Por si no has llegado al final de la entrada anterior... me puedes seguir en:
http://www.miguelangelhernandez.es
Continuamos andando el camino a ver hasta donde nos lleva
Salu2 y hasta pronto!!
martes, 16 de febrero de 2010
Primer año del blog!!! y... Punto y Seguido
Hace ahora un año que me decidí a, tras un post voluntarioso, lanzarme a la blogesfera a ver qué me podía ofrecer y qué podía ofrecer a los demás desde mi humilde conocimiento de la seguridad de la información. Así rezaba aquel primer post:
Hoy, finalmente me he decidido a comenzar este blog con la temática que anteriormente propuse y con el objetivo de realizar como mínimo una publicación por semana, que es lo que ahora mismo me puedo permitir. Espero que todo lo que aquí expongo os resulte interesante y os sirva para vuestra actividad diaria, para comentárselo a un amigo, para ponerlo en práctica en casa o para cualquier otra faceta que os pueda resultar de interés, eso si, siempre dentro de lo legal :).
Hoy hace ya un año y este blog ha sobrevivido a los que han sido los peores momentos de mi vida en lo que a lo familiar se refiere por lo que he decidido que se merece la oportunidad de seguir adelante y tratar de conseguir aquellos loables deseos con los que se inició.
Las estadísticas de este blog están muy lejos de las de los mejores en esta temática pero acabo de arrancar y esto es un camino largo que se anda paso a paso, sin prisa pero sin pausa.
En Noviembre del año pasado tuve el mayor número de visitantes rozando los 700 y se han contabilizado un total de 4141 usuarios únicos absolutos con un total de 9.498 páginas vistas.
Un total de 5781 visitas provenientes de 53 países distintos me dan aliento y ánimo a seguir adelante con esta iniciativa que tantos buenos ratos me ha dado y espero que también a vosotros. Quiero mandar desde aquí un cordial saludo a todos mis amigos de latinoamérica a los que Internet les permite pasarse por Murcia de manera asidua a hacerme una visita al blog ;). También me gustaría por supuesto agradecer a todos los que, desde España me habéis visitado y me seguís, algunos me consta que desde el primer día.
Alrededor de unos 40 lectores suscritos por rss me siguen desde diversos feeds, a todos ellos, gracias, sois la parte más visible de que lo que escribo suscita cierto interés, gracias por vuestra paciencia en momentos de poca actualización y por vuestra fidelidad.
Tras los apartados de cifras y agradecimientos, ahora voy con mis votos para este ciclo 2010-2011, así tenéis cosas que echarme en cara si no las cumplo :).
Os pediría a todos aquellos que sigáis interesados en mis publicaciones que os suscribiéseis al nuevo feed que podréis encontrar en la nueva ubicación puesto que la operación de redirigirlos no me convencía.
Nos vemos en www.miguelangelhernandez.es
Las estadísticas de este blog están muy lejos de las de los mejores en esta temática pero acabo de arrancar y esto es un camino largo que se anda paso a paso, sin prisa pero sin pausa.
En Noviembre del año pasado tuve el mayor número de visitantes rozando los 700 y se han contabilizado un total de 4141 usuarios únicos absolutos con un total de 9.498 páginas vistas.
Un total de 5781 visitas provenientes de 53 países distintos me dan aliento y ánimo a seguir adelante con esta iniciativa que tantos buenos ratos me ha dado y espero que también a vosotros. Quiero mandar desde aquí un cordial saludo a todos mis amigos de latinoamérica a los que Internet les permite pasarse por Murcia de manera asidua a hacerme una visita al blog ;). También me gustaría por supuesto agradecer a todos los que, desde España me habéis visitado y me seguís, algunos me consta que desde el primer día.
Alrededor de unos 40 lectores suscritos por rss me siguen desde diversos feeds, a todos ellos, gracias, sois la parte más visible de que lo que escribo suscita cierto interés, gracias por vuestra paciencia en momentos de poca actualización y por vuestra fidelidad.Tras los apartados de cifras y agradecimientos, ahora voy con mis votos para este ciclo 2010-2011, así tenéis cosas que echarme en cara si no las cumplo :).
- Disponer de una actualización más continuada
- Realizar artículos largos dedicados a alguna temática de la seguridad
- Hablaos más de peritaje informático, análisis forense y hacking
- Informaos de mis lineas de investigación en IDS y haceos un monográfico sobre Sistemas de Detección de Intrusos.
- Comentaos libros que os puedan resultar de vuestro interés
- Y como no, tratar de que el contenido sea más atractivo
Os pediría a todos aquellos que sigáis interesados en mis publicaciones que os suscribiéseis al nuevo feed que podréis encontrar en la nueva ubicación puesto que la operación de redirigirlos no me convencía.
Nos vemos en www.miguelangelhernandez.es
viernes, 12 de febrero de 2010
Entrevista a un SCAMMER
Categoría: Seguridad de la Información
El SCAM es el intento de captación de víctimas mediante ofertas de trabajo en apariencia suculentas que esconden un sórdido objetivo, la estafa. ¿Quien no ha recibido el típico correo de la empresa "adiconocsed" ofreciéndote ser "Jefe comercial del departamento de intercambio de monedas y divisas"?. Pues bien, hoy podeis ver de primera mano cómo es un SCAM a través de una entrevista realizada por Bruce Schenier a un Scammer Nigeriano, no os lo perdáis, no tiene desperdicio.
http://www.schneier.com/blog/archives/2010/02/interview_with_16.html
El SCAM es el intento de captación de víctimas mediante ofertas de trabajo en apariencia suculentas que esconden un sórdido objetivo, la estafa. ¿Quien no ha recibido el típico correo de la empresa "adiconocsed" ofreciéndote ser "Jefe comercial del departamento de intercambio de monedas y divisas"?. Pues bien, hoy podeis ver de primera mano cómo es un SCAM a través de una entrevista realizada por Bruce Schenier a un Scammer Nigeriano, no os lo perdáis, no tiene desperdicio.
http://www.schneier.com/blog/archives/2010/02/interview_with_16.html
martes, 9 de febrero de 2010
TOP 10 en carreras ligadas a la Seguridad
Esta mañana, mientras ojeaba el correo, he hecho caso a uno que normalmente miro poco (el resumen de Information Security Career de Likedin) y me he encontrado un artículo que os puede resultar interesante. Habla sobre 10 posibles itinerarios profesionales y qué es lo que supone el dedicarse a cada una de esas actividades. Junto con esta información, figuran algunos lugares donde se pueden encontrar cada uno de estos trabajos. Fijaos en el número 1... hay algo aquí en España que se parece bastante a eso... aunque tiene un nombre más sencillo ;).
Por supuesto, esto es sólo la opinión del autor.
Salu2!
Coches de Segunda Mano: Minimizando el riesgo
Hola de nuevo a tod@s,
Hoy me voy a saltar (solo un poco) la temática del blog en general y os voy a hablar de mi última experiencia en mi afán por conseguir una buena oportunidad en la adquisición de un coche de segunda mano. Como en cualquier otro aspecto de la vida, aquí también hay un riesgo. Sin duda alguna, la compra de un coche de segunda mano es una de las operaciones en la que te la juegas, ya lo decía la madre de Forest Gump, "la vida es como una caja de bombones, nunca sabes lo que te va a tocar".
Hace mucho que persigo un coche en concreto, no procede señalar cual, y hace un par de semanas encontré por Internet lo que parecían ser dos buenas oportunidades, una en Girona en un concesionario de la casa y otra en Valladolid que era una venta de particular (o eso parecía), me decidí a ir en orden a por la primera y voló, el vehículo duró 24 horas y fue rápidamente adquirido, además en Tenerife, con lo que me quedé algo como así 0_0.
Ni corto ni perezoso me dirijo al supuesto propietario del segundo vehículo y bueno... aparentemente todo estaba bien, parece que esta todo en orden y el precio sin llegar a ser el chollo del primero me convence. Me desplacé 650km para poder ver el coche y empecé a ver cosas extrañas... el coche tenía 4 años y medio y 60 y pico mil kilómetros, sin embargo en el libro de revisiones aparecía sólo una, al año de vida del vehículo y con 30000kms con lo que te viene la pregunta, ¿Cómo puede ser esto? si sigue la progresión, el coche debería tener por encima de los 100.000... psshsss pssshss (esto es el sonido de la mosca detrás de la oreja).
Quedamos en que si todo está en orden adquiriré el vehículo y me dispongo a realizar mi particular investigación con el objetivo de reducir el riesgo de la operación. Me dirijo a la Dirección General de Tráfico, cojo un papelito y pago las tasas correspondientes (7,80) y me hago con el historial del vehículo. Allí figura el nombre del propietario que no es quien me lo vende, el que me lo vende es un comercial de otro concesionario de marca distinta a la del vehículo. Bueno, tengo que intentarlo, no me culpen, llamé a San Google y le pregunté y voilá, di con el dueño!!!. El dueño del vehículo me confirmó que había sido suyo y que efectivamente el coche tenía 107.000 kms aproximadamente, cosa que dista bastante de los que a mi me presentaban, además el libro de revisiones había sido manipulado.
Lo peor es que tras hablar esto con un abogado parece ser que es muy difícil meter mano en asuntos de este tipo porque no suponen una contra prestación para el denunciante, simplemente repercutiría negativamente en el denunciado, además de esto, hay que denunciar donde ocurren los hechos e ir a declarar allí en el juicio. Lo único que se podría hacer es pedir daños y perjuicios una vez haya concluido el primer pleito.
¿Cómo termina todo? con el vehículo en su sitio y yo en el mio que estamos los dos mejor. La investigación me salvó.
Pero esto no es todo, las compras de coches de segunda mano por Internet están llenas de timos mucho peores que éste, gente que pone a la venta coches que no existen e intenta vendértelo sin que lo veas o que le pagues una señal a lo que sigue un "ya te has quedado sin tu pasta". Personas que dicen estar en Australia y que han ganado el coche en un divorcio o gente que los vende porque se ha ido a Inglaterra y claro, allí se conduce por el otro lado. La Neurosis es la base de un buen tratamiento del riesgo, en estos casos no te dejes llevar por tus deseos de adquirir el vehículo, sé lógico, piensa lo peor y acertarás.
Salu2!
domingo, 7 de febrero de 2010
10 viñetas de seguridad en aeropuertos
Hola,
Para que esta mañana de lunes empeceis la semana con buen pie y buen humor os dejos estas viñetas, algunas son muy buenas ;).
Fuente: http://www.schneier.com/
Para que esta mañana de lunes empeceis la semana con buen pie y buen humor os dejos estas viñetas, algunas son muy buenas ;).
Fuente: http://www.schneier.com/
domingo, 31 de enero de 2010
Publicados el ENS y el ENI
Hola a tod@s,
Tras una semana de "vacaciones", ya se sabe, son vacaciones del trabajo habitual pero hay otros cuantos miles de cosas que hacer, me he encontrado con que el viernes pasado se publicó el Esquema Nacional de Seguridad y el Esquema Nacional de Interoperabilidad. Por fin y tras un largo camino disponemos de las herramientas que vienen a garantizar un acceso seguro y fiable de los ciudadanos a los servicios ofrecidos vía intenernet por las administraciones públicas.
Aquí podeis encontrarlos:
- Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. PDF (BOE-A-2010-1330 - 50 págs. - 1130 KB)
- Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica. PDF (BOE-A-2010-1331 - 18 págs. - 311 KB)
Salu2!!
jueves, 14 de enero de 2010
¿Es válido el enfoque actual de seguridad para el futuro?
Categoría: Seguridad de la Información
Recientemente publiqué en Twitter que analizaría una noticia que encontré en CSO. Esta noticia titula "El enfoque tradicional de la seguridad TI ya no es aplicable, según Ernst & Young". Me llamó la atención cuando lo analicé desde el punto de vista de cómo plantea ISO 27001 la seguridad de la información mediante un enfoque basado en proceso. Cada cosa que leía me planteaba más dudas sobre las afirmaciones que allí se hacen. Esta noticia está basada en una entrevista hecha a Gerry Chng. Aquí dejo mi opinión al respecto sin el ánimo que se entienda como una crítica sino simplemente como un punto de vista. No dudeis en darme el vuestro propio.
Chng cree limitarse a cuestiones como securizar la infraestructura, evitar la entrada de hackers o centrarse en el mantenimiento de la conformidad con las normas son algunas de las medidas de seguridad que han ido quedando obsoletas, teniendo en cuenta la emergencia de nuevas tecnologías.
Entiendo que se refiere a la conformidad legal, no a la conformidad normativa en términos de seguridad según ISO 27001 porque allí precisamente se detallan todos los ámbitos de seguridad que se deben tener en cuenta (organizativo, físico, ambiental y lógico).
La necesidad de centrarse en la información misma se hace, según este experto, evidente a la luz de los diversos incidentes que se produjeron el año pasado cuando se robaron datos de forma masiva de diversas grandes organizaciones, como consecuencia de su negligencia en cuanto a la seguridad.
Una conducta negligente en cuanto seguridad implica que los riesgos no se estaban gestionando y/o las leyes aplicables no se estaban cumpliendo. Una vez el riesgo se encuentra gestionado se ha tomado una decisión acerca de si se Mitiga, Transfiere, Evita o Acepta y lo único que se podría echar en cara es que en algún momento durante el Análisis de Riesgos y/o aplicación del Plan de tratamiento de riesgos, hubo alguna desviación ya que la seguridad al 100% no es alcanzable. Habría que conocer los diferentes casos y las explicaciones que se han dado para cada uno de ellos, sinceramente me gustaría saber a cuales se refiere exactamente (igual se lo pregunto y os lo cuento).
Chng señala el cloud computing como ejemplo de tecnología llamada a cambiar el enfoque que las empresas hacen de la seguridad de su información, principalmente porque en este modelo los datos no residen en las instalaciones corporativas. “Cloud computing presenta una fuerte dependencia de Internet y, por tanto, hace más crítico que no se produzcan caídas en la conectividad para mantener la continuidad del negocio”, explica.
Ah!, ahora se a lo que se refería cuando decía: "teniendo en cuenta la emergencia de nuevas tecnologías". Y tiene mucha razón, pero ahí está otra vez 27001, el análisis de riesgos y la gestión de relaciones con terceros. Será la organización la que tendrá que decidir si realmente quiere que sus activos estén en una ubicación que no es de su propiedad y en ese caso, estimar las garantías necesarias que debe cumplir el depositario de la información. Todo esto tendrá que trasladarse a la relación contractual. Derecho a Auditoría, Conformidad con ISO 27001 con alcance a todos los procesos de almacenamiento, indemnizaciones por incumplimiento, SLAs, etc serán algunas de las medidas a contemplar.
En cuanto a la conformidad, debe enfocarse con cuidado, según Chng, y no convertirla en el principal criterio para considerar que la información está adecuadamente protegida. “La conformidad con las reglas internas y legales no se traduce necesariamente en una buena seguridad. Puede resultar de gran ayuda pero resulta cara, y no es sostenible”, asegura, defendiendo que la mejor estrategia al respecto consiste en comprender lo que se pretende con las normas exigidas y enfocar la conformidad como una práctica de seguridad producto a producto.
Estoy de acuerdo en que la conformidad con la legislación aplicable no es requisito suficiente para una buena seguridad. El mejor ejemplo lo tenemos con la LOPD y su Reglamento de Desarrollo. Su cumplimiento no garantiza la seguridad pero no es una elección, sea como sea de cara y de difícil de sostener. Coincido en que no se debe caer en que el cumplimiento legal es, a día de hoy, una garantía de seguridad en un alcance organizativo, pero a su vez no entiendo cómo hay quien se plantea cumplir la ISO 27001 sin ni siquiera haberse planteado cumplir la LOPD.
Teniendo en cuenta todas estas consideraciones, en opinión de Chng, una buena estrategia de seguridad de la información debería incorporar cuatro elementos: gestión proactiva y continua de la seguridad en lugar de reactiva y puntual; iniciativas de seguridad efectivas en costes para satisfacer los requerimientos regulatorios; definir las fronteras de los retos operacionales; y atender a los riesgos derivados de las tecnologías emergentes.
Y esto es (salvo connotaciones de índole económico) lo que promulga ISO 27001, que por si cabe alguna duda es ya desde hace algún tiempo el enfoque actual de seguridad.
Tras más de una lectura se puede llegar a la conclusión de que la intención de Gerry Chng es probablemente incentivar la protección basada en la información y de forma indirecta las normativas de cumplimiento voluntario que la gestionan, pero creo que la traducción, en ocasiones, si no "interpretas" juega malas pasadas, en este caso, por culpa del término "normativa".
Todo comentario es bienvenido, como siempre.
Salu2!
lunes, 11 de enero de 2010
Aprobado el Esquema Nacional de Seguridad
Hoy estamos de enhorabuena, en realidad lo está toda España sea o no consciente. El Consejo de Ministros ha aprobado el ENS que será publicado bajo un Real Decreto.
Lo único que espero es que el Gobierno se moleste en que este Esquema Nacional de Seguridad sea Auditado e Impuesto a todas las Organizaciones bajo el alcance legal de la ley 11/2007 y no quede en un papel, aunque probablemente, si no lo hace en primera instancia, el devenir de los acontecimientos acabará por dar argumentos de sobra para que así sea.
Este ENS requiere en mi opinión de personal especializado y un cuerpo de auditores capacitado para verificar su cumplimiento ya que aquello que se pretende salvaguardar no es baladí... tiempo al tiempo.
Fuente: sociedad de la información
Salu2!.
jueves, 7 de enero de 2010
ISO/IEC 15408 Common Criteria (III)
*****************************************
ISO/IEC 15408 Common Criteria (I)
ISO/IEC 15408 Common Criteria (II)
ISO/IEC 15408 Common Criteria (III)
*****************************************
Categoría: Seguridad de la Información
*****************************************
ISO/IEC 15408 Common Criteria (I)
ISO/IEC 15408 Common Criteria (II)
ISO/IEC 15408 Common Criteria (III)
*****************************************
ISO/IEC 15408 Common Criteria (I)
ISO/IEC 15408 Common Criteria (II)
ISO/IEC 15408 Common Criteria (III)
*****************************************
Categoría: Seguridad de la Información
¿Cómo se dividen los niveles de seguridad?, ¿cuántos son y cómo se pasa de uno a otro?
Nos vamos a centrar en la tercera norma de la familia que define, como antes comentamos, los requisitos de seguridad del TOE. Estos requisitos se definen a partir de conjuntos de requisitos del mismo catálogo agrupados en Niveles de Evaluación de Seguridad (Evaluation Assurance Level o EAL). Éstos EALs representan una escala creciente que balancea el nivel de seguridad obtenido con el coste y viabilidad de adquisición de ese nivel de seguridad. El nivel de esfuerzo necesario para pasar de un nivel a otro se basa en un incremento de:
Nos vamos a centrar en la tercera norma de la familia que define, como antes comentamos, los requisitos de seguridad del TOE. Estos requisitos se definen a partir de conjuntos de requisitos del mismo catálogo agrupados en Niveles de Evaluación de Seguridad (Evaluation Assurance Level o EAL). Éstos EALs representan una escala creciente que balancea el nivel de seguridad obtenido con el coste y viabilidad de adquisición de ese nivel de seguridad. El nivel de esfuerzo necesario para pasar de un nivel a otro se basa en un incremento de:
- Alcance: El esfuerzo es mayor porque son más los componentes del producto a analizar.
- Profundidad: el esfuerzo es mayor porque aumenta el nivel de detalle de la implementación y el diseño.
- Rigor: el esfuerzo es mayor porque se aplica una forma más estructurada y formal
Lon niveles definidos en ISO 15408-3 son los siguientes:
- EAL1: Proporciona un nivel básico de seguridad mediante el análisis de la especificación funcional y de interfaces así como de las guías de documentación con el objetivo de entender el comportamiento en materia de seguridad. El análisis se apoya en un testeo independiente de las funciones de seguridad del TOE. Este nivel de seguridad proporciona un significativo avance con respecto a un producto no evaluado.
- EAL2: Este nivel proporciona un aumento significativo en seguridad con respeto al nivel anterior requiriendo el testeo por parte del desarrollador, un análisis de vulnerabilidad y unas pruebas independientes basadas en especificaciones del TOE más detalladas.
- EAL3: En este nivel se aumentan las capacidades de seguridad solicitando una cobertura de pruebas más completa sobre las funciones de seguridad y mecanismos y/o procedimientos que propocionen confianza de que el TOE no ha sido manipulado durante su desarrollo.
- EAL4: Con respecto al nivel anterior, en éste se requiere más descripción del diseño, un subconjunto de la implementación, y mecanismos o procedimientos mejorados que provean confianza de que el producto no ha sido alterado durante su desarrollo o entrega.
- EAL5: En este nivel se requieren descripciones semi-formales, la implementación completa y una arquitectura más estructurada y análisis de comunicaciones cifradas.
- EAL6: Se requiere un análisis más exhaustivo una representación estructurada de la implementación, una arquitectura más estructurada, un análisis de vulnerabilidades independiente más exhaustivo, identificación cifrada, gestión de la configuración mejorada y más controles en el entorno de desarrollo.
- EAL7: Se incrementa aún más la exhaustividad del análisis usando una representación o correspondencia formal y un testing más exhaustivo.
¿Donde encaja todo esto con ISO 27001?
Como alguno ya estaréis pensando CC e ISO 27001 no están ni mucho menos desconectados. Podemos enmarcar a CC dentro del bloque 12 Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información. Dentro de ISO 15408-1 se detalla el proceso que se sigue desde que se identifica la necesidad de desarrollo / adquisición de software hasta que se obtiene un conjunto de requisitos tanto funcionales, como de seguridad y finalmente del entorno, que se deben cumplir para la puesta en marcha del sistema de información en cuestión.
Como alguno ya estaréis pensando CC e ISO 27001 no están ni mucho menos desconectados. Podemos enmarcar a CC dentro del bloque 12 Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información. Dentro de ISO 15408-1 se detalla el proceso que se sigue desde que se identifica la necesidad de desarrollo / adquisición de software hasta que se obtiene un conjunto de requisitos tanto funcionales, como de seguridad y finalmente del entorno, que se deben cumplir para la puesta en marcha del sistema de información en cuestión.
*****************************************
ISO/IEC 15408 Common Criteria (I)
ISO/IEC 15408 Common Criteria (II)
ISO/IEC 15408 Common Criteria (III)
*****************************************
miércoles, 6 de enero de 2010
Ahora podeis seguirme también en Twitter
Hola a tod@s!!
Desde ayer también podéis seguirme en twitter. Como todo el mundo se suma a la moda, yo he pensado que no voy a ser menos y voy a ver si le saco partido al pájaro... al de twitter XD.
Mi nick es miguelangelher y podeis localizarme fácilmente.
La idea es utilizar twitter para noticias, impresiones o comentarios breves (vamos, para lo que és) y para alguna que otra gilisubnorestuloquesea que se me ocurra ;)
Salu2!.
Desde ayer también podéis seguirme en twitter. Como todo el mundo se suma a la moda, yo he pensado que no voy a ser menos y voy a ver si le saco partido al pájaro... al de twitter XD.
Mi nick es miguelangelher y podeis localizarme fácilmente.
La idea es utilizar twitter para noticias, impresiones o comentarios breves (vamos, para lo que és) y para alguna que otra gilisubnorestuloquesea que se me ocurra ;)
Salu2!.
ISO/IEC 15408 Common Criteria (II)
*****************************************
ISO/IEC 15408 Common Criteria (I)
ISO/IEC 15408 Common Criteria (II)
ISO/IEC 15408 Common Criteria (III)
*****************************************
Categoría: Seguridad de la Información
¿Cuales son sus bases?
CC se asienta principalmente sobre cuatro conceptos a saber; Perfiles de Protección (Protection Profiles o PPs), Objetivos de Seguridad (Security Targets o STs), Objetivos de Evaluación (Target of Evaluation o TOEs) y Niveles de Evaluación de seguridad (Evaluation Assurance Levels o EALs). Estos elementos se relacionan y definen como sigue:
ISO/IEC 15408 Common Criteria (I)
ISO/IEC 15408 Common Criteria (II)
ISO/IEC 15408 Common Criteria (III)
*****************************************
Categoría: Seguridad de la Información
¿Cuales son sus bases?
CC se asienta principalmente sobre cuatro conceptos a saber; Perfiles de Protección (Protection Profiles o PPs), Objetivos de Seguridad (Security Targets o STs), Objetivos de Evaluación (Target of Evaluation o TOEs) y Niveles de Evaluación de seguridad (Evaluation Assurance Levels o EALs). Estos elementos se relacionan y definen como sigue:
- Un Perfil de Protección (en adelante PP) es un conjunto de requisitos de seguridad independientes de cualquier tipo de implementación para una categoría de Objetivos de Evaluación que cumplen una serie de necesidades específicas de cara al consumidor. Un PP se confecciona con la idea de que sea reutilizable y defina un conjunto de requisitos que se han mostrado eficaces en dar cumplimiento a determinados objetivos identificados, ya sean funcionales o de seguridad. Un PP debe contener al menos un Nivel de Evaluación de Seguridad (Evaluation Assurance Level o EAL), expuesto más adelante.
- Un Objeto de Evaluación (En adelante TOE) es un producto de Tecnologías de la Información o sistema y su documentación asociada en términos de guías de administración y usuario que son objeto de evaluación. Posibles ejemplos de TOEs pueden ser; una aplicación, una aplicación en conjunción con un sistema operativo, un sistema operativo en conjunción con una estación de trabajo, etc.
- Un Objetivo de Seguridad (En adelante ST) es un conjunto de requisitos de seguridad instanciados para una implementación concreta que sirven como base para la evaluación de un determinado TOE. Un ST puede hacer referencia a un PP. Un ST es la base para el acuerdo entre todas las partes acerca de la seguridad que ofrece un TOE. Al igual que en el PP, los requisitos de seguridad en un ST deben incluir un EAL de la parte 3 de esta familia de normas.
- Un Nivel de Evalaución de Seguridad (En adelante EAL) es un conjunto de requisitos de seguridad que conjuntamente proporcionan un nivel de confianza concreto.
¿Cómo se Organiza?
Bajo las normas ISO 15408-1, ISO 15408-2 e ISO 15408-3 equivalentes a las Common Criteria que podéis descargar desde aquí.
La primera parte de la norma es una introducción y modelo general donde se exponen los principales conceptos de esta familia así como las bases para la unificación de criterios en la evaluación de seguridad del software.
La segunda parte es un catálogo de componentes que contienen requisitos funcionales que se han mostrado eficaces en el cumplimiento de los objetivos de seguridad de un PP o un ST.
En la línea de la segunda parte, la tercera expone los componentes que conteinen requisitos de seguridad para los TOEs. A su vez, esta norma expone los niveles de evaluación de seguridad (EALs).
En ambos casos (para las partes 2 y 3), la organización de los requisitos se hace en base a tres estructuras de mayor a menor ámbito conocidas como Clases, Familias y Componentes, estos últimos albergan en su interior elementos, que son el mínimo nivel de expresión de requisitos.
Todo esto no tendría mucho sentido sin una metodología de evaluación, que es el cuarto documento en discordia y que expone el conjunto mínimo de acciones que debe desempeñar un tester durante una evaluación CC.
*****************************************
ISO/IEC 15408 Common Criteria (I)
ISO/IEC 15408 Common Criteria (II)
ISO/IEC 15408 Common Criteria (III)
*****************************************
Bajo las normas ISO 15408-1, ISO 15408-2 e ISO 15408-3 equivalentes a las Common Criteria que podéis descargar desde aquí.
La primera parte de la norma es una introducción y modelo general donde se exponen los principales conceptos de esta familia así como las bases para la unificación de criterios en la evaluación de seguridad del software.
La segunda parte es un catálogo de componentes que contienen requisitos funcionales que se han mostrado eficaces en el cumplimiento de los objetivos de seguridad de un PP o un ST.
En la línea de la segunda parte, la tercera expone los componentes que conteinen requisitos de seguridad para los TOEs. A su vez, esta norma expone los niveles de evaluación de seguridad (EALs).
En ambos casos (para las partes 2 y 3), la organización de los requisitos se hace en base a tres estructuras de mayor a menor ámbito conocidas como Clases, Familias y Componentes, estos últimos albergan en su interior elementos, que son el mínimo nivel de expresión de requisitos.
Todo esto no tendría mucho sentido sin una metodología de evaluación, que es el cuarto documento en discordia y que expone el conjunto mínimo de acciones que debe desempeñar un tester durante una evaluación CC.
*****************************************
ISO/IEC 15408 Common Criteria (I)
ISO/IEC 15408 Common Criteria (II)
ISO/IEC 15408 Common Criteria (III)
*****************************************
martes, 5 de enero de 2010
ISO/IEC 15408 Common Criteria (I)
*****************************************
ISO/IEC 15408 Common Criteria (I)
ISO/IEC 15408 Common Criteria (II)
ISO/IEC 15408 Common Criteria (III)
*****************************************
o-o-o-o-o-o-o-o-Espacio para felicitaciones :)-o-o-o-o-o-o-o
Me he querido reservar este espacio para felicitaos el año nuevo y desearos lo mejor a todos para este, esperemos que próspero y seguro, 2010 ya empezado.
o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o
Categoría: Seguridad de la Información
Introducción
*****************************************
ISO/IEC 15408 Common Criteria (I)
ISO/IEC 15408 Common Criteria (II)
ISO/IEC 15408 Common Criteria (III)
*****************************************
ISO/IEC 15408 Common Criteria (I)
ISO/IEC 15408 Common Criteria (II)
ISO/IEC 15408 Common Criteria (III)
*****************************************
o-o-o-o-o-o-o-o-Espacio para felicitaciones :)-o-o-o-o-o-o-o
Me he querido reservar este espacio para felicitaos el año nuevo y desearos lo mejor a todos para este, esperemos que próspero y seguro, 2010 ya empezado.
o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o
Categoría: Seguridad de la Información
Introducción
Common Criteria (en adelante CC) con un total de más de 600 páginas entre las 3 normas nos plantea una magnitud de información en estudio bastante grande, sobre todo para aquellos que, como yo, somos profanos en la evaluación de aplicaciones.
Este post no tiene como objetivo ser exhaustivo en cuanto a todo lo expuesto por las 3 normas que conforman la familia ISO/IEC 15408 sino dar unas pinceladas de lo que se pretende para que nos pueda servir como base de conocimiento suficiente para saber de qué va esto de los criterios comunes (y para posibles post posteriores).
¿Por qué nacen?
Allá por los años 90 surgió la necesidad de conocer qué requisitos de seguridad satisfacía un determinado software, hardware o firmware. Mediante la combinación de los criterios aplicados en Inglaterra, Estados Unidos y Canadá, se constituyó y adoptó por la International Organization for Standardization los Criterios Comunes de Evaluación de Seguridad para Tecnologías de la Información.
El principal objetivo es poner de acuerdo a clientes, desarrolladores y testers sobre qué requisitos de seguridad cumple un determinado producto.
Este post no tiene como objetivo ser exhaustivo en cuanto a todo lo expuesto por las 3 normas que conforman la familia ISO/IEC 15408 sino dar unas pinceladas de lo que se pretende para que nos pueda servir como base de conocimiento suficiente para saber de qué va esto de los criterios comunes (y para posibles post posteriores).
¿Por qué nacen?
Allá por los años 90 surgió la necesidad de conocer qué requisitos de seguridad satisfacía un determinado software, hardware o firmware. Mediante la combinación de los criterios aplicados en Inglaterra, Estados Unidos y Canadá, se constituyó y adoptó por la International Organization for Standardization los Criterios Comunes de Evaluación de Seguridad para Tecnologías de la Información.
El principal objetivo es poner de acuerdo a clientes, desarrolladores y testers sobre qué requisitos de seguridad cumple un determinado producto.
*****************************************
ISO/IEC 15408 Common Criteria (I)
ISO/IEC 15408 Common Criteria (II)
ISO/IEC 15408 Common Criteria (III)
*****************************************
Suscribirse a:
Entradas (Atom)
