WHITE PAPER

Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnologa de la Informacin Tcnicas de Seguridad)

Abril 2008

WHITE PAPER

Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001

TABLA DE CONTENIDO

INTRODUCCIN .

ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001 .

www.arandasoft.com

WHITE PAPER

Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001

INTRODUCCIN

Sistemas de gestin de seguridad de la informacin (requisitos)

Esta norma cubre todo tipo de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin nimo de lucro). Esta norma especifica los requisitos para establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI documentado dentro del contexto de los riesgos globales del negocio de la organizacin. Especifica los requisitos para la implementacin de controles de seguridad adaptados a las necesidades de las organizaciones individuales o partes de ellas.

Aranda 360 ENDPOINT SECURITY cumple como solucin de implementacin de algunos de los objetivos de control y controles enumerados en la Tabla A.1 de la norma ISO/EIC 27001, numerales 5 al 15. En dichos numerales se proporciona asesora y orientacin sobre las mejores prcticas de apoyo a los controles especificados.

www.arandasoft.com

WHITE PAPER

Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001

Aranda 360 ENDPOINT SECURITY & la Norma ISO / IEC 27001

A.10 GESTION DE COMUNICACIONES Y OPERACIONES A.10.4 Proteccin contra cdigos maliciosos y mviles Objetivo: proteger la integridad del software y de la informacin Lo que dice la norma A.10.4.1 maliciosos Controles contra cdigos Lo que hacemos Proteger el sistema de software daino (gusanos y virus). Defender al sistema de programas espa (troyanos, spyware, keyloggers, rootkits).

Se debe implementar controles de deteccin, prevencin y recuperacin para proteger contra cdigos maliciosos, as como procedimientos apropiados de concientizacin de los usuarios. A.10.4.2 Controles contra cdigos mviles Cuando se autoriza la utilizacin de cdigos mviles, la configuracin debe asegurar que dichos cdigos operan de acuerda con la poltica de seguridad claramente definida, y se debe evitar la ejecucin de los cdigos mviles no autorizados.

Controlar las aplicaciones de los usuarios mediante el acceso a listas blancas y listas negras. Controlar el acceso a los diferentes tipos de archivos. Establecer permisos de acceso detallados para cada aplicacin. Establecer permisos de acceso a registros y archivos.

A.10 GESTION DE COMUNICACIONES Y OPERACIONES A.10.6 Gestin de la seguridad de las redes Objetivo: asegurar la proteccin de la informacin de las redes y la proteccin de la infraestructura de soporte. Lo que dice la norma A.10.6.1 Controles de las redes. Las redes se deben mantener y controlar adecuadamente para protegerlas de las amenazas y mantener la seguridad de los sistemas y aplicaciones que usan la red, incluyendo la informacin en trnsito. Lo que hacemos Detectar accesos no autorizados a un computador o a una red mediante el IDS (sistema de deteccin de intrusos). Filtro avanzado de trfico (protocolos mltiples sobre IP, TCP/UDP/ICMP y Ethernet, y filtro de direcciones MAC/IP).

www.arandasoft.com

WHITE PAPER

Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001

Revisar la integridad del protocolo. Proteger la red del escaneo de puertos. Configurar permisos de acceso a la red. Controlar el trfico de red en los puntos finales de acuerdo a los niveles de servicio mediante un firewall integrado al kernel.

A.10.6.2 Seguridad de los servicios de la red. En cualquier acuerdo sobre los servicios de la red, se deben identificar e incluir las caractersticas de seguridad, los niveles de servicio y los requisitos de gestin de todos los servicios de la red, sin importar si los servicio se prestan en la organizacin o se contratan externamente.

A.10 GESTION DE COMUNICACIONES Y OPERACIONES A.10.7 Manejo de los medios Objetivo: evitar la divulgacin, modificacin, retiro o destruccin de activos no autorizada, y la interrupcin en las actividades del negocio. Lo que dice la norma A.10.7.1 Manejo de los medios. Se deben establecer procedimientos para la gestin de los medios removibles. Lo que hacemos Deniega dispositivos de almacenamiento sin bloquear los puertos. Control segn el tipo de dispositivo: USB, Firewire, CD/DVD, disco duro externo y disquete. Controlar el dispositivo de acuerdo con el distribuidor, con el serial o con el modelo. Restringir el uso del medio eliminado mediante la identificacin del fabricante, serial o modelo del dispositivo.

A.10.7.2 Eliminacin de los medios. Cuando ya no se requieran estos medios, su eliminacin se debe hacer de forma segura y sin riesgo, utilizando los procedimientos formales. A.10.7.3 Procedimientos para el manejo de la informacin. Se deben establecer procedimientos para el manejo y almacenamiento de la informacin con el fin de proteger dicha informacin contra divulgacin no autorizada o uso inadecuado.

Controlar el acceso a los diferentes tipos de archivos. Establecer permisos de acceso a registros y archivos.

www.arandasoft.com

WHITE PAPER

Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001

A.10.7.4 Seguridad de la documentacin del sistema. La documentacin del sistema debe estar protegida contra el acceso no autorizado.

Controlar el acceso a los diferentes tipos de archivos. Establecer permisos de acceso a registros y archivos.

A.10 GESTION DE COMUNICACIONES Y OPERACIONES A.10.8 Intercambio de la Informacin. Objetivo: mantener la seguridad de la informacin y del software que se intercambian dentro de la organizacin y con cualquier entidad externa. A.10.8.3 Medios fsicos en trnsito. Los medios que contienen informacin se deben proteger contra el acceso no autorizado, el uso inadecuado o la corrupcin durante el transporte ms all de los lmites fsicos de la organizacin. Encriptar los datos almacenados en dispositivos removibles. Controlar las operaciones de acceso y modificacin de archivos almacenados en dispositivos de almacenamiento removibles.

A.10 GESTION DE COMUNICACIONES Y OPERACIONES

A.10.10 Monitoreo. Objetivo: detectar actividades de procesamiento de la informacin no autorizadas. A.10.10.1 Registro de auditoras. Se deben elaborar y mantener durante un periodo acordado las grabaciones de los registros para auditora de las actividades de los usuarios, las excepciones y los eventos de seguridad de la informacin con el fin de facilitar las investigaciones futuras y el monitoreo del control de acceso. A.10.10.2 Monitoreo del uso del sistema. Se deben establecer procedimientos para el monitoreo del uso de los servicios de procesamiento de informacin, y los resultados de las actividades de monitoreo se deben revisar con regularidad. Registrar y generar reportes sobre todo tipo de actividad, acceso a los recursos del sistema, acceso a los recursos de la red y acceso a archivos.

Monitorear y generar reportes detallados sobre el acceso a dispositivos removibles. Monitorear cualquier tipo de actividad en la red, sistema, aplicaciones y dispositivos del punto final.

www.arandasoft.com

WHITE PAPER

Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001

A.10.10.3 Proteccin de la informacin del registro. Los servicios y la informacin de la actividad de registro se deben proteger contra el acceso o la manipulacin no autorizados.

Almacenar de forma centralizada y segura (base de datos), los registros de actividad reportados por los agentes instalados en los puntos finales. Generar registros de actividades en archivos locales con permisos de nivel de acceso implementados mediante el uso de polticas. Registrar actividades de los usuarios de la consola de administracin de Aranda 360.

A.10.10.4 Registros del administrador y del operador. Se deben registrar las actividades tanto del operador como del administrador del sistema. A.10.10.6 Sincronizacin de relojes. Los relojes de todos los sistemas de procesamiento de informacin pertinentes dentro de la organizacin o del dominio de seguridad deben estar sincronizados con una fuente de tiempo exacta y acordada.

Controlar y restringir mediante la aplicacin de polticas, los cambios de configuracin del sistema operativo e impedir as la modificacin del reloj del sistema.

A.11 CONTROL DE ACCESO A.11.2 Gestin del acceso de usuarios. Objetivo: asegurar el acceso de usuarios autorizados y evitar el acceso de usuarios no autorizados a los sistemas de informacin. Lo que dice la norma A.11.2.2 Gestin de privilegios. Se debe restringir y controlar la asignacin y uso de privilegios. Lo que hacemos Restringir el acceso al sistema de administracin de usuarios y evitar la modificacin de los niveles de acceso. Proteger el sistema de la ejecucin de rootkits que intentar elevar los privilegios del usuario.

www.arandasoft.com

WHITE PAPER

Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001

A.11 CONTROL DE ACCESO A.11.3 Responsabilidades de los usuarios. Objetivo: evitar el acceso de usuarios no autorizados, el robo o la puesta en peligro de la informacin y de los servicios de procesamiento de la informacin. Lo que dice la norma A.11.3.2 Equipo de usuario desatendido. Los usuarios deben asegurarse de que a los equipos desatendidos se les da proteccin apropiada. Lo que hacemos Endurecer el sistema desatendido mediante la proteccin contra desbordamientos de memoria, inyeccin de cdigo, uso excesivo de CPU, reinicios espontneos y elevacin de privilegios.

A.11 CONTROL DE ACCESO A.11.3 Responsabilidades de los usuarios. Objetivo: evitar el acceso de usuarios no autorizados, el robo o la puesta en peligro de la informacin y de los servicios de procesamiento de la informacin. Lo que dice la norma A.11.3.2 Equipo de usuario desatendido. Los usuarios deben asegurarse de que a los equipos desatendidos se les da proteccin apropiada. Lo que hacemos Endurecer el sistema desatendido mediante la proteccin contra desbordamientos de memoria, inyeccin de cdigo, uso excesivo de CPU, reinicios espontneos y elevacin de privilegios.

A.11 CONTROL DE ACCESO A.11.4 Control de acceso a las redes. Objetivo: evitar el acceso no autorizado a los servicios de red. Lo que dice la norma A.11.4.1 Poltica de uso de los servicios de red. Los usuarios slo deben tener acceso a los servicios para cuyo uso estn especficamente autorizados. Lo que hacemos Controlar el acceso a las aplicaciones. Establecer permisos de acceso detallados para cada aplicacin. Configurar permisos de acceso a la red.

www.arandasoft.com

WHITE PAPER

Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001

Detectar accesos no autorizados a un computador o a una red mediante el IDS (sistema de deteccin de intrusos). Proteger la red del escaneo de puertos. Filtrar trfico (protocolos mltiples sobre IP, TCP/UDP/ICMP y Ethernet, y filtro de direcciones MAC/IP). Agrupar y administrar redes de puntos finales identificados mediante membreca en Active Directory, direccin IP, segmento de red y direccin MAC. Configurar permisos de acceso a la red. Controlar las conexiones a redes inalmbricas (Infraestructura y AdHoc) Controlar el acceso a las redes privadas virtuales (VPN). Proteger las configuraciones de red de los puntos finales de cualquier modificacin hecha por el usuario.

A.11.4.4 Proteccin de los puertos de configuracin y diagnstico remoto. El acceso lgico y fsico a los puertos de configuracin y de diagnstico debe estar controlado. A.11.4.5 Separacin en las redes. En las redes se deben separar los grupos de servicios de informacin, usuarios y sistemas de informacin. A.11.4.6 Control de conexin a las redes. Para redes compartidas, especialmente aquellas que se extienden mas all de las fronteras de la organizacin, se debe restringir la capacidad de los usuarios para conectarse a la red, de acuerdo con la poltica de control del acceso y los requisitos de aplicacin del negocio (vase el numeral 11.1).

A.11 CONTROL DE ACCESO A.11.5 Control de acceso al sistema operativo. Objetivo: evitar el acceso no autorizado a los sistemas operativos. Lo que dice la norma A.11.5.4 Uso de las utilidades del sistema. Se debe restringir y controlar estrictamente el uso de programas utilitarios que pueden anular los controles del sistema y de la aplicacin. Lo que hacemos Restringir el acceso a las herramientas del panel de control de Windows Monitorear y proteger proactivamente los procesos activos (procesos de sistema, antivirus, etc.).

www.arandasoft.com

WHITE PAPER

Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001

Restringir el acceso a utilidades de administracin del sistema operativo (Administrador de tareas, Editor del registro, etc.)

A.11 CONTROL DE ACCESO A.11.6 Control de acceso a las aplicaciones y a la informacin. Objetivo: evitar el acceso no autorizado a la informacin contenida en los sistemas de informacin. Lo que dice la norma A.11.6.1 Restriccin informacin. de acceso a la Lo que hacemos Controlar el acceso a las aplicaciones mediante el uso de listas de control de acceso (ACL). Establecer permisos de acceso detallados para cada aplicacin. Configurar permisos de acceso a la red.

Se debe restringir el acceso a la informacin y a las funciones del sistema de aplicacin por parte de los usuarios y del personal de soporte, de acuerdo con la poltica definida de control de acceso.

A.11 CONTROL DE ACCESO A.11.7 Computacin mvil y trabajo remoto. Objetivo: garantizar la seguridad de la informacin cuando se utilizan dispositivos de comunicacin mvil y de trabajo remoto. Lo que dice la norma A.11.7.1 Computacin y comunicaciones mviles Se debe establecer una poltica formal y se deben adoptar las medidas de seguridad apropiadas para la proteccin contra los riesgos debidos al uso de dispositivos de computacin y comunicaciones mviles. Lo que hacemos Controlar las conexiones a redes inalmbricas con mtodos de autenticacin y encripcin (Open, WEP, WPA, WPA2). Autorizar la conexin a puntos de acceso mediante su identificacin (SSID, MAC). Controlar las conexiones Bluetooth.

www.arandasoft.com

10

WHITE PAPER

Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001

A.11.7.2 Trabajo remoto. Se deben desarrollar e implementar polticas, planes operativos y procedimientos para las actividades de trabajo remoto.

Controlar perfiles de conectividad inalmbrica (Conexin LAN, hotspots, VPN, etc.). Permitir el acceso remoto a los recursos de la red mediante el uso de herramientas de conexin VPN autorizadas.

A.12 ADQUISICIN, DESARROLLO Y MANTENIMIENTOS DE SISTEMAS DE INFORMACIN A.12.3 Controles criptogrficos. Objetivo: proteger la confidencialidad, autenticidad e integridad de la informacin. Lo que dice la norma A.12.3.1 Poltica sobre el uso de controles criptogrficos. Se debe desarrollar e implementar una poltica sobre el uso de controles criptogrficos para la proteccin de la informacin. Lo que hacemos Encriptar los datos almacenados en dispositivos removibles. Definir zonas de encripcin en discos duros (archivos y directorios) y controlar el acceso mediante uso de contraseas.

A.12 ADQUISICIN, DESARROLLO Y MANTENIMIENTOS DE SISTEMAS DE INFORMACIN A.12.4 Seguridad de los archivos del sistema. Objetivo: garantizar la seguridad de los archivos del sistema. Lo que dice la norma A.12.4.1 Control del software operativo. Se deben implementar procedimientos para controlar la instalacin de software en sistemas operativos. A.12.4.2 Proteccin de los datos de prueba del sistema. Los datos de prueba deben seleccionarse cuidadosamente, as como protegerse y controlarse. Lo que hacemos Restringir la instalacin de software no autorizado y la desinstalacin de aplicaciones.

Controlar el acceso a los diferentes tipos de archivos. Establecer permisos de acceso a registros y archivos. Prevenir la contaminacin binaria de aplicaciones existentes.

www.arandasoft.com

11

WHITE PAPER

Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001

A.12 ADQUISICIN, DESARROLLO Y MANTENIMIENTOS DE SISTEMAS DE INFORMACIN A.12.5 Seguridad en los procesos de desarrollo y soporte. Objetivo: mantener la seguridad del software y de la informacin del sistema de aplicaciones. Lo que dice la norma A.12.5.3 Restricciones en los cambios a los paquetes de software. Se debe desalentar la realizacin de modificaciones a los paquetes de software, limitarlas a los cambios necesarios, y todos los cambios se deben controlar estrictamente. A.12.5.4 Fuga de informacin. Se deben evitar las oportunidades para que se produzca fuga de informacin. Lo que hacemos Restringir la modificacin de archivos binarios. Registrar todo tipo de acceso (Lectura/Escritura), en archivos ejecutables.

Restringir el almacenamiento de datos en dispositivos removibles no autorizados (Memorias USB, Discos Duros externos, iPods, etc.). Restringir la funcionalidad de escritura en unidades CD/DVD. Restringir la conexin de impresoras USB. Encriptar los datos almacenados en dispositivos removibles.

A.12 ADQUISICIN, DESARROLLO Y MANTENIMIENTOS DE SISTEMAS DE INFORMACIN A.12.6 Gestin de la vulnerabilidad tcnica. Objetivo: reducir los riesgos resultantes de la explotacin de vulnerabilidades tcnicas publicadas. Lo que dice la norma A.12.6.1 tcnicas. Control de vulnerabilidades Lo que hacemos Prevenir los desbordamientos de memoria (memoria esttica y memoria dinmica). Analizar las actualizaciones de firmas y parches. Ejecutar scripts de actualizacin y remediacin para la solucin de problemas.

Se debe tener informacin oportuna sobre las vulnerabilidades tcnicas de los sistemas de informacin que estn en uso, evaluar la exposicin de la organizacin a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados.

www.arandasoft.com

12

WHITE PAPER

Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001

A.13 GESTION DE LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIN A.13.1 Reporte sobre los eventos y debilidades de la seguridad de la informacin. Objetivo: asegurar que los eventos y las debilidades de la seguridad de la informacin asociados con los sistemas de informacin se comunican de forma tal que permiten tomar las acciones correctivas oportunamente. Lo que dice la norma A.13.1.1 Reporte sobre los eventos de seguridad de la informacin. Los eventos de seguridad de la informacin se deben informar a travs de los canales de gestin apropiados tan pronto como sea posible. A.13.1.2 Reporte sobre las debilidades de la seguridad. Se debe exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de informacin que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios. Lo que hacemos Monitorear actividades y generar reportes permanentemente. Exportar registros a sistemas externos de anlisis y generacin de reportes.

Generar alertas sobre actividades irregulares o incidentes de seguridad en tiempo real.

A.13 GESTION DE LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIN A.13.2 Gestin de los incidentes y las mejoras en la seguridad de la informacin. Objetivo: asegurar que se aplica un enfoque consistente y eficaz para le gestin de los incidentes de seguridad de la informacin. Lo que dice la norma A.13.2.3 Recoleccin de evidencia. Cuando una accin de seguimiento contra una persona u organizacin despus de un incidente de seguridad de la informacin implica acciones legales (civiles o penales), la evidencia se debe recolectar, retener y presentar para cumplir con las reglas para la evidencia establecidas en la jurisdiccin pertinente. Lo que hacemos Almacenar y exportar registros a sistemas externos de anlisis y generacin de reportes.

www.arandasoft.com

13

WHITE PAPER

Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001

A.15 CUMPLIMIENTO A.15.1 Cumplimiento de los requisitos legales. Objetivo: evitar el incumplimiento de cualquier ley, de obligaciones estatutarias, reglamentarias o contractuales y de cualquier requisito de seguridad. Lo que dice la norma A.15.1.4 Proteccin de los datos privacidad de la informacin personal. y Lo que hacemos Controlar el acceso a los diferentes tipos de archivos. Encriptar directorios y archivos en discos duros y dispositivos de almacenamiento removibles. Establecer permisos de acceso a registros y archivos. Controlar el acceso a las aplicaciones mediante el uso de listas de control de acceso (ACL). Establecer permisos de acceso detallados para cada aplicacin. Controlar las conexiones a redes inalmbricas con mtodos de autenticacin y encripcin (Open, WEP, WPA, WPA2). Utilizar algoritmos estndar de encripcin de datos para proteger la confidencialidad, integridad y autenticidad de la informacin.

Se debe garantizar la proteccin de los datos y la privacidad, de acuerdo con la legislacin y reglamentos pertinentes y, si se aplica, con las clusulas del contrato. A.15.1.5 Prevencin del uso inadecuado de los servicios de procesamiento de informacin. Se debe disuadir a los usuarios de utilizar los servicios de procesamiento de informacin para propsitos no adecuados. A.15.1.6 Reglamentacin de los controles criptogrficos. Se deben utilizar controles criptogrficos que cumplan todos los acuerdos, las leyes y los reglamentos pertinentes.

www.arandasoft.com

14

WHITE PAPER

Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001

A.15 CUMPLIMIENTO A.15.2 Cumplimiento de las polticas y las normas de seguridad y cumplimiento tcnico. Objetivo: asegurar que los sistemas cumplen con las normas y polticas de seguridad de la informacin. Lo que dice la norma A.15.2.2 tcnico. Verificacin del cumplimiento Lo que hacemos Analizar las actualizaciones de firmas y parches. Ejecutar scripts de verificacin de procesos de las soluciones de seguridad y de otro software de seguridad. Monitorear actividades y generar reportes permanentemente.

Los sistemas de informacin se deben verificar peridicamente para determinar el cumplimiento con las normas de implementacin de la seguridad.

www.arandasoft.com

15