte de comunicación a través de Internet, utilizando por
convención puertos bien conocidos para determinados tipos de tráfico,
por lo que un filtro de paquetes puede distinguir entre ambos tipos de
tráfico (ya sean navegación web, impresión remota, envío y recepción de
correo electrónico, transferencia de archivos...); a menos que las
máquinas a cada lado del filtro de paquetes son a la vez utilizando los
mismos puertos no estándar.
Segundageneración–cortafuegosdeestado
Durante 1989 y 1990, tres colegas de los laboratorios AT&T Bell, Dave Presetto, Janardan Sharma, y Nigam Kshitij, desarrollaron la tercera generación de servidores de seguridad. Esta tercera generación cortafuegos tiene en cuenta además la colocación de cada paquete individual dentro de una serie de paquetes.
Esta tecnología se conoce generalmente como la inspección de estado de paquetes, ya que mantiene registros de todas las conexiones que pasan por el cortafuegos, siendo capaz de determinar si un paquete indica el inicio de una nueva conexión, es parte de una conexión existente, o es un paquete erróneo.
Durante 1989 y 1990, tres colegas de los laboratorios AT&T Bell, Dave Presetto, Janardan Sharma, y Nigam Kshitij, desarrollaron la tercera generación de servidores de seguridad. Esta tercera generación cortafuegos tiene en cuenta además la colocación de cada paquete individual dentro de una serie de paquetes.
Esta tecnología se conoce generalmente como la inspección de estado de paquetes, ya que mantiene registros de todas las conexiones que pasan por el cortafuegos, siendo capaz de determinar si un paquete indica el inicio de una nueva conexión, es parte de una conexión existente, o es un paquete erróneo.
Este tipo de cortafuegos pueden ayudar a prevenir ataques
contra conexiones en curso o ciertos ataques de
denegación de servicio.
Tercera generación - cortafuegos de aplicación
Son aquellos que actúan sobre la capa de aplicación del modelo OSI. La clave de un cortafuegos de aplicación es que puede entender ciertas aplicaciones y protocolos (por ejemplo: protocolo de transferencia de ficheros, DNS o navegación web), y permite detectar si un protocolo no deseado se coló a través de un puerto no estándar o si se está abusando de un protocolo de forma perjudicial.
Un cortafuegos de aplicación es mucho más seguro y fiable cuando se compara con un cortafuegos de filtrado de paquetes, ya que repercute en las siete capas del modelo de referencia OSI. En esencia es similar a un cortafuegos de filtrado de paquetes, con la diferencia de que también podemos filtrar el contenido del paquete. El mejor ejemplo de cortafuegos de aplicación es ISA (Internet Security and Acceleration).
Son aquellos que actúan sobre la capa de aplicación del modelo OSI. La clave de un cortafuegos de aplicación es que puede entender ciertas aplicaciones y protocolos (por ejemplo: protocolo de transferencia de ficheros, DNS o navegación web), y permite detectar si un protocolo no deseado se coló a través de un puerto no estándar o si se está abusando de un protocolo de forma perjudicial.
Un cortafuegos de aplicación es mucho más seguro y fiable cuando se compara con un cortafuegos de filtrado de paquetes, ya que repercute en las siete capas del modelo de referencia OSI. En esencia es similar a un cortafuegos de filtrado de paquetes, con la diferencia de que también podemos filtrar el contenido del paquete. El mejor ejemplo de cortafuegos de aplicación es ISA (Internet Security and Acceleration).
Un cortafuegos de aplicación puede filtrar protocolos de capas superiores
tales como FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por
ejemplo, si una organización quiere bloquear toda la información
relacionada con una palabra en concreto, puede habilitarse el filtrado de
contenido para bloquear esa palabra en particular. No obstante, los
cortafuegos de aplicación resultan más lentos que los de estado.
- El objetivo principal de un firewall, es proteger una red privada de una red externa, ejemplo (internet - red publica)
Suscribirse a:
Entradas (Atom)