Milthon J. Chavez, CISA, CISM, CGEIT, CRISC, ISO27000LA, ISO22301LA Acreditado como Auditor de Certificación Electrónica Director de MCH Y ASOCIADOS Objetivos • • • • © ISACA 2016. All Rights Reserved. Conocer arquitectura organizacional y procesos típicos de entidades proveedoras de servicios de certificación electrónica/ firma electrónica/ firma digital) Entender el entorno de riesgos y requisitos de seguridad de los servicios de firma electrónica/firma digital. Conocer requerimientos de auditabilidad de proveedores de servicios de certificación electrónica - PKI. Conocer normativas internacionales específicas para servicios de certificación electrónica/ firma digital. #LATINCACS © ISACA 2016. All Rights Reserved. #LATINCACS Modelos de Confianza Anillo de Confianza • • • PGP GnuPGP OpenPGP Clave Publica (PKI) • • • • • © ISACA 2016. All Rights Reserved. Criptografía Asimétrica X.509 TLS (Transport Layer Security)(RFC5246,6176) SSL (Secure Sockets Layer) Aplicaciones: HTTPS, IMAPS,POP3S,SMTPS #LATINCACS Criptografía Asimétrica Dos claves relacionadas matemáticamente – Es imposible derivar una de ella a partir de la otra – Se cifra (encripta) con una – Se descifra (desencripta) con la otra Criptografía de Clave Pública – Una Clave (pública) es publicada para que todos la conozcan – La otra Clave (privada) se mantiene en secreto © ISACA 2016. All Rights Reserved. Algoritmos: – RSA – Factorización de Enteros (Números primos muy grandes) – Diffie-Hellman – Algoritmo Discreto – ECES – Algoritmo Discreto de Curva Elíptica #LATINCACS Infraestructura de Clave Pública La infraestructura de claves púbicas (PKI) provee los medios para enlazar las claves privadas con sus propietarios y ayuda en la distribución de claves públicas confiables en redes amplias y heterogéneas. NIST Es el conjunto de Hardware, software, personas, políticas y procedimientos necesarios para crear, administrar, almacenar, distribuir y revocar los Certificados de Clave Pública basados en criptografía de clave pública. IETF PKIX working group © ISACA 2016. All Rights Reserved. #LATINCACS Ejemplo de Criptografía Asimétrica Juan Hola Rosa: Clave Privada Rosa De Rosa Clave Pública De Rosa Hola Rosa: (Mensaje de Juan) (Mensaje de Juan.) Saludos, Juan Saludos, Juan Texto Cifrado cifrado 011100111001001 110011100111001 001110000111111 descifrado Ejemplo de No-Repudiación Clave Privada Rosa de Rosa Clave Pública Juan de Rosa Hola Juan: Hola Juan: (Mensaje de Rosa) (Mensaje de Rosa) Rosa Rosa Texto Cifrado descifrado 011100111001001 110011100111001 001110000111111 cifrado Componentes estructurales Soporte de claves privadas Publicación de Certificados Políticas de Certificación Aplicaciones PKI Autoridad Certificadora Raíz © ISACA 2016. All Rights Reserved. #LATINCACS Efectos colaterales © ISACA 2016. All Rights Reserved. #LATINCACS © ISACA 2016. All Rights Reserved. #LATINCACS Requerimientos de Auditabilidad Modelo de Confianza © ISACA 2016. All Rights Reserved. #LATINCACS Requerimientos de Auditabilidad Modelo de Confianza © ISACA 2016. All Rights Reserved. #LATINCACS Requerimientos de Auditabilidad Modelo de Confianza © ISACA 2016. All Rights Reserved. P.S.C Normas Comunidad Mejores Prácticas Reguladores Marco Jurídico #LATINCACS Requerimientos de Auditabilidad (+) Modelo de Confianza S/Tecnológica (-) • Divulgación y Promoción • Especialización • Modo de Competencia © ISACA 2016. All Rights Reserved. S/Jurídica Proporcional Escalar Universal Evolutiva Evolutiva #LATINCACS Subsistemas críticos del Modelo de Confianza Modelo de Confianza Seguridad de la Información © ISACA 2016. All Rights Reserved. Gestión del Ciclo de Vida del Certificado #LATINCACS Requerimientos de Auditabilidad AUDITORIA FIRMA ELECTRONICA © ISACA 2016. All Rights Reserved. #LATINCACS Requerimientos de Auditabilidad Modelo de Confianza Seguridad de la Información © ISACA 2016. All Rights Reserved. Gestión del Ciclo de Vida del Certificado #LATINCACS Procesos Principales © ISACA 2016. All Rights Reserved. OPERACIÓN DE LA A. DE REGISTRO OPERACIÓN DE LA A. DE CERTIFICACION PLANIFICACION E IMPLEMENTACION DE LA S/I GESTION DE LLAVES CRITOGRAFICAS GESTION DE LA INFRAESTRUCTURA ADMINISTRACION DE LA L.C.R ADMINISTRACION DE LA CONTINUIDAD ACTUALIZACION GESTION DE RIESGOS AUDITORIAS #LATINCACS Gobernabilidad – Gestión : Documentación • • • • • • • • • • • • • • • © ISACA 2016. All Rights Reserved. Estructura e Información del Certificado Electrónico Estructura de la Lista de Certificados Revocados (LCR) y Servicio OCSP (Online Certificate Status Protocol). Registro de Acceso Público Infraestructura de Clave Pública. Ciclo de Vida de las Claves Plan de Administración de Claves Criptográficas Modelo y Manual de Operación de la Autoridad de Certificación (AC) Modelo y Manual de Operación de la Autoridad de Registro (AR) Declaración de Prácticas de Certificación y Políticas de Certificado Declaración de Prácticas de Certificación(DPC) y Política de Certificados(PC) Organización Evaluación del Personal. Reconocimiento de los Certificados de la Cadena de Confianza Inclusión de Certificado Raíz de PSC o CE en Herramientas Tecnológicas #LATINCACS Seguridad : Documentación • • • • • • • • © ISACA 2016. All Rights Reserved. Modelo de Confianza Administración, Operación y Seguridad de la Infraestructura de Clave Pública Revisión de la Evaluación de Riesgos y Amenazas Política de Seguridad de la Información (Documentación y mantenimiento) Plan de Continuidad del Negocio y Recuperación ante Desastres Plan de Seguridad de la Información Implementación del Plan de Seguridad de la Información Evaluación de la Plataforma Tecnológica. #LATINCACS Riesgos Críticos Compromiso de las llaves Continuidad Tecnológica Riesgos Gobernabilidad del C.D.V del Certificado © ISACA 2016. All Rights Reserved. Seguridad de la Información #LATINCACS Áreas del Cumplimiento Gestión Tecnológica Gestión Jurídica © ISACA 2016. All Rights Reserved. Usar una firma digital supone satisfacer algunos requerimientos tecnológicos con los documentos o sistemas involucrados. Usar una firma digital supone satisfacer algunos requerimientos legales con los documentos o sistemas involucrados. #LATINCACS Normas Internacionales ETSI EN 319 403 V2.2.2 (2015-08) Electronic Signatures and Infrastructures (ESI);Trust Service Provider Conformity Assessment - Requirements for conformity assessment bodies assessing Trust Service Providers FIPS PUB 140-2: Security Requirements for Cryptographic Modules, (Diciembre 2002). ETSI TS 102 042V2.4.1 (2013-02): “Electronic Signatures and Infrastructures (ESI); Policy requirements for certification authorities issuing public key certificates RFC 3280, “Internet X.509 Public Key Infrastructure Certificate and Certificate. Revocation List (CRL) Profile”. Abril 2002. ISO/IEC 9594-8:2005 Information Tecnology – Open Systems Interconnection – The Directory: Publickey and Attribute Certificate Frameworks. ITU-T Rec. X.509 Information technology – Open Systems Interconnection – The Directory: Public-key and attribute certificate frameworks . (10/2012) ITU-T Rec. X.690 (1997) / ISO/IEC 8825-1:2008. ASN.1 Basic Encoding Rules RFC 2559 Boeyen, S. et al. "Internet X.509 Public Key Infrastructure. Abril 2002. RFC 3647. “Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework“. Noviembre 2003. © ISACA 2016. All Rights Reserved. #LATINCACS Normas Seguridad de la Información © ISACA 2016. All Rights Reserved. • ISO/IEC 27001:2013 Tecnología de la Información. Técnicas de Seguridad – Sistema de • Gestión de la Seguridad de la Información - Requisitos. (2013). • ISO/IEC 27002:2013 Tecnología de la Información. Técnicas de Seguridad – Código de buenas prácticas para controles de seguridad de la información. ISO/IEC 27002:2007 Tecnología de la Información. Técnicas de Seguridad – Sistema de Gestión de la Información. (2007). ISO/IEC 15408: Common Criteria for Information Technology Security Evaluation, Versión 3 (2009) #LATINCACS Ciclos de Auditorias INTERNAS DE TERCERA PARTE REGULATORIA © ISACA 2016. All Rights Reserved. #LATINCACS Milthon J. Chavez, CISA, CISM, CGEIT, CRISC, ISO27000LA, ISO22301LA Acreditado como Auditor de Certificación Electrónica Director de MCH Y ASOCIADOS mch@mch.com.ve @mchyasociados