8 feb 2011

No todo en seguridad son Test de Penetración

Buenas a todos, en el mundo de la seguridad informática hay dos submundos apartados que en algunas ocasiones no se acaban complementando (error) y es el de la seguridad lógica y la seguridad física. Como siempre he dicho, en nuestro mundo no todo es realizar test de penetración y es muy importante tomar medidas de prevención y continuidad del negocio, realizando backups por ejemplo mediante replicación sombra o espejo para poder recuperarse tras un ataque o un suceso imprevisto como un incendio o una inundación, tomar medidas como Firecall ID para proteger las contraseñas maestras de la red, o sistemas de autenticación de dos factores para evitar intrusos por el CPD. No sirve de nada tener un sitio web impenetrable si puede llegar un usuario ajeno a la empresa como "Pedro por su casa" y acceder al servidor donde se encuentra alojado sin una serie de medidas de seguridad adecuadas.La norma certificable para este tema por excelencia es la ISO/IEC 27001, parte de la serie de normas ISO 27000, y que cubre la pata de seguridad de la norma ISO 20000 sobre los SGSTI.El estándar ISO/IEC 27001 es el más importante de toda la serie 27000, especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI). Un hecho que hay que tener en cuenta es que la norma por si sola no nos va a ayudar a implantar "seguridad" en una organización, simplemente define una serie de procesos que se deberán cumplir, por ejemplo, indicándonos que se deben realizar backups, o auditorías cada cierto tiempo. Por ello este modelo de procesos debe complementarse con alguna otra norma o metodología que nos indique como se deben realizar por ejemplo esos backups o auditorías, y para ello nació la ISO 27002 (o ISO/IEC 17799).La norma ISO 27002 ofrece distintas recomendaciones sobre mejores prácticas en la gestión de la seguridad de la información. Está dirigida a los encargados de iniciar, implantar o mantener un SGSI. Aún así, esta norma no llega a un punto de vista técnico, dejando gran parte de las ideas sobre como se deben implementar los procesos de la norma ISO 27001 a los administradores, cosa obvia por otra parte ya que en cada organización se debería implantar de una manera diferente. Por ello, para implantar la norma debemos recurrir a las metodologías, donde ya sí, de manera técnica se definen como se deben realizar por ejemplo esas auditorías. Las metodologías que más me gustan son la OWASP y la OSSTMM. Hay muchas otras, para gustos los colores, pero estas son muy completas.Si os interesa el tema de la 27001 os dejo un enlace muy bueno que me pasó Dejan Kosutic hace un tiempo vía Twitter: http://blog.iso27001standard.com/es/. Sobre todo me quedo con éste post de su blog.La norma ISO 27001 es de pago y "difícil de conseguir" =).Si os gusta el tema, en próximos posts destriparé la serie ISO 27000, y os contaré algunas de mis experiencias implantándola en una organización.Saludos!

7 comentarios:

  1. Suena interesanteDestripala!! =D

    ResponderEliminar
  2. [...] This post was mentioned on Twitter by Flu, hackplayers. hackplayers said: No todo en seguridad son Test de Penetración: Buenas a todos, en el mundo de la seguridad informática hay dos su... http://bit.ly/egIvBw [...]

    ResponderEliminar
  3. Tomando nota! A ver q dice juanan, pero creo q estará encantado de destriparla xDSaludos!

    ResponderEliminar
  4. Buen artículo. Como bien dices, no todo en seguridad es el "uso de herramientas", también está "la parte aburrida" como la llamo yo, pero que es incluso más importante.Estaremos encantados que continúes con la serie y cuentes tus experiencias, sería realmente útil.Gracias, un saludo.

    ResponderEliminar
  5. Me alegro que os guste =)A ver si tengo tiempo y os explico como cubrir algunos procesos de la ISO20000 y de la ISO27001 usando al futuro Flu b0.3 sin necesidad de modificarlo, usandolo de una manera "no maliciosa" como mera herramienta de administración de red =)saludos!

    ResponderEliminar