jueves, 28 de mayo de 2009

OSSTMM, Manual de la Metodología Abierta de Testeo de Seguridad

En primer lugar este post lo copie del siguiente sitio:

http://www.dragonjar.org/osstmm-manual-de-la-metodologia-abierta-de-testeo-de-seguridad.xhtml

Ahora como mi blog tambien me sirve para recordar informacion importante que en algun momento puede ser eliminado, aqui esta la copia.......


Actualmente se encuentra en desarrollo la versión número 3 de este completo manual, el equipo desarrollador del proyecto ha hecho algunas presentaciones incluyendo videos sobre la nueva versión, igualmente se había publicado en el foro la versión 2.1 en idioma español. Pero muchos de nuestros usuarios pueden desconocer cual es la finalidad o contenido de este extenso manual de metodología.
Veamos:

El Manual de la Metodología Abierta de Comprobación de la Seguridad (OSSTMM, Open Source Security Testing Methodology Manual) es uno de los estándares profesionales más completos y comúnmente utilizados en Auditorías de Seguridad para revisar la Seguridad de los Sistemas desde Internet. Incluye un marco de trabajo que describe las fases que habría que realizar para la ejecución de la auditoría. Se ha logrado gracias a un consenso entre más de 150 expertos internacionales sobre el tema, que colaboran entre sí mediante Internet. Se encuentra en constante evolución y actualmente se compone de las siguientes fases:

osstmm4jn9 OSSTMM, Manual de la Metodología Abierta de Testeo de Seguridad

Sección A -Seguridad de la Información

  1. Revisión de la Inteligencia Competitiva
  2. Revision de Privacidad
  3. Recolección de Documentos

Sección B - Seguridad de los Procesos

  1. Testeo de Solicitud
  2. Testeo de Sugerencia Dirigida
  3. Testeo de las Personas Confiables

Sección C - Seguridad en las tecnologías de Internet

  1. Logística y Controles
  2. Exploración de Red
  3. Identificación de los Servicios del Sistema
  4. Búsqueda de Información Competitiva
  5. Revisión de Privacidad
  6. Obtención de Documentos
  7. Búsqueda y Verificación de Vulnerabilidades
  8. Testeo de Aplicaciones de Internet
  9. Enrutamiento
  10. Testeo de Sistemas Confiados
  11. Testeo de Control de Acceso
  12. Testeo de Sistema de Detección de Intrusos
  13. Testeo de Medidas de Contingencia
  14. Descifrado de Contraseñas
  15. Testeo de Denegación de Servicios
  16. Evaluación de Políticas de Seguridad

Sección D - Seguridad en las Comunicaciones

  1. Testeo de PBX
  2. Testeo del Correo de Voz
  3. Revisión del FAX
  4. Testeo del Modem

Sección E - Seguridad Inalámbrica

  1. Verificación de Radiación Electromagnética (EMR)
  2. Verificación de Redes Inalámbricas [802.11]
  3. Verificación de Redes Bluetooth
  4. Verificación de Dispositivos de Entrada Inalámbricos
  5. Verificación de Dispositivos de Mano Inalámbricos
  6. Verificación de Comunicaciones sin Cable
  7. Verificación de Dispositivos de Vigilancia Inalámbricos
  8. Verificación de Dispositivos de Transacción Inalámbricos
  9. Verficación de RFID
  10. Verificación de Sistemas Infrarrojos
  11. Revisión de Privacidad

Sección F - Seguridad Física

  1. Revisión de Perímetro
  2. Revisión de monitoreo
  3. Evaluación de Controles de Acceso
  4. Revisión de Respuesta de Alarmas
  5. Revisión de Ubicación
  6. Revisión de Entorno

Más información OSSTMM
Descargar OSSTMM 2.1 en español
Mirror de descarga para Comunidad (password: www.dragonjar.org)
Otras fuentes de información recomendadas sobre OSSTMM:

saludos

Miguel

lunes, 11 de mayo de 2009

Seguridad Informatica, Gestion de Identidades en las organizaciones

Buenas a todos, hoy empiezo una serie de post sobre el tema de seguridad informatica tratando de hacerlo de una manera ordenada, empezare indicando que tomare como estandares al sistema ISO 27001, 27002, 27005, COBIT, ITIL y la norma tecnica peruana (NTP).

El objetivo de toda implementacion de seguridad informatica es:
- Preservar la informacion inalterable.
- Mantener los servicios ininterrumpidos.
- Evitar la perdida de informacion.

La forma o complejidad de un sistema de informacion dependera del tipo de negocio que se tiene, importancia de la informacion almacenada y los tipos de servicios criticos que se entregan, los principios son los mismos pero la implementacion variara dependiendo de lo indicado mas el tema economico.

Por este motivo hay una gestion que se debe manejar de manera ordenada para evitar posibles amenazas a los sistemas TI.

"El sistema de gestion de identidades" IDM (Identity Managment), que en mi opinion es necesario implementar en las redes de las organizaciones debido al crecimiento de los servicios en TI que se ofrecen y al crecimiento en la cantidad y tipos de usuarios con diferentes funciones que hacen que tengan distintos niveles de permisos y accesos a los servicios TI contenidos en una serie de servidores con distintos sistemas operativos.


Un sistema de IDM cumple con los estandares de seguridad que se manejan tanto a nivel internacional como nacional, ya que se cumplen los siguientes estandares: ISO 27001, 27002, 27005, COBIT, ITIL y la norma tecnica peruana (NTP).


¿Que es un IDM?

Se denomina Identity Management (Administración de Identidades) a un sistema integrado de políticas y procesos organizacionales que pretende facilitar y controlar el acceso a los sistemas de información y a las instalaciones fisicas.
Representa una categoría de soluciones interrelacionadas que se utilizan para administrar autenticación de usuarios, derechos y restricciones de acceso, perfiles de cuentas, contraseñas y otros atributos necesarios para la administración de perfiles de usuario en una hipotética aplicación.

Un IDM es una gran bovedad de identidades donde se manejan:
- Datos de los usuarios.
- Politicas de contraseñas.
- Catalogo de roles.

Capacidades de un IDM

- Uso de estandares.
- Provisionamiento y des-provisionamiento de usuarios.
- Interconexion con varios sistemas operativos.
- Administracion de contraseñas.
- Manejo de roles
- Manejo de logs y eventos centralizados, con esto podemos saber que hizo un usuario en los diferentes servicios y servidores de la organizacion de manera centralizada.

BENEFICIOS de IDM

- Punto unico de administracion de la identidad de un usuario.
- Provisionamiento y des-provisionamiento de accesos.
- Aplicacion de politcas de contraseñas.
- Permite cumplir con controles de estandares de seguridad.
- Asignacion de accesos en base a roles.


Hay varios productos como los de Oracle, Novell, Sun, etc cuyo sistema de IDM es muy bueno....

en posteriores post analizaremos cada uno de estos productos...

saludos

Miguel

miércoles, 6 de mayo de 2009

Empezando con ITIL.. Gestion de incidencias..


Bueno despues de algunos meses de estudiar, llevar una certificacion en ITILv2 + bridge a v3, documentarse en la implementacion, conversar con gente que ya la implemento y tuvo exitos... pues empiezo a implementar ITIL de una manera ordenada (siguiendo las buenas practicas aprendidas), esta sera mi segunda experiencia implementando ITIL (o tratando) la primera vez el grupo de trabajo al cual pertenecia logramos hacer un programa en visual fox pro para el registro de incidencias, todo el grupo de soporte tecnico se puso las pilas, esto sucedio por el año 2000, empezamos a registrar las incidencias tanto para los usuarios internos como externos ya que yo trabajaba en una empresa proveedora de internet, al mes ya teniamos casi 300 incidencias reportadas, solucionadas y documentadas, pero el grupo se fue aburriendo por diversos motivos, entre ellos el tener que recibir la llamada telefonica, registrar el incidente y de no funcionar el soporte telefonico pues acercarse fisicamente o programar una visita tecnica, otra causa fue el no apoyo de la gerencia general quien no le vio lucro al trabajo organizado de esta manera, para el grupo de trabajo si nos ayudo muchisimo ya que se documentaron las incidencias y su solucion no teniendo que reinventar la polvora y resolviendo los casos mas rapidamente, ademas que llevamos un estricto control de los trabajos realizados y esto se podia cuantificar para obtener una metrica que pudiera indicar si el area era o no productiva, pero bueno fue pasando el tiempo y como es logico el personal se fue renovando, los nuevos no asimilaron la idea de la gestion de incidencias y al final se dejo de lado....que pena.. en fin esto sirve como experiencia.

Ahora ya empiezo algo nuevo, pero esta vez con un now how practico....

Para quienes empiezan a estudiar e implementar ITIL pues deben saber que realmente no se empieza por implementar el sistema de gestion de incidencias, sino con algo mucho mas laborioso y cansado que es crear un CMDB que no es sino un repositorio donde se almacenan todos los elementos de configuracion (CI) junto con sus datos, trazabilidad y relaciones.
En forma practica es tener un inventario del hardware, software, funciones, documentacion, todos estos son los bienes de TI para poder tener un control estricto sobre ellos.
Este nivel esta enmarcado dentro de lo que se conoce como gestion de configuracion el cual permitira:
- Especificar version, propiedad e informacion de status para los elementos de configuracion, existentes en la infraestructura de TI.
- Describir las relaciones entre CIs.
- Mantener historiales actualizados de los CIs.
- Controlar cambios sobre los CIs.
- Auditar la infraestructura de TI

Este trabajo de hacer el CMDB es cansado por que se tiene que inventariar todo, hasta la ultima tarjeta de video del ultimo servidor..... pero tiene sus recompensas ya que proporciona una base solida para la gestion de incidentes, gestion de problemas, gestion de cambios, gestion de release y todas las gestiones que se les ocurra.......
Bueno finalizando esta parte de la gestion de configuracion se resume que podremos contabilizar, monitorear y mantener actualizada la informacion de todos los bienes y configuraciones de TI de la organizacion.

Una vez que ya se tiene esta gestion avanzada se puede ir ya pensando en empezar la gestion de incidencias, pero alto ahi, no se lanzen a la piscina tan rapido......primero lo primero.... y es:

Crear su service desk que no es igual que un simple help desk...

deben entender que con ITIL tiene se tiene la concepcion de servicio como algo fundamental, los que trabajamos en las areas de TI no somos ya expertos que solucionan o implementan tecnologia, sino que proveemos de servicios a la organizacion para que esta pueda funcionar adecuadamente y lograr los objetivos del negocio, por lo tanto nos debemos enfocar en los procesos, acciones preventivas, integrarnos con la organizacion, tener la perspectiva del negocio y orientado al servicio.

Las areas de TI debe ser vistas ahora como:
- Un proveedor de servicios.
- Areas con un valor y no como un costo.
- Focalizadas en sus procesos y su gente.
- Areas que invierten en la gestion de servicios.

Esto se logra :
- Alineando los servicios de TI con las necesidades actuales y futuras del negocio y sus clientes.
- Mejorar la calidad de la entrega de servicios de TI.
- Reducir los costos de la provision de los servicios. (usar metricas para comprobarlo)

Los desafios de las TI:
- Crear nuevas oportunidades de negocio
- Esto debe ser alcanzado reduciendo el TCO.

Todo esto empieza por crear los procesos y documentarlos, un area de TI no brinda productos sino servicios.
A un usuario final le interesa realizar una llamada telefonica optima, no le interesa si tiene telefonia IP, analogica o digital.........

Bueno despues del rollo de servicios que hay que tenerlos claros y que las TI deben brindar, continuo... les indicaba que debian implementar un service desk que no solo resuelve problemas sino que brinda servicios, es decir preocuparse por restaurar inmediatamente el servicio para el usuario...debemos tener en cuenta que el service desk actua como punto central de contacto entre los usuarios y la gestion de servicio de TI,
en otro post tratare de explicar este tema del service desk a profundidad.

Bien ahora si despues de pasar por todo lo anteriormente explicado llegamos al punto de iniciar la implementacion de la gestion de incidencias cuyo objetivo primario es:
-Reestablecer la operacion normal del servicio lo mas rapido posible.
- Minimizar el impacto adverso en las operaciones del negocio.


Hay mucho que escribir, explicar y debatir en este punto y lo dejo para post posteriores, por ahora solo menciono que inicio esta gestion apoyandome en un software que a mi parecer es muy bueno, deben haber otros que no conozco y muchos otros mas completos que integran una serie de gestiones pero por el momento me ayuda bastante y es el programa basado en software libre llamado GLPI, lo instale en mi pc que tiene corriendo Linux con la distribucion mandriva one + apache como server web y mysql como SGBD, su interfaz web ayuda mucho , permite hacer seguimiento de las incidencias y permite al usuario final realizar su reporte de incidencia......

Para terminar les copio un resumen sobre la gestion de incidencias como parte del proceso de desarrollo de una empresa, no recuerdo de donde lo saque pero ayuda mucho a entender que es la gestion de incidencias, como funciona, que objetivos desea lograr y cual es el impacto en las organizaciones.
Miguel

----------------------------------------------------------------------------------------------

El registro de Incidencias Operacionales como parte del Sistema de Inteligencia Empresarial

En el presente trabajo se relacionan los principios para la elaboración de Sistema de Incidencias Operacionales destinado al registro de las fallas que ocurren durante el desarrollo del trabajo con vistas a su comunicación a las áreas involucradas, así como a los altos directivos de la empresa con vistas a la determinación de las causas que motivan su presencia con el objetivo de establecer acciones concretas que contribuyan a su erradicación.


En términos empresariales, la organización es, en esencia, un proceso de combinación de los medios e instrumentos: humanos, materiales, técnicos, informativos, lógicos y tecnológicos con vistas a lograr un objetivo: satisfacer una necesidad o brindar solución a un problema social.

Por tanto, la organización es un modelo del sistema de dirección construido sobre la base de los principios y técnicas del enfoque sistémico, cuyo campo de trabajo dentro de los sistemas socioeconómicos es muy amplio y debe estar regulado por los procedimientos correspondientes.

Unido a lo anterior, debe señalarse que el desarrollo de la actividad comercial internacional, constituye un reto para todas las entidades en las cuales la calidad de los productos y la atención sistemática al cliente tiene un papel preponderante, atendiendo a lo cual el registro y análisis de todas las situaciones ocurridas que afectan la operación comercial (incidencias), reviste una gran importancia para alcanzar la excelencia a partir de dos aspectos fundamentales:

a) Permiten determinar los elementos que revelan deficiencias desde el punto de vista organizacional.
b) Facilitan la detección de problemas, sobre los cuales, en múltiples ocasiones, es posible accionar durante el proceso, con lo cual se evitan reclamaciones, que además de su impacto económico, tienen asociada una pérdida de imagen, mucho más grave en el largo plazo.

Tomando en cuenta los aspectos antes señalados y la generalidad del tema abordado, que es aplicable a cualquier tipo de actividad empresarial, se acometió el presente trabajo, cuyo objetivo es facilitar y estandarizar el acceso de forma fiable a este tipo de información, con vistas a brindar elementos para al análisis y toma de decisión por parte del primer nivel de dirección, encaminados a perfeccionar el accionar de la empresa.


II.1 Ventajas

En términos prácticos, el empleo de un Sistema de Incidencias que abarque todas las actividades beneficia a toda la empresa, debido a que:
Permite determinar las fallas operacionales internas de la empresa y sus causas, para su posterior erradicación y con ello incrementar la eficiencia.

  • Contribuye a perfeccionar la elaboración de contratos, al negociar e incluir en éstos, de manera conveniente, aquellos aspectos que han sido causas de fallas en el pasado.

  • Facilita la elaboración del Plan de Negociación de la empresa con sus Proveedores, a partir de la caracterización de la aceptación de sus productos o servicios así como de la calidad de éstos a través del análisis de las reclamaciones y su impacto financiero en la empresa.

    II.2 Principios para la elaboración

    Los principios que garantizan la efectividad de un Sistema de Incidencias pueden resumirse como sigue:

  • Garantizar que la elaboración de la información primaria y su comunicación no constituyan un proceso engorroso para quienes deben hacerlo.

  • Adecuada selección de los canales de información, que incluye: personal encargado de comunicar la incidencia; medios para transmitirla que garanticen la autenticación de la fuente y lugar encargado de la recepción y consolidación de éstas.

  • Clara definición de las áreas de responsabilidades que se asocian a cada una de las incidencias consideradas en el sistema, tales como: Dpto. de operaciones; Dpto. de Contrataciones; Gerencia de Mercadeo; etc.

  • Contenido que debe recoger la incidencia, con lo cual se garantiza la uniformidad en todos los reportes y permite realizar evaluaciones de tipo estadístico, así como recuperar la información mediante consultas parametrizadas. Un aspecto de vital importancia para hacer cumplir este principio lo es elaborar una adecuada caracterización de los tipos de incidencias asociadas a la actividad de la empresa como pueden ser: Aduanales; aeroportuarias; marítimas; etc.

  • Garantizar la diseminación selectiva de la información, basada en el principio de compartir información con los funcionarios que deben conocerla.

  • Facilitar el control del costo de la no calidad.

  • El análisis de las incidencias debe ser sistemático y estar orientado hacia la identificación de causas que originan dificultades y la adopción de decisiones para erradicarlas, ya que un sistema que se instaura y los que deben incorporar información perciben que es inútil poco a poco se desentienden del mismo y posteriormente es muy difícil volver a ponerlo en funcionamiento adecuadamente.

    II.3 Impacto

    En el orden práctico, un Sistemas de Incidencias que cumpla con los Principios antes señalados, tiene como impacto a nivel empresarial los siguientes:

  • Los trabajadores perciben que su trabajo no sólo se controla en un ambiente de trabajo sistemático y planificado, sino que se supervisa, lo cual contribuye a un incremento de la disciplina a nivel de toda la organización.

  • Este mecanismo es una fuente de capacitación del personal, ya que los tipos de incidencias recogidos pueden utilizarse para entrenar al personal de nuevo ingreso en las buenas prácticas.

  • A través de la adopción de medidas para mejorar el desempeño, los empleados aprecian el compromiso de la Alta Gerencia con los resultados de la empresa, lo cual repercute en el sentido de pertenencia.



    Como conclusión del presente trabajo se puede señalar que en él se recogen los aspectos fundamentales asociados a la concepción e impacto de un Sistemas de Incidencias, con lo cual se logra una mayor coherencia a nivel institucional y se facilita la detección de fallas, tanto en la estructura como en la organización de la entidad, al mismo tiempo que contribuye a promover una imagen de seriedad y tiende a facilitar el proceso de negociación y contratación de bienes y servicios.

    saludos
    Miguel

  • Gran Inauguracion de Oeschle en Huancayo

    La foto muestra la estacion ferroviaria del historico ferrocarril central, al fondo el centro comercial REAL PLAZA donde ayer se inauguro Oeschle en Huancayo.

    Huancayo 06 05 2009:
    Ayer se inauguro con mucha expectativa la primera tienda de OESCHLE en su relanzamiento en el Peru, Huancayo tiene el orgullo de ser la primera ciudad en tener esta tienda por departamentos.

    Los fuegos artificiales fueron muy vistosos, las colas de personas pugnando por ingresar al local eran inmensas.

    Yo recien he ido hoy a comprar algo que necesitaba para la casa.....y me agrado mucho el local, es elegante, ordenado, amplio, las marcas de los articulos que se venden son buenas, en resumidas cuentas que bueno que una tienda asi abre sus puertas al mercado peruano y algo muy importante OESCHLE es de capital peruano y llega a hacerle frente a los chilenos y argentinos que sha nos tienen podridos......

    Aqui algunas fotos tomadas por otras personas del local en construccion, quise tomar un par de fotos pero no me permitieron.....antes que me olvide.. algo que note era que en el ingreso a esta tienda tiene rampas para personas discapacitadas o muy ancianas, que bueno que se acuerden de los discapacitados,,, la cochera tambien tiene acceso directo al ingreso a la tienda....

    Frontis y puerta principal de ingreso cuando estaba en construccion:

    Fachada lateral cuando estaba en construccion:


    saludos

    Miguel