Sistemas de Xestión da Seguridade da Información, Auditorías e Plans de Continxencias
- Os Sistemas de Xestión da Seguridade da Información
- Auditorías de Seguridade: Fases
- Contrato e información xeral sobre os sistemas. Clasificación da información
- Recoleccion de datos (footprinting, fingerprinting)
- Análise de Vulnerabilidades (Pentesting) e clasificación
- Xeración de informe
- Establecemento de políticas de seguridade
- Plan de Continxencias
1. Xestión da Seguridade da Información
1.2. Recolección de información
Se obterá todo tipo de información referente a seguridade da información mediante entrevistas, revisión de documentación, ... etc. Un posible método pode ser a presentación ao interlocutor dun cuestionario que este devolverá cumprimentado. A información máis salientable é a seguinte:
Aspectos Técnicos
Topoloxía e arquitectura da rede e servizos existentes.
Servizos ofrecidos de xeito interno e ao público, e a través de que medio (Internet, VPN.. etc)
Elementos e dispositivos de seguridade existentes na rede e descrición da súa función (IDS, firewalls, antivirus...)
Puntos de interconexión con outras redes, descrición das DMZ, niveis de seguridade...
Posibles puntos de fallo coñecidos na rede, dispositivos, servidores. Mecanismos de alta dispoñibilidade existentes e procedementos de emerxencia asociados, responsables... etc.
Plan de direcionamento da rede (público e privado) e procedementos asociados ao mesmo.
Documentación existente relativa a rede, servizos.. etc.
Existencia de xestión da rede e servizos.
Aspectos Organizativos
Definición da organización, áreas ou departamentos obxectos do estudio (a que se dedica, cales son as súas funcións, de que é responsable, etc).
Estrutura organizativa da compañía. Relacións con outras áreas, departamentos ou organizacións. Roles existentes, fluxos de información, responsables...etc
Enumeración e descrición das políticas, procedementos, instrucións de traballo ou normas existentes na compañía susceptibles de cumprimento (ISO9001, políticas de seguridade, políticas de comunicación, políticas de uso de recursos... etc)
Enumeración e explicación de outra políticas de seguridade ou documentos existentes que poidan ser de aplicación.
Enumeración e descrición do cumprimento actual na lexislación das tecnoloxías da información aplicable.
Recolección Técnica de Información
Trátase de obter todo tipo de información mediante diversos métodos técnicos e empíricos nunha mostra representativa dos sistemas e dispositivos da organización. Deberían abordarse os seguintes puntos:
Enumeración e Caracterización
Tomando como base a información obtida no punto anterior, identificaranse os sistemas, dispositivos e aplicacións sobre as que se realizará o estudo técnico. A información mínima a recopilar será:
Caracterización de Sistemas
Sistema (nome, equipo, fabricante)
Ubicación
Responsable
Versións software (Sistemas Operativos e aplicacións)
Estado de parches e actualizacións
Caracterización de Aplicacións
Aplicación (nome, fabricante, versión)
Subsistemas asociados (onde funciona)
Interrelación con outras aplicacións
Responsable
Estado de parches e actualizacións.
Análise de Tráfico
O seu obxectivo é caracteriza-lo tipo de tráfico que discorre polas redes da organización, así como detectar posibles puntos de fallo ou de atasco en ditas redes. Deberían identificarse os puntos sensíbeis nos que realizar as medidas, que poderían ser as interconexións entre segmentos, os segmentos de servidores/aplicacións críticas, os segmentos dos usuarios... etc.
Cada medida debería realizarse por un período de tempo significativo que depende do entorno, e tendo en conta as franxas temporais de actividade. As capturas se almacenarán para ser tratadas e examinadas posteriormente.
Análise de vulnerabilidades de sistemas e aplicacións
Preténdese detectar puntos débiles na seguridade dos sistemas e das aplicacións, consistentes en erros de programación ou configuración que podan ser causa de vulnerabilidades explotables por atacantes.