Bisogno Tesisdegradoingenieriainformatica

UNIVERSIDAD DE BUENOS AIRES FACULTAD DE INGENIERA Ingeniera en informtica
Tesis de grado:
Metodologa para el Aseguramiento de Entornos Informatizados MAEI.
Alumna: Mara Victoria Bisogno Padrn: 74.784 E-mail: vickybisogno@hotmail.com; vbisogno@fi.uba.ar Tutor: Prof. Lic. Sergio Villagra Co-tutores: Andrea Morales, Saverio Locane, y Hctor Dinamarca 12 de octubre de 2004
Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.
I.
I. II.
NDICE:
ndice:..................................................................................................... 1 Prefacio...................................................................................... 6 1. Propsito de la tesis.................................................................................. 6 2. Estado del Arte de la Seguridad Informtica. ................................................ 8 3. Motivacin para la realizacin de este trabajo ............................................. 10 4. Alcance de la tesis .................................................................................. 11 5. Organizacin del documento .................................................................... 12 III. Introduccin. ............................................................................ 13 1.1 El estudio del entorno......................................................................... 13 1.2 La implantacin de la solucin. ............................................................ 13 2. Descripcin de las fases. ......................................................................... 15 IV. Desarrollo de la metodologa AEI ................................................. 23 Contenido: ............................................................................................. 25 1.1 Anlisis de Requerimientos de Usuario ..................................................... 26 1.1.1 Documento de Requerimientos de Usuario .......................................... 26 1.1.2 Ejemplo - Requerimientos de Usuario ................................................. 27 1.2 Elaboracin del Alcance ......................................................................... 27 1.2.1 Alcance.......................................................................................... 28 1.2.2 Ejemplo - Alcance ........................................................................... 30 1.3 Aprobacin del Alcance.......................................................................... 33 1.4 Estimacin de tiempos y costos. ............................................................. 33 1.4.1 Costos capitales .............................................................................. 34 1.4.2 Costos recurrentes .......................................................................... 35 1.4.3 Costos No recurrentes...................................................................... 37 1.5 Elaboracin del Plan de Trabajo .............................................................. 37 2 Relevamiento ............................................................................................ 40 Contenido: ............................................................................................. 40 2.1 Elaboracin del Relevamiento General. .................................................... 41 2.1.1 Relevamiento General ...................................................................... 43 2.2 Elaboracin del Relevamiento de Usuario ................................................. 45 2.2.1 Relevamiento de Usuario .................................................................. 48 2.2.2 Asignacin de puntaje...................................................................... 49 2.2.3 Aclaracin sobre las preguntas .......................................................... 51 1 Definicin del Alcance ................................................................................. 25 1. La metodologa. ..................................................................................... 13
2.2.4 Resultados de la evaluacin .............................................................. 55 2.2.5 Evaluacin del entorno..................................................................... 56 2.2.5.1 Referencias al puntaje obtenido en el test por nivel: .......................... 56 2.2.5.2 Configuraciones de resultados: ....................................................... 56 2.3 Anlisis de vulnerabilidades.................................................................... 57 2.3.1 Conocer al enemigo ......................................................................... 57 2.3.2 Ejemplo Atacantes ........................................................................ 58 2.3.3 Las amenazas................................................................................. 59 2.3.4 Anlisis de Vulnerabilidades .............................................................. 61 2.3.4.1 Aspectos funcionales ..................................................................... 61 2.3.4.2 Anlisis de la documentacin.......................................................... 65 2.3.4.3 Anlisis de las aplicaciones y equipos .............................................. 66 2.3.4.3.1 Intento de Penetracin ............................................................... 69 2.3.4.3.2 Herramientas de anlisis de vulnerabilidades ................................. 70 2.3.5 Mapa de Vulnerabilidades ................................................................. 70 2.3.5.1 Vulnerabilidades a nivel fsico ......................................................... 71 2.3.5.2 Vulnerabilidades a nivel lgico ........................................................ 75 2.3.5.3 Vulnerabilidades a nivel de la organizacin. ...................................... 82 2.4 Anlisis de Riesgos ............................................................................... 83 2.4.1 Informe de Riesgos ......................................................................... 85 2.4.2 Ejemplo Informe de Riesgos........................................................... 86 3 Planificacin .............................................................................................. 89 Contenido: ............................................................................................. 89 3.1 Elaboracin del Plan de Aseguramiento....................................................... 90 3.1.1 Proteccin fsica .............................................................................. 90 3.1.1.1 Proteccin de las Instalaciones ....................................................... 91 3.1.1.2 Proteccin de los equipos............................................................... 94 3.1.2 Proteccin lgica ........................................................................... 100 3.1.2.1 Proteccin de la informacin ........................................................ 100 3.1.2.2 Proteccin del Sistema Operativo. ................................................. 104 3.1.2.3 Proteccin de los datos................................................................ 115 3.1.3 Proteccin a nivel de la organizacin. ............................................... 122 3.2 Aprobacin del Plan de Aseguramiento ..................................................... 130 4 Implantacin ........................................................................................... 132 Contenido: ........................................................................................... 132 4.1 Elaboracin del Relevamiento de Activos. ............................................... 135 4.1.1 Inventario de Activos ..................................................................... 135 2
4.1.2 Ejemplo Inventario de Activos ...................................................... 139 4.1.3 Rotulacin de activos ..................................................................... 140 4.1.4 Anlisis de Criticidades................................................................... 140 4.2 Clasificacin de la Informacin.............................................................. 142 4.2.1 Identificacin de la informacin ....................................................... 142 4.2.2 Tipos de informacin...................................................................... 143 4.2.3 Beneficios de la clasificacin de la informacin................................... 144 4.2.4 Riesgos de la informacin ............................................................... 144 4.3 Elaboracin/ adaptacin de la Normativa de Seguridad............................. 144 4.3.1 Interiorizacin del experto con la poltica y negocio de la organizacin .. 144 4.3.2 Elaboracin/adaptacin de la Normativa de Seguridad ........................ 145 4.3.2.1 Poltica de Seguridad................................................................... 147 4.3.2.1.1 Definicin ............................................................................... 147 4.3.2.1.2 mbitos de aplicacin y personal afectado ................................... 149 4.3.2.2 Normas y Procedimientos ............................................................ 149 4.3.2.2.1 Definicin ............................................................................... 149 4.3.2.2.2 Espectro de las Normas y los Procedimientos ............................... 150 4.3.2.2.3 Ejemplo Normas y Procedimientos ........................................... 152 4.3.2.3 Estndares, Esquemas y Manuales de usuarios ............................... 156 4.3.2.3.1 Definicin ............................................................................... 156 4.3.2.4 Implantacin y uso de la Normativa de Seguridad ........................... 156 4.3.2.5 Convenio de Confidencialidad ....................................................... 157 4.3.3 Aprobacin de la Poltica de Seguridad ............................................. 157 4.4 Publicacin de la Normativa de Seguridad .............................................. 158 4.4.1 Implantacin de una campaa de concientizacin .............................. 158 4.4.2 Capacitacin de los usuarios ........................................................... 159 4.5 Implantacin del Plan de Aseguramiento ................................................ 159 4.5.1 Implantacin a nivel fsico .............................................................. 160 4.5.2 Implantacin a nivel lgico ............................................................. 160 4.5.3 Implantacin a nivel de la organizacin ............................................ 161 4.6 Elaboracin del Plan de Recuperacin del Entorno ante Desastres (PRED) ... 161 4.6.1 Determinacin del escenario considerado.......................................... 163 4.6.2 Determinacin de los tipos de operacin en una contingencia .............. 163 4.6.3 Establecimiento de criticidades ........................................................ 164 4.6.3.1 Tabla de Criticidades por Equipo. .................................................. 165 4.6.3.2 Ejemplo - Tabla de Criticidades por Equipo. .................................... 165 4.6.3.3 Tabla de Criticidades por Servicios. ............................................... 165 3
4.6.3.4 Ejemplo - Tabla de Criticidades por Servicios. ................................. 166 4.6.3.5 Tabla de Criticidades por Aplicaciones............................................ 167 4.6.3.6 Ejemplo - Tabla de Criticidades por Aplicaciones. ............................ 167 4.6.4 Determinacin de las prestaciones mnimas ...................................... 168 4.6.5 Anlisis de riesgos......................................................................... 168 4.6.5.1 Probabilidad de ocurrencia de desastres......................................... 168 4.6.5.2 Determinacin de los niveles de desastre ....................................... 168 4.6.6 Presentacin de las distintas estrategias posibles de recuperacin ........ 169 4.6.7 Seleccin de la estrategia de recuperacin ........................................ 169 4.6.8 Elaboracin de la estrategia de recuperacin ..................................... 169 4.6.8.1 Mitigacin de riesgos Medidas preventivas ................................... 169 4.6.8.2 Descripcin de la estrategia ......................................................... 170 4.6.8.3 Requerimientos para llevar a cabo el Plan ...................................... 170 4.6.8.4 Esquemas tcnicos ..................................................................... 171 4.6.8.5 Formacin del Equipo de Recuperacin del Entorno ante Desastres (ERED) ................................................................................................ 171 4.6.8.5.1 Roles y responsabilidades ......................................................... 172 4.6.8.5.2 Asignacin de roles .................................................................. 174 4.6.8.6 Establecimiento de los procedimientos........................................... 175 4.6.8.6.1 Declaracin de la emergencia .................................................... 175 4.6.8.6.2 Recuperacin de las prestaciones ............................................... 175 4.6.8.6.3 Reestablecimiento de las condiciones normales ............................ 176 5 Estabilizacin........................................................................................... 177 Contenido: ........................................................................................... 177 5.1 Anlisis de resultados.......................................................................... 178 5.2 Ajuste ............................................................................................... 179 5.3 Cierre de la implantacin. .................................................................... 179 5.4 Capacitacin de usuarios. .................................................................... 180 5.4.1 Tcnicas para la capacitacin de usuarios: ........................................ 180 6 Mantenimiento......................................................................................... 183 Contenido: ........................................................................................... 183 6.1 Control de incidencias. ........................................................................ 184 6.1.1 Incidencias de seguridad ................................................................ 184 6.1.2 Notificacin de incidencias .............................................................. 185 6.1.3 Documentacin ............................................................................. 188 6.1.4 Reporte de Incidencias................................................................... 188 6.1.4.1 Manual de Procedimientos sobre Reporte de Incidencias.................. 191
6.1.5 Respuesta a incidencias ................................................................. 191 6.1.6 Recoleccin de incidencias .............................................................. 192 6.1.7 Registro de incidencias................................................................... 192 6.1.8 Investigacin ................................................................................ 194 6.1.9 Seguimiento de incidencias............................................................. 194 6.1.10 Prevencin de incidencias ............................................................. 194 6.2 Control de cambios ............................................................................. 195 6.2.1 Procedimiento de Control de Cambios .............................................. 197 6.2 2 Diagrama de flujo.......................................................................... 204 6.2.3 Formulario de Control de cambios.................................................... 205 6.2.4 ABM Activos ................................................................................. 210 6.2.5 Ejemplo - AMB Activos ................................................................... 211 6.2.6 Actualizaciones de Software............................................................ 212 6.2.6.1 Documento de Actualizaciones de Software .................................... 213 V. VI. VII. VIII. Conclusin.............................................................................. 214 Bibliografa ............................................................................. 219 Anexo I. MAEI Resumen de Fases y Tareas............................... 222 Anexo II. Estndares Internacionales. Resea introductoria. .......... 223 ISO/IEC estndar 17799 ........................................................................ 223 Cobit ................................................................................................... 224 MAGERIT.............................................................................................. 226 IX. Anexo III. Glosario de trminos. ................................................ 228
II.
PREFACIO
1. Propsito de la tesis
La Seguridad Informtica es una disciplina cuya importancia crece da a da. Aunque la seguridad es un concepto difcil de medir, su influencia afecta directamente a todas las actividades de cualquier entorno informatizado en los que interviene el Ingeniero en Informtica, por lo que es considerada de vital importancia. [Huerta2000] define la seguridad como una caracterstica de cualquier sistema (informtico o no) que nos indica que ese sistema est libre de todo peligro, dao o riesgo, y que es, en cierta manera, infalible... para el caso de sistemas informticos, es muy difcil de conseguir (segn la mayora de los expertos, imposible) por lo que se pasa a hablar de confiabilidad. [IRAM/ISO/IEC17799] sostiene que la seguridad de la informacin protege a sta de una amplia gama de amenazas, a fin de garantizar la continuidad comercial, minimizar el dao al negocio y maximizar el retorno sobre las inversiones y las oportunidades. En cualquier entorno informatizado es necesario estar protegido de las mltiples (y hasta desconocidas) amenazas, garantizando, fundamentalmente, la preservacin de tres caractersticas:
Integridad: que se proteja la exactitud y totalidad de los datos y los mtodos de procesamiento; Confidencialidad: que la informacin sea accesible slo a las personas autorizadas; Disponibilidad: que los usuarios autorizados tengan acceso a la informacin y a los recursos cuando los necesiten;
[IRAM/ISO/IEC17799] tambin agrega La seguridad de la informacin se logra implementando un conjunto adecuado de controles, que abarca polticas, prcticas, procedimientos, estructuras organizacionales y funciones del software. Para la realizacin de este trabajo se han estudiado diversas metodologas de seguridad citadas en el Anexo I, que cubren distintos aspectos, pero ninguna tiene un enfoque estructural similar al que un Ingeniero en Informtica le da a los problemas, segn la visin que se adquiere con la formacin en la Universidad.
Adems, la bibliografa relacionada ofrece soluciones puntuales para problemas especficos de seguridad, pero no da una solucin integral al problema. La motivacin de este trabajo es la falta de una herramienta que les permita a los profesionales de Informtica analizar e implementar tcnicas de seguridad en entornos informatizados bajo la visin del Ingeniero. El propsito del presente proyecto es formalizar una metodologa prctica, y factible para convertir entornos informatizados inseguros en entornos protegidos, y lograr una clara evaluacin de los mismos, teniendo en cuenta el objetivo y los procesos del negocio. El principal objetivo, entonces, es proveer a los Ingenieros en Informtica y Licenciados en Anlisis de Sistemas de una herramienta con modelos estructurados para que, de forma ordenada y efectiva, les facilite y les gue en la tarea de dar informe de las vulnerabilidades presentes en el entorno en que trabajan y las posibles soluciones, para luego implementarlas con xito y as lograr una efectiva proteccin y documentacin del entorno objetivo. Esta metodologa estar compuesta por una serie de fases en las que se aplicarn procedimientos y se buscar el conocimiento de los procesos, y a su vez, una completa documentacin que avale y acompae al proyecto y que sirva de referente a lo largo de la vida operativa del entorno. Se pretende que esta metodologa cree un cambio cultural en el ambiente donde se implementa (una empresa informatizada, un sector informatizado de un negocio, etc.), al aplicar polticas que afecten al personal, al uso de los recursos y a la forma de trabajo, adems de una conciencia integral de la importancia de la seguridad en entornos informatizados y las implicancias de las falencias en este tema. Este proyecto est destinado a aplicarse en entornos en los que nunca se han realizado controles de seguridad, como en los que estn bajo un rgimen de seguridad controlado, sobre el que se desea evaluar su efectividad, o comprobar su completitud. Al hablar de sistema inseguro se hace referencia a un sistema no confiable, no auditado, no controlado o mal administrado con respecto a la seguridad. NOTA: De ahora en ms se har referencia al experto en seguridad, actor protagonista del proceso de aseguramiento aqu presentado, como ES.
2. Estado del Arte de la Seguridad Informtica.

Bsicamente, los problemas de Seguridad Informtica son sucesos que no deseamos que ocurran. La mayora son inesperados, aunque en muchos casos se pueden prevenir. Cuando hablamos de incidentes de Seguridad, o problemas de Seguridad Informtica nos referimos a: Acceso no autorizado a la informacin; Descubrimiento de informacin; Modificacin no autorizada de datos; Invasin a la privacidad; Denegacin de servicios; Etc.
Cada entorno informatizado es diferente, y maneja distintos tipos de informacin, y por ende, es distinta la forma en que se tratan los datos. Los componentes de los entornos informatizados son distintos, por lo que las especificaciones de seguridad asociadas a cada uno vara notablemente dependiendo de la tecnologa utilizada a nivel de plataforma, software base y dispositivos fsicos. La funcionalidad y caractersticas tcnicas de los componentes de los entornos varan notablemente segn la marca, en particular en los aspectos concernientes a la seguridad. Hoy en da la amenaza ms comn en los ambientes informatizados se centra en la eliminacin o disminucin de la disponibilidad de los recursos y servicios que utiliza el usuario. El crecimiento de las telecomunicaciones y la estricta dependencia que existe entre el negocio de las empresas y la tecnologa informtica hace crtica la inversin en seguridad. Cada vez ms los procesos comerciales se ven estrechamente ligados a procesos informticos. Prcticamente toda la informacin vital para el negocio de una compaa comercial se encuentra informatizada, no slo almacenada en dispositivos electrnicos, sino que, en la mayor parte de los casos, se encuentra distribuida fsicamente y viaja constantemente a travs de medios pblicos como redes de telefona e Internet. Es por eso que se pone nfasis en el crecimiento de soluciones para el problema de la Seguridad Informtica, por lo que el conocimiento en esta rea ha crecido 8
enormemente en los ltimos aos, al punto en que somos capaces de afirmar que es posible lograr una completa enumeracin de las fallas de seguridad de los sistemas y los entornos en los que viven. Estas fallas de seguridad son las que se convierten en amenazas susceptibles de ser aprovechadas por usuarios malintencionados para causar dao o algn tipo de invasin a la confidencialidad. Protegerse contra accesos no autorizados es el problema ms sencillo a resolver, ya que durante aos se han desarrollado y perfeccionado algoritmos matemticos para la encripcin de datos, para el intercambio seguro de informacin, para garantizar el correcto funcionamiento del software, que se ha traducido en herramientas capaces de proporcionar soluciones rpidas y sencillas a problemas tcnicos de seguridad. Desafortunadamente, no es suficiente simplemente arreglar los errores o eliminar las fallas tcnicas de seguridad. El problema va mucho ms all. La Seguridad Informtica es un problema cultural, en el que el usuario juega un rol protagnico. La responsabilidad sobre la seguridad de los datos y equipos ya no recae solamente en el personal tcnico especializado encargado de resguardar los bienes y servicios brindados por el entorno, sino que es el usuario el que debe velar por la seguridad de los bienes fsicos y lgicos que maneja. Para ello debe existir una conciencia de trabajo seguro, de resguardo de la confidencialidad y de proteccin de los activos utilizados a diario en el trabajo de cada individuo. Por esta razn la seguridad Informtica debe estar incorporada desde el principio de todo proceso, desde el diseo para garantizar la evaluacin de todos los factores funcionales (y no solamente los tcnicos) a tener en cuenta para el uso seguro del entorno. Si esto sucede, el objetivo inicial de la seguridad habr sido logrado. La seguridad, entonces, debe nacer en el diseo seguro de los sistemas, de la correcta formacin de la estructura de la organizacin, de la adecuada distribucin de tareas y contraposicin de intereses en los roles de control y ejecucin de tareas. Luego de lograr eso se deben implantar medidas de ndole tcnica que garanticen el adecuado uso de los recursos y servicios solamente a los usuarios autorizados, y la disponibilidad de los mismos. Pero lo importante es ver que la Seguridad Informtica ya no es un problema de la gente especializada en sistemas, sino que ha salido de los laboratorios y los centros de cmputo para instalarse en el escritorio del usuario, en donde nacen los problemas de Seguridad.
3. Motivacin para la realizacin de este trabajo

Este trabajo es la culminacin de muchos aos de estudio, en los que incursion en tcnicas, modelos, formas de trabajo, teoras, estudios y descubrimientos y a travs de ellos me empap de conocimientos en las distintas formas en que los presenta la ciencia. Durante los aos transcurridos en la facultad, mi forma de pensar se fue modelando, puliendo, transformando, de modo de lograr una visin distinta de la vida, no solo de los problemas de la ingeniera. Luego, al ingresar en el mundo laboral, descubr que los aspectos del negocio tienen una influencia crucial en la toma de decisiones en todos los aspectos, incluido el de las soluciones informticas. En el tiempo que llevo tratando clientes, observando distintas realidades, y conociendo su negocio, como el de la industria petrolera, el de la industria del maz, el de los laboratorios qumicos, el de entidades estatales, el de los bancos, el de las lneas areas, entre otros, aprend que es fundamental tener en cuenta los procesos del negocio al evaluar los procesos informticos. Es por eso que en este trabajo pretendo traducir el conocimiento en seguridad informtica disperso por el mundo en sus distintas formas, ya sea de conocimiento pblico o el privado al que pueda acceder, para crear una herramienta de trabajo que siga la lnea de pensamiento del Ingeniero de la UBA, agregando a esta lnea de pensamiento la incursin en los procesos de negocio del cliente con que se trabaje, para ofrecerle la mejor solucin. Particularmente como alumna, el tema me fue atrapando luego de cursar la materia Introduccin a los sistemas distribuidos en la que se vieron tcnicas de seguridad en el contexto del modelo TCP/IP. En esa oportunidad la seguridad informtica fue presentada con seriedad, aunque de forma escueta, pero especialmente logr despertar mi inters personal, por lo que comenc a investigar sobre el tema. Un tiempo despus descubr de la existencia de la asignatura Criptografa y Seguridad Informtica dictada como materia optativa en la carrera Ingeniera Electrnica. Inmediatamente me interes en la misma y realic los trmites correspondientes para lograr la autorizacin para cursarla y la aceptacin de los crditos como materia optativa.
10
Pude cursarla efectivamente y aprobarla en el segundo cuatrimestre del ao 2002, lo cual dej una marca importante en mi formacin profesional ya desde mi condicin de alumna. Luego continu investigando sobre el tema, pero not que la informacin se encontraba dispersa y desordenada; sin embargo tambin not que la bibliografa era en general muy especfica. Considero muy importante para la formacin de los Ingenieros en Informtica la educacin en Seguridad Informtica. Cualquier profesional de esta carrera debera poseer un mnimo conocimiento sobre el tema que le permita profundizar en el aspecto que considere necesario. Es por esto que decid realizar este trabajo con la idea de que sirva de gua para los colegas en el trabajo de detectar fallas de seguridad y recomendar soluciones en el aspecto del entorno en que se est trabajando, que a fin de cuentas este es el trabajo del ingeniero: dar soluciones.
4. Alcance de la tesis
En esta tesis se desarrollar una metodologa de trabajo. Se describirn las tareas y subtareas a realizar para obtener resultados especficos, se indicar un orden para realizarlas, se servir de documentacin a desarrollar para completar informes y relevamientos, se dar un marco general para el desarrollo del proyecto de aseguramiento del entorno en estudio, pero no se entrar en detalle en los siguientes temas:
Administracin del proyecto: No se entrar en detalles en la formalizacin del Alcance, ni en la estimacin de tiempos y costos del proyecto, ya que son tareas puramente administrativas que no hacen al problema de aseguramiento del entorno informatizado.
Vulnerabilidades conocidas en sistemas operativos y aplicaciones: No se enumerarn las vulnerabilidades conocidas en software base ni en aplicativos, ya que stas cambian y se incrementan da a da, lo que restara escalabilidad y vigencia en el tiempo a la tesis.
Implantacin de las soluciones en plataformas tecnolgicas especficas:
11
No se entrar en detalle en configuraciones ni ejecucin de procesos especficos para solucionar problemas de seguridad en sistemas operativos ni software aplicativo pues se pretende hacer una metodologa portable, independiente de la plataforma tecnolgica.
5. Organizacin del documento

El trabajo ha sido desarrollado en seis partes: I. II. III. IV. V. VI. VII. VIII. IX. ndice Prefacio Introduccin Desarrollo de la Metodologa AEI Conclusin Bibliografa Anexo I. MAEI Resumen de Fases y Tareas Anexo II. Estndares Internacionales. Resea introductoria. Anexo III. Glosario de trminos.
A su vez, la parte IV, Desarrollo de la Metodologa AEI, est organizada en seis captulos correspondientes a cada una de las fases de la metodologa que aqu se presenta. Los captulos son los siguientes: 1. 2. 3. 4. 5. 6. Definicin del Alcance. Relevamiento. Planificacin. Implantacin. Estabilizacin. Mantenimiento.
12
III. INTRODUCCIN.
1. La metodologa.
La metodologa propuesta se compone de seis fases que agrupan etapas. Estas fases, a su vez, desde un aspecto macroscpico se pueden generalizar en dos grandes grupos: el estudio del entorno y la implantacin de la solucin.
1.1 El estudio del entorno. En este primer grupo de fases se encuentran: La definicin del Alcance; El Relevamiento; La Planificacin.
Aqu se fija como objetivo conocer al entorno informatizado donde se implementar la metodologa, a fin de asegurarlo. Este conocimiento implica la intervencin del usuario, que aportar el conocimiento personal desde su perspectiva, tambin aportar inquietudes y necesidades que ayudarn al ES a dar la solucin ms satisfactoria para el cliente. Cliente es toda entidad, empresa, organismo o persona que presente su entorno informatizado con el fin de que el ES lo analice y lo asegure. En este estudio, el ES investiga, observa, documenta. Investiga cmo se trabaja, cmo est formada la empresa, qu tecnologa posee, cmo sta es utilizada. Observa cmo se manejan los empleados, cules son las polticas implcitas en el entorno con respecto al trabajo, al manejo de la informacin y de los bienes. Documenta en un formato comprensible el conocimiento que l adquiere, para el intercambio con el usuario, y como fuente para el desarrollo de la solucin de la prxima etapa de la metodologa.
1.2 La implantacin de la solucin. Este segundo grupo de fases comprende:
13
La Implantacin de la solucin; La Estabilizacin del entorno; El Mantenimiento de la solucin, para guardar el entorno en condiciones confiables de seguridad.
En esta parte el ES ya conoce el entorno objetivo, por lo que se dedica a hallar la solucin que mejor se adapte al mismo. Vuelca la planificacin a la prctica, a travs de la implantacin de las tcnicas que se eligieron en la etapa anterior, genera y desarrolla los modelos de anlisis que forman parte del Plan de Aseguramiento y que le servirn de ah en adelante, durante toda la vida del ambiente. Luego de la ejecucin del Plan de Aseguramiento, el entorno objetivo se estabiliza determinando una adecuada capacitacin de los usuarios, y verificando los beneficios logrados como resultado. La implantacin se cierra, aunque siempre queda latente una extensin de la misma que se ocupar del registro de incidencias, de cambios en los bienes fsicos y lgicos, entre los que se considerarn las peridicas actualizaciones de software antivirus y otras tcnicas a aplicarse con regularidad para mantener el nivel de seguridad a medida que el entorno cambia. A continuacin se exhibe un diagrama que muestra las fases:
14
Plan de aseguramiento aprobado?
No
Planificacin
Implantacin de la solucin
Implantacin
Relevamiento
Estabilizacin
Definicin del Alcance
Estudio del Entorno
Entorno protegido
Entorno inseguro
Mantenimiento
2. Descripcin de las fases. Las siguientes son las fases de la metodologa AEI, con las principales etapas que las constituyen. Las mismas se desarrollarn en detalle en la parte IV de este trabajo, Desarrollo de la metodologa AEI.
1. Definicin del Alcance En esta fase se determinan qu aspectos, sectores, reas y recursos se van a proteger. Se desarrolla en cinco subfases: 1.1 Anlisis de requerimientos de usuario En esta etapa se realiza la negociacin con el cliente sobre los niveles, sectores, servicios y activos a proteger en funcin de los requerimientos que hace el usuario. 1.2 Elaboracin del Alcance Se confecciona un documento detallando objetivos claros y puntuales que se debern cumplir en el proceso de aseguramiento. 1.3 Aprobacin del Alcance
15
En esta etapa el cliente determina la aprobacin o el rechazo del Alcance, de manera de continuar o no con el proyecto, o ver las modificaciones que l propone. 1.4 Estimacin de tiempos y costos Parte destinada a la determinacin aproximada de la duracin del proyecto y de los costos asociados: recursos financieros, recursos humanos, recursos recurrentes y no recurrentes, etc. 1.5 Elaboracin del Plan de Trabajo Luego del anlisis anterior, y con el objetivo bien claro, el ES confecciona el plan a seguir estimando perodos de trabajo, asignacin de recursos y fechas de presentacin de los entregables. 2. Relevamiento En esta etapa el ES comienza a familiarizarse con el entorno a proteger, mediante la identificacin de los elementos que lo componen. Comprende las siguientes etapas: 2.1 Elaboracin del Relevamiento General El ES realiza una inspeccin general sobre los aspectos de la organizacin, de su negocio y de los bienes. 2.2 Elaboracin del Relevamiento de Usuario Consiste en obtener informacin del usuario respecto de las costumbres y usos del sistema, el manejo de la informacin, y el nivel de conciencia del usuario respecto a las potenciales amenazas existentes en su entorno. Se elabora el Relevamiento de Usuario. 2.3 Anlisis de vulnerabilidades Determinacin de las amenazas presentes en la organizacin respecto de la seguridad. 2.4 Anlisis de riesgos Se analiza el impacto y la probabilidad de ocurrencia de las vulnerabilidades detectadas en la etapa anterior, el riesgo que implican y los potenciales nuevos riesgos a los que est expuesto el entorno. 3. Planificacin Esta fase comprende el anlisis detallado de los puntos a proteger estudiando el entorno en distintos aspectos: el fsico, el lgico y el de la organizacin. 3.1 Elaboracin del Plan de Aseguramiento 16
El Plan de Aseguramiento es el documento que describe las medidas que se tomarn para asegurar el sistema, segn los objetivos planteados en el Alcance. 3.2 Aprobacin del Plan de Aseguramiento El Plan de Aseguramiento debe ser consensuado por el cliente para comenzar su implantacin. Por motivos de presupuesto, de poltica, u otras causas el responsable del proyecto por parte del cliente puede solicitar recortes o ampliaciones del Plan, que sern analizadas por el ES quien deber exigir una justificacin por todos los cambios solicitados, y presentar los riesgos que estos generen en el entorno. 4. Implantacin En esta fase se llevar a cabo el Plan de Aseguramiento antes propuesto (y aprobado) y las etapas de ajuste poltico y organizativo que el ES considere necesarias. Vemos a continuacin las etapas de esta fase: 4.1 Elaboracin del Relevamiento de Activos Es una enumeracin detallada de los bienes fsicos y lgicos de la empresa, junto con una asignacin de responsabilidades sobre cada activo, y la valoracin de su criticidad a nivel de la seguridad, y la clasificacin de la informacin en cuanto a su criticidad. En esta etapa se elabora el Inventario de Activos 4.2 Clasificacin de la Informacin A partir del anlisis de criticidad de los activos, se procede a clasificar la informacin segn su grado de criticidad en cuanto a la disponibilidad, confidencialidad e integridad. Esto permitir determinar las medidas necesarias de seguridad a fijar en el marco normativo de la empresa. 4.3 Elaboracin/adaptacin de la Normativa de Seguridad Esta etapa de la implantacin consiste en el punto de partida del proceso de aseguramiento de un entorno. Pretende establecer las pautas, los requisitos legales, normativos, reglamentarios y contractuales que deben cumplir todos los miembros de la organizacin, sus socios comerciales, los contratistas y los prestadores de servicios. 4.4 Publicacin de la Normativa de Seguridad Una vez elaborada, se debe dar a conocer el Manual de Seguridad de la organizacin, haciendo firmar los convenios de confidencialidad existentes y la confirmacin de lectura y conocimiento de las Normas por parte de los usuarios.
17
4.5
Implantacin del Plan de Aseguramiento En esta etapa se implantarn todas las medidas planificadas especialmente para el entorno objetivo, en cada nivel analizado: fsico, lgico y de la organizacin.
4.6
Elaboracin del Plan de Recuperacin del Entorno ante Desastres El Plan de Recuperacin del Entorno ante Desastres consiste en un plan para garantizar la continuidad del negocio cuando ocurran eventuales catstrofes de distinta ndole. Para la elaboracin de este plan se deber tener en cuenta la criticidad de las aplicaciones y de los equipos, y el riesgo al que estn expuestos, segn lo estudiado en la etapa 2.2 de la fase de Alcance. Los desastres pueden ser naturales (inundaciones, cadas de rayos, tormentas elctricas), provocados intencionalmente (sabotaje, hurto, negacin de servicio), por error humano (incendios, destruccin accidental de informacin) o, fallas mecnicas o elctricas inherentes a los equipos (rotura de discos, placas de red quemadas). En todos los casos habr que prever cierto nmero de accidentes, su probabilidad de ocurrencia, identificar los equipos y aplicaciones crticas para el funcionamiento del negocio, y crear un plan de contingencia que garantice la continuidad del negocio y la recuperacin del entorno informatizado en un tiempo adecuado.
5. Estabilizacin En este perodo se pretende estabilizar el entorno ya que a esta altura del proyecto, seguramente ha sufrido numerosos cambios. Se hace una observacin y evaluacin de la implantacin en las siguientes etapas: 5.1 Anlisis de resultados En esta etapa se cotejan los resultados obtenidos con el Alcance planteado en la fase 1 de esta metodologa y se evalan los resultados obtenidos: los objetivos logrados y los puntos postergados o descartados con su respectiva justificacin. 5.2 Ajuste Esta subfase de estabilizacin est dedicada a realizar ajustes sobre el Plan de Aseguramiento segn los resultados obtenidos y analizados en la etapa anterior de esta misma fase y los inconvenientes o nuevos requerimientos que pudieran surgir en la etapa de implantacin.
18
Los puntos de control que necesiten cambios, mejoras o los que surjan durante el proyecto se tomarn en cuenta para completar y adaptar el Plan de aseguramiento para una segunda implementacin, delimitando nuevamente su Alcance, que podr reducirse a aplicar solamente los cambios surgidos en esta etapa para lograr un completo aseguramiento del entorno. 5.3 Cierre de la implantacin El cierre de la implantacin se realiza cuando se concluyeron los ltimos controles que constituyen el Plan de Aseguramiento y concluidas las etapas de concientizacin y capacitacin de usuarios de la fase 4 de esta metodologa. 5.4 Capacitacin de usuarios Se les explica a los usuarios los cambios efectuados, los nuevos procesos y formas de proceder ante incidencias, y la manera en que deben administrar la seguridad para mantener el entorno protegido. 6. Mantenimiento Esta fase comienza posteriormente a la implantacin del Plan de Aseguramiento, luego de la estabilizacin del entorno y se mantiene durante toda su vida. Durante la vida del entorno ocurrirn incidencias y cambios que debern ser analizados y documentados, as como tambin se debern llevar a cabo controles peridicos y aplicar las correspondientes actualizaciones para mantener un nivel confiable de seguridad en el entorno, en las siguientes subfases: 6.1 Control de incidencias Esta fase se ocupa de analizar y documentar las incidencias ocurridas del uso diario de los recursos, tales como: Mal funcionamiento de elementos de hardware; Ruptura de elementos de hardware; Anomalas en productos de software; Fallas en procesos; Deteccin de virus malignos; Avero de documentacin; Prdida de bienes; Etc.
Todo incidente, incluso los no especificados en este trabajo, deber ser reportado a quien corresponda, segn lo especificado en la Normativa de seguridad, mediante un Reporte de Incidencias, y asentado en el Registro de Incidencias por el responsable a cargo. El Registro de Incidencias es un documento destinado para tal fin.
19
[IRAM/ISO/IEC17799] hace referencia a este importante punto: Los incidencias que afectan la seguridad deben ser comunicados mediante canales gerenciales adecuados tan pronto como sea posible. Se debe concientizar a todos los empleados y contratistas acerca de los procedimientos de comunicacin de los diferentes tipos de incidencias (violaciones, amenazas, debilidades o anomalas en materia de seguridad) que podran producir un impacto en la seguridad de los activos de la organizacin. 6.2 Control de cambios Durante la vida del sistema se producirn cambios en el aspecto lgico como fsico, que debern ser detalladamente registrados. Se deber documentar cada Alta, Baja o Modificacin de activos en un archivo especfico que llamaremos ABM Activos, y que est directamente relacionado con el Inventario de Activos. Esta etapa incluye la peridica actualizacin de software antivirus y de deteccin de intrusos, la revisin peridica del archivo de los registros de log del sistema, el mantenimiento de las dems herramientas de las que se hace uso durante la implantacin, etc. El ES establecer los perodos con que se realizan los controles establecidos en el plan de aseguramiento, segn l lo crea conveniente para el caso en estudio. A continuacin se muestra una tabla con las fases y etapas de esta metodologa y la documentacin propuesta para su implantacin:
FASE / ETAPA 1 Definicin del Alcance 1.1 Anlisis de requerimientos de usuario 1.2 Elaboracin del Alcance 1.3. Aprobacin del Alcance 1.4 Estimacin de tiempos y costos 1.4.1 Costos capitales 1.4.2 Costos recurrentes 1.4.3 Costos no recurrentes 1.5 Elaboracin del Plan de Trabajo 2 Relevamiento 2.1 Elaboracin del Relevamiento General 2.2 Elaboracin del Relevamiento de Usuario
ACTOR
ENTREGABLE
ES, cliente ES, cliente cliente ES
Documento Usuario Alcance
de
Requerimientos
de
ES
Plan de Trabajo
ES, usuarios ES
Relevamiento General Relevamiento de Usuario
20
FASE / ETAPA 2.3 Anlisis de vulnerabilidades 2.4 Anlisis de riesgos 3 Planificacin 3.1 Elaboracin del Plan de Aseguramiento 3.1.1 Proteccin fsica 3.1.1.1 Proteccin de las instalaciones 3.1.1.2 Proteccin de los equipos 3.1.2 Proteccin lgica
ACTOR ES ES ES ES ES ES ES ES
ENTREGABLE Mapa de Vulnerabilidades Informe de Riesgos
Plan de Aseguramiento Plan de Aseguramiento, Elementos de Red Plan de Aseguramiento Plan de Aseguramiento, Elementos de Red Mapa de Mapa de
Plan de Aseguramiento, Mapa de Usuarios, Inventario de Backups, Documento de Actualizacin de Software, Tabla de Permisos sobre Activos Lgicos Plan de Aseguramiento Plan de Aseguramiento, Mapa de Usuarios, Registros y archivos de Log
3.1.2.1 Proteccin de la informacin 3.1.2.2 Proteccin Operativos de los Sistemas
ES
3.1.2.3 Proteccin de los datos
ES
Plan de Aseguramiento, Tabla de Permisos sobre Activos Lgicos, Documento de actualizacin de Software, Inventario de backups, Plan de Aseguramiento
3.1.2.4 Proteccin a nivel de la organizacin 3.2 Aprobacin del Plan de aseguramiento 4 Implantacin 4.1 Elaboracin del Relevamiento de Activos 4.1.1 Inventario de activos 4.1.2 Rotulacin de activos 4.1.3 Anlisis de criticidades 4.2 Clasificacin de la informacin 4.3 Elaboracin/adaptacin de la Normativa de Seguridad 4.3.1 Interiorizacin del experto con la poltica y negocio de la organizacin 4.3.2 Elaboracin/adaptacin Normativa de Seguridad de la
ES cliente
ES
Inventario de Activos, ABM Activos Inventario de Activos Fsicos, Inventario de Activos Lgicos
ES ES ES ES cliente ES
Inventario de Activos Inventario de Activos
Manual de Seguridad Organigrama, documentacin proceso comercial, etc. Manual de Seguridad del
4.3.3 Aprobacin de la Poltica de Seguridad 4.4 Publicacin Seguridad de la Normativa de Comunicados, Documentacin, Presentaciones,
4.4.1 Implantacin de una campaa de concientizacin 4.4.2 Capacitacin de usuarios 4.5 Implantacin del Plan de Aseguramiento 4.5.1 Implantacin a nivel fsico 4.5.2 Implantacin a nivel lgico 4.5.3 Implantacin a nivel de la ES ES
Presentaciones, Documentacin, Manual de Seguridad
Inventario de Activos, ABM Activos Inventario de Activos, ABM Activos
21
FASE / ETAPA organizacin 4.6 Elaboracin del Plan de Recuperacin del Entorno ante Desastres
ACTOR
ENTREGABLE Tabla de Criticidades por Equipo, Tabla de Criticidades por Servicio, Tabla de Criticidades por Aplicacin, PRED, Procedimiento de Declaracin de la emergencia, Procedimiento de Recuperacin de las prestaciones, Procedimiento de Reestablecimiento de las Condiciones Normales
5 Estabilizacin 5.1 Anlisis de resultados 5.2 Ajuste 5.3 Cierre de la implantacin 5.4 Capacitacin de usuarios ES ES Informe de Cierre de la Implantacin Manual de Seguridad, Manual de Procedimientos sobre Reporte de Incidencias, presentaciones, Manuales, Folletos, Cursos, Comunicados ES Informe de Implantacin
6 Mantenimiento 6.1 Control de incidencias 6.2 Control de cambios ES, cliente ES, cliente Reportes de Incidencias, Registro de Incidencias Formulario de Control de Cambios, ABM Activos, Documento de Actualizaciones de software
22
IV. DESARROLLO DE LA METODOLOGA AEI

La metodologa de Aseguramiento de Entornos Informatizados (MAEI) de desarrolla en las siguientes fases: 1. 2. 3. 4. 5. 6. Definicin del Alcance Relevamiento Planificacin Implantacin Estabilizacin Mantenimiento
Estas fases, como vimos en la introduccin, se categorizar formando dos grandes grupos segn el objetivo que persiguen: el estudio del entorno y la implantacin de la solucin. Partiendo de un entorno inseguro o desprotegido, a travs de las primeras tres fases de la MAEI se logra un estudio del entorno que le aporta el ES el conocimiento necesario para encarar la solucin de los problemas de seguridad detectados. Es en esta parte en que el ES delimita el entorno elaborando el Alcance, que abarca los activos lgicos y fsicos afectados en el anlisis. Una vez delimitada el rea de trabajo o entorno objetivo, se procede a realizar el sondeo que conducir al conocimiento funcional y tcnico detallado del entorno, sus activos, los empleados, los procesos y procedimientos involucrados que se registrar en los respectivos documentos de Relevamiento. Para finalizar esta primera parte del trabajo, el ES construye el Plan de Aseguramiento del Entorno que contendr todos los objetivos de control deseados y la forma de implantarlos en el entorno para asegurarlo. Todas las tareas desarrolladas en esta etapa inicial conducen a la familiarizacin del Experto con el entorno y su conocimiento. Esto le permitir al Experto determinar las mejores medidas a tomar para asegurar el entorno objetivo. Esta Tesis se basa en estndares internacionales, Normas y las mejores prcticas profesionales, por lo que no es necesario poseer un conocimiento especializado en Seguridad Informtica para utilizar la Metodologa AEI. Sin embargo, se confa en el buen criterio del Ingeniero o Licenciado en Anlisis de Sistemas que la utilice para lograr la mejor implementacin de la solucin.
23
Continuando con la metodologa, la segunda parte del trabajo consiste en llevar a la prctica los controles planificados antes, en la fase que llamamos Implantacin. Luego de la implantacin de los controles y las mejoras en los procesos que conducen a la obtencin de los objetivos fijados en el Plan, el ES deber realizar un balance ponderando los objetivos fijados al principio del proyecto con los resultados obtenidos en la ltima etapa. Su trabajo aqu es evaluar la implantacin, su grado de xito y realizar los ajustes al Plan que sean necesarios para completar el aseguramiento del entorno. A esta fase la llamamos Estabilizacin. Finalmente nace una fase que se mantendr a lo largo de toda la vida del entorno: la fase de Mantenimiento, que acompaa todos los cambios en el entrono persiguiendo la preservacin de su seguridad. En esta etapa, la etapa final de la MAEI, el entorno se convierte en seguro y se mantiene de esa forma hasta que se implanten cambios lo suficientemente grandes como para que se deba considerar la construccin de un nuevo Plan de Aseguramiento. En este caso la metodologa EAI permite reiniciar el proceso haciendo mucho ms cortas las etapas iniciales, saltando tareas de sondeo como la realizacin del Relevamiento General y el Relevamiento de Usuario, que ya han sido realizados no requieren mayor detalle. Como vimos, entonces, partiendo de un entorno inseguro, realizando las tareas que forman parte de las primeras tres fases de la MAEI, en una primera etapa se logra el conocimiento del entorno. Siguiendo con la implantacin de la solucin, a travs de las tres ltimas fases compuestas por tareas de implantacin, control y mejora continua, se obtiene un entorno seguro, que es el objetivo de este trabajo.
24
DEFINICIN DEL ALCANCE
Contenido: 1.1 Anlisis de Requerimientos de Usuario 1.1.1 Documento de Requerimientos de Usuario 1.1.2 Ejemplo - Documento de Requerimientos de Usuario 1.2 Elaboracin del Alcance 1.2.1 Alcance 1.2.2 Ejemplo - Alcance 1.3 Aprobacin del Alcance 1.4 Estimacin de tiempos y costos 1.4.1 Costos capitales 1.4.2 Costos recurrentes 1.4.3 Costos No recurrentes 1.5 Elaboracin del Plan de Trabajo
25
1.1 Anlisis de Requerimientos de Usuario

En esta etapa el ES se pone en contacto con el cliente (la persona o entidad interesada en asegurar el entorno objetivo) y escucha e interpreta lo que el usuario le pide. En general el usuario no sabe qu es lo que quiere asegurar, por eso es tarea de ES orientarlo en el campo mostrndole los distintos aspectos que se deberan asegurar, para determinar a qu nivel el usuario desea que se realice el proyecto de aseguramiento. A partir de esta decisin el ES concentrar su esfuerzo en el Relevamiento General y en el Relevamiento de usuario, haciendo foco en el o los aspectos que el usuario seal. Muy probablemente el usuario no tenga claro siquiera qu nivel desea proteger (fsico, lgico u organizacional) y dejar la decisin en manos de ES. El ES puede, entonces, pasar a las etapas siguientes de esta fase de la MAEI para detectar a grandes rasgos las mayores falencias en cuanto a seguridad por nivel (a so apunta el Relevamiento de Usuario) y ofrecer los resultados al cliente para que este decida el camino a seguir.
1.1.1 Documento de Requerimientos de Usuario De una forma u otra, el ES registrar el pedido del usuario en un documento llamado Documento de Requerimientos de Usuario, que contendr la voluntad del usuario respecto de los niveles y elementos a asegurar. El Documento de Requerimientos de Usuario contendr la siguiente informacin: Niveles a asegurar: Nivel fsico; Nivel lgico; Nivel de la Organizacin.
Elementos a asegurar por nivel:
26
Nivel fsico: o Elementos a asegurar del nivel fsico.
Nivel lgico: o Elementos a asegurar del nivel lgico.
Nivel de la organizacin: o Elementos a asegurar del nivel de la organizacin.
1.1.2 Ejemplo - Requerimientos de Usuario
Niveles a asegurar: Nivel fsico; Nivel lgico.
Elementos a asegurar por nivel: Nivel fsico: o o o Proteccin del acceso a los servidores; Proteccin de los equipos; Controlar el acceso del personal y determinar a qu usuarios se les puede permitir el uso de los distintos recursos y a cules se les debe restringir.
Nivel lgico: o o o Poner contraseas para el acceso a los servidores; Hacer backup de los datos ms importantes; Ver que nadie (usuarios no autorizados) puedan leer la base de datos de la nmina de personal.
1.2 Elaboracin del Alcance

A partir de los requerimientos obtenidos del usuario se establece el alcance que tendr el proyecto de aseguramiento del entorno informatizado objetivo. 27
En esta etapa se determinan claramente todos los puntos sobre los que se elaborar el Plan de Aseguramiento y se registran en un documento elaborado para tal fin. Este documento se llamar Alcance. Cabe mencionar que el Alcance es elaborado por el ES con una adecuada colaboracin del cliente, que deber asumir responsabilidad sobre los temas que se decida dejar fuera del proyecto. ste deber reflejar objetivos claros y puntuales que se debern cumplir en el proceso de aseguramiento.
1.2.1 Alcance El Alcance deber contener la siguiente informacin: Objetivo Se define claramente lo que se pretende lograr en el proyecto. Los objetivos deben responder al acrnimo SMART, que enmarca las prcticas fundamentales necesarias para alcanzar alta motivacin y mejora para conseguir el objetivo propuesto: S : Simple, especfico con un significado preciso. M: Meaningful (con significado), motivante, mensurable. A: Aceptable, alcanzable orientado a la accin, acordado, activable, asignable. R: Realstico, susceptible a revision, relative, compensatorio, razonable, orientado a resultados, relevante a una misin. T: Timelines (lneas de tiempo), con registro de fecha, relacionado con el tiempo, tangible, basado en tiempo, especfico en el tiempo, limitado por el tiempo, relacionado con el tiempo, verdadero.
Participantes del proyecto Responsable por la empresa objetivo: Ejecutivo de nivel gerencial que avala el proyecto. Experto en Seguridad (ES): Profesional responsable del diseo y planificacin del Plan de Aseguramiento del entorno. 28
Recursos afectados al proyecto: Son personas que colaborarn durante todo el proyecto liderado por el ES.
Definicin del Entorno Se debe determinar con precisin cul ser el entorno donde se implementar el proyecto. El Alcance estar circunscrito a ese entorno y todas las referencias que se hagan a l sern en relacin a esta definicin. El entorno puede ser desde un equipo informtico hasta una Corporacin distribuida en distintas regiones geogrficas; puede definirse como el edificio que alberga a la empresa objetivo o como el Centro de Cmputos (CC) o Centro de Procesamiento de Datos (CPD) donde se encuentran los servidores.
Niveles que cubrir el proyecto Esto es, definir a qu nivel se har al estudio para lograr el aseguramiento. Como se defini en la introduccin, el estudio se puede enfocar en alguno o todos estos niveles: Nivel fsico; Nivel lgico; Nivel de la organizacin.
Hitos a cubrir en cada nivel: Definir a alto nivel qu hitos se debern cumplir a lo largo del proyecto.
Elementos fuera del Alcance tems que se haya decidido dejar fuera del proyecto por diversos motivos;
Planificacin del trabajo
29
Definicin de las etapas o fases en que se desarrollar el proyecto, a nivel macro, sin entrar en detalle. Entregables de cada etapa El cliente debe ver el avance del proyecto a medida que transcurre el tiempo. Para eso se define una serie de documentos o entregables de cada etapa del proyecto que reflejarn el trabajo hecho. Consideraciones adicionales Consideraciones que el ES crea necesarias para el proyecto.
1.2.2 Ejemplo - Alcance El siguiente ejemplo pretende mostrar los objetivos planteados en un Alcance genrico, que abarca parte de los elementos susceptibles de ser analizados: Objetivo Crear e implementar los controles y medidas necesarias para cumplir con el nivel medio de seguridad, segn los estndares de la empresa, en el corto plazo. Participantes del proyecto Responsable por la empresa objetivo: Gerente del rea de sistemas, Ing. Francisco Lpez. Recursos afectados al proyecto: Project leader: ES Recursos: Carina Rodrguez Pablo Benigno Santiago Carpenari Manuel Lopez Cintia Kers Definicin del Entorno Se define como entorno al Centro de Procesamiento de Datos (CPD) de la compaa. 30
Niveles que cubrir el proyecto Nivel fsico; Nivel lgico; Nivel de la organizacin.
Hitos a cubrir en cada nivel Alcance a nivel Fsico: Proteccin del edificio contra el acceso fsico no autorizado; Proteccin de las oficinas del sector de Cmputos contra el acceso fsico no autorizado; Proteccin del hardware e instalaciones del sector de Cmputos y de Ventas contra el acceso fsico no autorizado; Proteccin de la red de comunicaciones de toda la empresa contra el acceso fsico no autorizado; Proteccin de Cables; Proteccin de Servidores; Proteccin de la conexin greles.
Alcance a nivel Lgico: Proteccin de los datos del sector de Cmputos contra el acceso no autorizado; Proteccin de la integridad de los datos del sector de Cmputos; Proteccin de las aplicaciones de toda la empresa contra el acceso no autorizado; Implantacin de restricciones de uso de software Implantacin de un sistema de administracin de usuarios y contraseas;
Alcance a nivel de la organizacin: Elaboracin de la Normativa de Seguridad de la empresa; Revisin de la estructura de la organizacin en el sector de Cmputos; Proteccin de las marcas de la empresa; Capacitacin de los empleados.
31
Elementos fuera del proyecto Los elementos pendientes que no formarn parte de este proyecto de aseguramiento del entorno: Regularizacin de la situacin de las licencias de software; Proteccin del hardware e instalaciones del sector de Diseo y Manufactura; Implantacin de medidas de prevencin de catstrofes naturales: Incendios; Inundaciones; Cortocircuitos; Etc; Elaboracin de un Plan de Recuperacin del Entorno ante Desastres.
Planificacin del trabajo El proyecto se llevar a cabo en las siguientes etapas: Relevamiento; Planificacin; Implantacin; Estabilizacin; Mantenimiento.
Entregables de cada etapa: Etapa 1: Relevamiento general; Relevamiento de usuario; Mapa de vulnerabilidades; Informe de Riesgos. Etapa 2: Plan de Aseguramiento; Documento de Administracin de Backups; Documento de Actualizacin de Software; Mapa de Usuarios; Tabla de Permisos sobre Activos Lgicos;
32
Test de viabilidad. Etapa 3: Polticas de Seguridad, Normas, Procedimientos, Estndares Tcnicos, Manuales de Procedimiento; Inventario de Activos; ABM de Activos; Presentaciones y comunicados a usuarios como medio de capacitacin. Etapa 4: Informe de Implantacin; Informe de cierre de la implantacin. Etapa 5: Registro de Incidencias.
1.3 Aprobacin del Alcance

Como documento inicial del proyecto el Alcance deber ser aprobado por los responsables del lado del cliente, previo consenso con el ES encargado de la elaboracin del Plan de Aseguramiento del entorno informatizado objetivo.
1.4 Estimacin de tiempos y costos.

Como en todo proyecto de IT, es necesario realizar una estimacin del tiempo que se deber invertir y los recursos a asignar para culminar con xito y en un tiempo finito el proyecto de aseguramiento del entorno. Para la estimacin de tiempos no existe una frmula que determine el tiempo que llevar cada tarea. La duracin de las mismas depende de muchos factores: de la cantidad de recursos asignados; de la calidad de esos recursos; de la carga que se les pueda asignar a esos recursos; de la experiencia de los recursos humanos involucrados;
33
del tamao del entorno; de la complejidad del entorno; de la estabilidad econmico-financiera de la empresa objetivo (pues el proyecto puede perder prioridad ante situaciones de crisis); del apoyo del nivel gerencial y la seriedad con que tomen el proyecto (pues muchas decisiones surgirn a ese nivel, como la aprobacin de la poltica de seguridad).
Es por eso que la experiencia le dar al ES la capacidad para medir el tiempo que le llevar hacer cada tarea segn los parmetros antes mencionados. La estimacin de costos, por otro lado, es una variable fundamental a determinar, en la que la experiencia del ES se utiliza para la asignacin de recursos, a partir de la cual se calculan los costos. Para ello existen mtodos, pero no es el fin de este trabajo entrar en detalle al respecto. En esta seccin mencionaremos los costos que se debern tener en cuenta a nivel general. Como en todo este trabajo, se deja la responsabilidad al ES de bajar el nivel de anlisis, para que, siguiendo esta Metodologa para el Aseguramiento de Entornos Informatizados, llegue al punto de reflejar el caso en el que est trabajando. Los costos que genera un proyecto de IT como ste se pueden categorizar en 3 clases: costos capitales; costos recurrentes; costos no recurrentes.
1.4.1 Costos capitales Son los costos para adquirir, desarrollar, o instalar los principales bienes o activos. Un activo principal es una ventaja palpable que tiene una vida til de ms que un ao y se pretende continuar su uso con el tiempo. Activos capitales estndar incluyen hardware de computadora (como computadoras personales e impresoras) y software comprado como un paquete o desarrollado a pedido. Los siguientes son algunos ejemplos de costos capitales: 34
Equipos de procesamiento de datos: o o o o o o o CPUs; Workstations; Laptops; Unidades de almacenamiento externo (Discos rgidos externos); Monitores; Impresoras; Scanners.
Equipos de telecomunicaciones: o o o o o o Routers; Switches; Hubs; Modems; Servidores; Cableado de red.
Software: o o o o o o Sistemas operativos; Aplicaciones; Software de comunicaciones; Utilitarios; Firewalls; IDSs.
Otros: o o o UPSs o SAIs; Generadores de energa elctrica; Mueblera.
1.4.2 Costos recurrentes Los costos recurrentes son los costos que se presentan con regularidad.
35
En contraste con los costos capitales, los costos recurrentes deben ser tratados como si fueran a ser pagados completamente al ser facturados. Los costos recurrentes en general son costos operativos, en muchos casos fciles de definir como alquileres de equipos y salarios. Otros son ms difciles de distinguir de los costos capitales, como por ejemplo la compra de hardware y software, que pueden ser tratados como costos capitales o recurrentes. En el entorno de IT, los costos recurrentes son los siguientes: Salarios Incluye los costos por todos los empleados involucrados directa o indirectamente con el proyecto, encargados del manejo, el soporte y la administracin del proyecto en todas sus fases. Contratos Contratos a ser pagados regularmente durante la vida del entorno, como por ejemplo: o Contratos de mantenimiento de hardware; o o Contratos de mantenimiento de software; Contratos de operacin externa de IT (outsourcing).
Hardware: o o o Alquiler de equipos; Actualizacin de equipos; Mantenimiento interno.
Software: o o o Actualizacin de software; Licencias de software; Mantenimiento interno.
Telecomunicaciones: o o o Alquileres; Transmisin de datos; Mantenimiento.
Recursos humanos: 36
o o o o o
Salarios; Seguros; Capacitacin; Provisiones; Viajes.
1.4.3 Costos No recurrentes Los costos no recurrentes son los que se presentan una sola vez durante la vida del proyecto de seguridad. Aunque aparecen una vez, suelen ser los mayores costos del proyecto. Por ejemplo, el costo de los empleados que se contratan para hacer tareas exclusivas en proyecto, y que luego de terminado se retiran sin participar en ningn otro proyecto, es un costo no recurrente. Salarios; Contratos; Estudios Anlisis de requerimientos, diseo, performance, estudios de viabilidad, etc; Conversin de costos; Provisin de datos; Testing; Auditoras internas; Acondicionamiento del entorno; Costos incidentales; Entrenamiento; Viajes; Documentacin.
Una vez estimados los tiempos y los costos a invertir en el proyecto, el ES est en condiciones de elaborar la propuesta de trabajo que contendr el Plan de trabajo que especifique las tareas y los recursos necesarios para desarrollarlas.
1.5 Elaboracin del Plan de Trabajo
37
El paso siguiente a la elaboracin del Alcance, y una vez aprobado por los responsables, es la elaboracin del Plan de Trabajo. Este Plan de Trabajo no es ms que la organizacin de las tareas a desarrollar durante la duracin estimada del proyecto. En todo plan se fijan objetivos o hitos a cumplir. Estos hitos estn asociados a una serie de tareas necesarias para lograr el objetivo, que tendrn un perodo asignado. Una buena prctica es fijar las fechas de inicio y fin de la tarea para que los perodos no se extiendan demasiado. Cada subetapa del proyecto tendr (o no) entregables, documentos o resultados para los que se trabaja en el perodo asignado. A su vez, el comienzo de una tarea puede depender del resultado de otras tareas, por lo que no podr comenzar hasta que todas las tareas de las que depende hayan finalizado. Puede haber tareas que se solapen, cuyo resultado alimente otra tarea, etc. Las posibilidades de dependencia son mltiples, por lo que es importante organizarlas con anticipacin previendo posibles retrasos o inconvenientes. El Plan de Trabajo deber incluir, como mnimo: Nombre del proyecto; Duracin total del proyecto; Perodos laborales; Hitos; Tareas; Fases; Duracin de las tareas; Fecha de Inicio del proyecto; Fecha de Inicio de cada tarea; Fecha de Fin del proyecto; Fecha de Fin de cada tarea; Recursos asignados por tarea; Solapamiento de tareas; Tareas predecesoras o tareas dependientes de otras; Entregables por hito; 38
Entregables por tarea.
Ejemplo Como ejemplo incluimos una imagen de un Plan de Trabajo de un proyecto de normativa de seguridad. Este proyecto se desarrolla en dos semanas, y est compuesto de 17 tareas.
Id Task Name 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 MAEI - Manual de Seguridad Sondeo en sede central Sondeo General Poltica general de seguridad Responsabilidades de seguridad Clasificacin y tratamiento de la informacin Comunicaciones de redes de datos Administracin de usuarios y recursos Proteccin ante virus informticos Proteccin fsica Copiasde respaldo (backup) Ambientes de procesamiento Continuidad de procesamiento Generacin de registros de eventos Sondeo en planta Revisin documentacin Reunin de presentacin con directores/gerente Anlisis documentacin con directores/gerentes Actualizacin de la documentacin Generacin versin final Duracin ay '04 23 may '04 30 may '04 M M J V S D L M M J V S D L M M 10 das 3 das 1 da 2 das 2 das 2 das 2 das 2 das 2 das 2 das 2 das 2 das 2 das 2 das 1 da 1 da 1 da 3 das 3 das 1 da
39
RELEVAMIENTO
Contenido: 2.1 Elaboracin del Relevamiento General 2.1.1 Relevamiento General 2.2 Elaboracin del Relevamiento de Usuario 2.2.1 Relevamiento de Usuario 2.2.2 Asignacin de puntaje 2.2.3 Aclaracin sobre las preguntas 2.2.4 Resultados de la evaluacin 2.2.5 Evaluacin del entorno 2.2.5.1 Referencias al puntaje obtenido en el test por nivel 2.2.5.2 Configuraciones de resultados 2.3 Anlisis de vulnerabilidades 2.3.1 Conocer al enemigo 2.3.2 Ejemplo Atacantes 2.3.3 Las amenazas 2.3.4 Anlisis de Vulnerabilidades 2.3.4.1 Aspectos funcionales 2.3.4.2 Anlisis de la documentacin 2.3.4.3 Anlisis de las aplicaciones y equipos 2.3.4.3.1 Intento de Penetracin 2.3.4.3.2 Herramientas de anlisis de vulnerabilidades 2.3.5 Mapa de Vulnerabilidades 2.3.5.1 Vulnerabilidades a nivel fsico 2.3.5.2 Vulnerabilidades a nivel lgico 2.3.5.3 Vulnerabilidades a nivel de la organizacin 2.4 Anlisis de Riesgos 2.4.1 Informe de Riesgos 2.4.2 Ejemplo Informe de Riesgos
40
2.1 Elaboracin del Relevamiento General.

Para desarrollar un Plan de Aseguramiento, el ES debe conocer la empresa objetivo, su organizacin y sus procesos de negocio. Sobre esta informacin se basar una serie de estudios que depender de muchos de los factores aqu relevados. Por ejemplo, para la correcta administracin de los usuarios se deber tener en cuenta si la empresa tiene procesos de manufactura o solamente administrativos, pues en estos dos mbitos suelen ser muy distintos los circuitos de autorizacin de alta de usuarios, etc. Es por eso que aqu se propone una serie de puntos de control sobre los que se deber investigar, cuestionar y observar: El rubro de la empresa, y conocer sobre su negocio; La calidad de la sede en cuanto al manejo del negocio (Administrativa, productiva, comercial, etc); El tamao de la empresa y su distribucin fsica; Detalles sobre la infraestructura edilicia (cantidad de edificios, pisos u oficinas) y su distribucin fsica; Que exista una definicin de funciones y estructura de comunicacin en la empresa; Que exista un rea de Seguridad Informtica; Que existan roles adecuados para la supervisin de la seguridad de las aplicaciones y equipos que existen en el entorno, y la realizacin de controles que garanticen la autorizacin y el adecuado uso de los recursos; Organizacin de personal jerarquas dentro de la empresa; Que exista un encargado de soporte para las aplicaciones y equipos tratados; La arquitectura de la red; La tecnologa que maneja la empresa (hardware y software); 41
Las aplicaciones especficas que apoyan al negocio; Analizar la existencia de documentacin en relacin a: o o o Un marco normativo que defina la poltica de la empresa, y siente las bases para el desarrollo de procedimientos y estndares tcnicos; Relaciones formales y conocidas por el personal, referidas a la documentacin de carcter obligatorio y deseable que debe ser desarrollada y mantenida; Los requerimientos de tecnologa, de procesamiento, de archivos y de interfases para los usuarios.
Para verificar estos puntos de control el ES puede realizar las siguientes tareas: Revisar la documentacin del proceso de negocio de la empresa objetivo con el fin de conocer su estructura y funcionamiento; Entrevistar a los responsables del nivel gerencial para obtener informacin sobre el manejo del negocio y sobre los aspectos crticos del mismo; Entrevistar a los responsables del nivel gerencial para obtener informacin sobre el manejo del negocio y los activos de informacin que los soportan; Obtener de los usuarios, informacin adicional sobre el entorno a relevar, tales como: o o Satisfaccin funcional de los requerimientos de informacin de los usuarios; Confianza de los usuarios en la informacin que manejan estos equipos y aplicaciones;
Entrevistar al personal del rea de Sistemas a fin de identificar la documentacin existente y los procedimientos formales e informales relacionados con el desarrollo, autorizacin y mantenimiento de la misma; Analizar la documentacin existente en cuanto a estructura, niveles de aprobacin, vigencia, contenido, publicacin y distribucin entre los involucrados; Identificar los componentes de hardware presentes en las instalaciones; Identificar los componentes de software de base;
42
Entrevistar al personal de comunicaciones para comprender globalmente las facilidades de acceso a travs de Internet y los mecanismos de seguridad implantados para prevenir el acceso a dichas facilidades.
2.1.1 Relevamiento General El sondeo propuesto en el Relevamiento General deber documentarse como parte de los entregables del proyecto de aseguramiento del entorno. Para esto se propone el siguiente esquema que resume los puntos de control bsicos a relevar:
Rubro de la empresa
Calidad de la sede o Administrativa, productiva, comercial, etc;
Negocio o o o o o o o Descripcin; Procesos de negocio; Productos; Servicios; Actividades rutinarias; Actividades extraordinarias; Actividades excepcionales.
Dependencia: o o o o o Es una empresa con presencia multinacional? El negocio se ve afectado por la actividad de la empresa en otros pases? El negocio se ve afectado por la actividad de la empresa en otras provincias? El negocio se ve afectado por la actividad de la empresa en otras ciudades? El negocio se ve afectado por la actividad de la empresa en otros edificios?
Si es multinacional: o o o Se trata de una sede o de la corporacin? Cantidad de pases donde opera; Listado de pases donde opera.
Informacin edilicia: 43
o o o o o
Cantidad de edificios; Cantidad de pisos por edificio; Cantidad total de pisos; Cantidad de oficinas por piso; Cantidad total de oficinas.
Red o o o o Arquitectura fsica; Arquitectura lgica; Protocolos; Cableado.
Hardware o o o o o o o o Tipos de maquinarias (mainframes, terminales, PCs); Cantidad de equipos por tipo; Elementos de Red (switches, routers, hubs, etc.); Cantidad de elementos de red; Telefona (centrales telefnicas, telfonos); Cantidad de telfonos; Otros elementos (UPSs, impresoras, scaners, etc.); Cantidad de elementos por tipo.
Software o o o o o o Sistemas Operativos; Utilitarios; Bases de datos; Software de gestin; Otros; Cantidad de licencias.
Personal o o o o Jerarqua; Cantidad de reas; Cantidad de sectores; Personal: Contabilizacin por puesto (gerentes, administrativos, usuarios, no usuarios, externos).
44
Administracin o o o o o o o Existe un rea de desarrollo de software? Existe un rea de control de calidad de software? Existe de un rea de Seguridad Informtica? De quin es la responsabilidad de la administracin de los equipos (de la corporacin, del pas, de la sucursal, del sector)? Cuntas personas abarca? De quin es la responsabilidad de la operacin de los equipos ((de la corporacin, del pas, de la sucursal, del sector)? Cuntas personas abarca?
2.2 Elaboracin del Relevamiento de Usuario

En esta etapa del relevamiento el ES realiza una investigacin sobre el entorno objetivo con el fin de obtener un panorama de la situacin actual y conocer su forma de funcionamiento, y detectar, a grandes rasgos, fuentes de debilidades para luego realizar un estudio profundo enfocado en los puntos hallados, en la etapa llamada Anlisis de Vulnerabilidades. En este anlisis, el ES verificar los siguientes objetivos de control: Que se haya definido y documentado un modelo de administracin de la seguridad; Que existan estndares y procedimientos de trabajo definidos para todas las tareas del rea; Que el circuito de trabajo responda a criterios de seguridad, eficiencia y productividad; Que exista un permetro de seguridad para los equipos de procesamiento crtico; Que se apliquen medidas de seguridad fsica en el entorno de trabajo de los usuarios finales; Que los equipos informticos sean utilizados slo con fines autorizados y siguiendo los procedimientos establecidos; Que existan procedimientos de control para la utilizacin de los recursos;
45
Que exista un encargado de soporte del mantenimiento para las aplicaciones analizadas; Que los usuarios tienen conciencia de los problemas de seguridad informtica y estn informados acerca de los riesgos existentes; Que existen adecuados procedimientos manuales o automatizados de control de cambios a los programas y de toma de nuevos requerimientos de usuarios; Que existen acuerdos de confidencialidad firmados por los usuarios para el manejo de la informacin que tratan los sistemas; Que exista un marco normativo que defina la poltica de la empresa, y siente las bases para el desarrollo de procedimientos y estndares tcnicos; Que existan relaciones formales y conocidas por el personal, referidas a la documentacin de carcter obligatorio y deseable que debe ser desarrollada y mantenida; Que exista documentacin de usuario que especifique los requerimientos de tecnologa, de procesamiento, de archivos y de interfases; Que se encuentre implantado adecuadamente un ambiente general de control de accesos propio de las aplicaciones y recursos a efectos de prevenir el uso no autorizado de funciones interactivas, tanto desde conexiones desde la red interna como desde Internet.
Para verificar estos puntos de control el ES y su equipo de trabajo puede realizar las siguientes tareas: Entrevistar a los usuarios a fin de obtener informacin sobre el entorno a relevar, en los siguientes aspectos: o o o Fsico; Lgico; De la organizacin.
Para ello el ES explicar a los usuarios el objetivo de la charla, y dar todo el detalle necesario para que las respuestas de los mismos sean vlidas. Entrevistar a ciertos usuarios finales a efectos de verificar:
46
o o o
Cun involucrados estn con la seguridad en el entorno donde trabajan; Cmo reaccionan ante incidencias de seguridad y cmo realizan solicitudes de cambios; Si conocen el marco normativo que define la poltica de la empresa.
En estas entrevistas, se sugiere realizar un test en cada uno de los diferentes departamentos de la organizacin, y, dentro de estos, en los distintos sectores. Este test tiene por fin obtener una medida de lo expuesto que se encuentra el ambiente a vulnerabilidades, fallas en la cultura de trabajo, vicios en la organizacin, el nivel de informacin que manejan los empleados y su nivel de conciencia respecto de la seguridad, etc. O sea, una medida general de lo expuesto que se encuentra el sistema a los ataques informticos por nivel. Esto servir como introduccin al ES para la construccin del Mapa Vulnerabilidades y para fijar los objetivos del Plan de Aseguramiento del sistema. de
El siguiente esquema pretende mostrar las principales puertas de ataques que se deben proteger, y evaluar, en un entorno informatizado:
Una vez recompilada como mnimo esta informacin, la Metodologa AEI prev la intervencin del usuario como fuente de conocimiento del ES. A continuacin se especifica el documento formal que materializa la intervencin directa del usuario como referente de las caractersticas del entorno en estudio.
47
El Relevamiento de Usuario consiste en una serie de preguntas separadas en tres mdulos por nivel. Los mdulos corresponden a los niveles fsico, lgico y de la organizacin respectivamente. El Experto en Seguridad, evaluar la criticidad de cada punto asignando un valor segn la respuesta obtenida.
2.2.1 Relevamiento de Usuario AREA: SECTOR: CPU: EMPLEADO: ANTIGEDAD:
NIVEL NIVEL FSICO
NO
PUNTOS
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
El espacio es compartido? (oficina propia, box del sector, comn) Hay otros sectores de la empresa en el mismo piso? Se accede a esta Workstation con llave propia del sector? Existe algn circuito de circulacin abierto hasta esta Workstation? Est cerca de alguna puerta? Est cerca de algn pasillo? Est cerca de alguna ventana? Guarda la documentacin impresa o magntica bajo llave propia? Guarda la documentacin impresa o magntica bajo llave comn al sector? Maneja algn tipo de codificacin para la rotulacin de diskettes, cintas, CDs, etc? Posee conexin fsica a una LAN? Posee conexin fsica a una WAN? Tiene acceso a Internet? Hay cables al descubierto? Usa esta Workstation otro usuario regularmente? Trabaja con servidores de uso exclusivo de su sector o son compartidos por ms de un sector ( por ejemplo Desarrollo y Prueba)?
48
NIVEL SUBTOTAL NIVEL FSICO NIVEL LGICO
NO
PUNTOS
17 18 19 20 21 22 23 24 25 26 27 28 29 30
Posee conexin permanente a Internet? Posee IP fija? Se puede acceder en forma remota a esta Workstation? Tiene acceso solamente a los recursos que necesita para trabajar? Lo ven desde la LAN slo los que lo necesitan ver? Posee documentacin de las aplicaciones que utiliza? Hay ms usuarios configurados de los que realmente usan la workstation? Usa un SO monousuario? Es usuario experto de su SO? Usa la misma contrasea para ms de un sistema? Cambia las contraseas con regularidad? realiza copias de respaldo de su informacin personal sensible? Posee carpetas compartidas en esta PC? Usa el antivirus regularmente para revisar archivos peligrosos? SUBTOTAL NIVEL LGICO NIVEL DE LA ORGANIZACIN
31 32 33 34 35 36 37 38 39 40
Existe una persona encargada de administrar la seguridad? Existen Normas o procedimientos de seguridad? Existe algn procedimiento para solicitar nuevos requerimientos? Procesa informacin que es confidencial para gente del mismo departamento? Intercambia datos/informacin con otros departamentos? Intercambia datos/informacin con otras empresas? Trabajan terceros en su piso? Cuando ocurre un incidente, informa a alguien? Cmo informa los nuevos requerimientos? Ha firmado algn acuerdo de confidencialidad? SUBTOTAL NIVEL DE LA ORGANIZACIN TOTAL
2.2.2 Asignacin de puntaje Para la asignacin del puntaje se sigui el criterio adoptado por la empresa Internet Security Systems [iss.net], experta en seguridad, considerado adecuado para el estudio que se lleva a cabo en este Relevamiento.
49
Se definen los valores posibles y su significado como sigue: 0: No representa amenaza alguna; 1: Amenaza leve; 2: Gran amenaza al sistema.
Para medir la criticidad se utiliza el siguiente criterio: No representa amenaza alguna: Si estn presentes elementos que provean informacin que no es del sistema que pueda ser usada para efectuar ataques estructurados en un objetivo, pero que no otorgan acceso autorizado directamente. Por ejemplo: o Ataques por fuerza bruta; o Descubrimiento de informacin que no es del sistema (datos sueltos, informacin pblica). Amenaza leve: Si existen eventos que tengan el potencial de otorgar acceso o permitir ejecucin de cdigo por medio de procedimientos largos o complejos, o elementos de bajo riesgo aplicados a componentes importantes. Por ejemplo: o Ataques de hombre en el medio (ver Man in the middle attack en [Stallings1999]); o Negacin de servicio de elementos no crticos; o Descubrimiento de informacin privada (pero no confidencial, por ejemplo informacin de uso interno). Gran amenaza al sistema: Si existen elementos que permiten acceso local o remoto inmediato, o la ejecucin de cdigo o comandos con privilegios desautorizados, o la negacin de servicios. Por ejemplo: o Overflow de buffers; o Scripting a travs de sitios (ejecucin de algoritmos malintencionados a travs de la web); o Denegacin de servicios de elementos crticos;
50
o Backdors; o Contraseas por default o contraseas en blanco; o Salteo de la seguridad en firewalls y otros componentes de red.
2.2.3 Aclaracin sobre las preguntas
2.2.3.1 Nivel Fsico
1- El espacio es compartido (oficina propia, box del sector, comn)? La pregunta apunta a ver si la Workstation en estudio est aislada fsicamente de otras, o est ubicada en un sector compartido, como un box de trabajo o un lugar abierto. 2- Hay otros sectores de la empresa en el mismo piso? La pregunta apunta a si el espacio fsico es ocupado por personas de distintos sectores. 3- Se accede a esta Workstation con llave propia del sector? Se refiere a si la Workstation en estudio est ubicada en un lugar fsico al que se accede con llave u otro mecanismo de seguridad propio del sector de trabajo, y no da acceso a otros sectores. 4- Existe algn circuito de circulacin abierto hasta esta Workstation? Se apunta a verificar si existe un camino inseguro a la Workstation como podra ser un pasillo que da a una salida no asegurada. Un ejemplo tpico es la PC de trabajo de una recepcionista que est al alcance del pblico. 5- Est cerca de alguna puerta? Con CERCA se hace referencia a pocos metros. 6- Est cerca de algn pasillo? Con CERCA se hace referencia a pocos metros. 7- Est cerca de alguna ventana? Con CERCA se hace referencia a pocos metros. 8- Guarda la documentacin impresa o magntica bajo llave propia?
51
Por ejemplo en un armario de uso particular. 9- Guarda la documentacin impresa o magntica bajo llave comn al sector? Por ejemplo en un armario de uso comn de todo el sector. 10- Maneja algn tipo de codificacin para la rotulacin de diskettes, cintas, CDs, etc? La pregunta apunta a verificar si se utiliza alguna tcnica preestablecida para nomenclar dispositivos de almacenamiento, o simplemente se rotulan con nombres legtimos. Un ejemplo de nombre legtimo podra ser: back05122002.tar que indica claramente que ese dispositivo contiene un archivo de backup del da 5 de diciembre del 2002. Un ejemplo de codificacin podra ser CDC640 que tiene significado solamente para las personas concernientes. 11- Posee conexin a una LAN? Se le debe preguntar al usuario si est conectado a la red local. 12- Posee conexin a una WAN? Se le pregunta al usuario si en su red existen equipos ubicados fsicamente en otro edificio. 13- Tiene acceso a Internet? La pregunta apunta a verificar si el usuario tiene acceso a Internet. 14- Hay cables al descubierto? La pregunta apunta a verificar si el cableado est protegido, por ejemplo, con tubos cobertores e se encuentran subterrneos, o simplemente se expanden a la vista. 15- Usa esta Workstation otro usuario regularmente? Esta pregunta apunta a verificar si la Workstation es compartida por distintos usuarios. Esto suele darse en situaciones donde los empleados trabajen part-time o simplemente se requiera de monitorizacin continua durante las 24 hs. 16- Trabaja con servidores de uso exclusivo de su sector o son compartidos por ms de un sector? Por ejemplo, si trabajan los sectores de Desarrollo y Prueba con un mismo servidor.
52
2.2.3.2 Nivel Lgico 17- Posee conexin permanente a Internet? Por ejemplo ADSL, Cablemodem, etc. 18- Posee IP fija? Esta pregunta apunta a conocer cmo se hace la administracin de las direcciones de red, que afectar en la definicin de un blanco identificable o no. (Algunos ataques internos tienen como objetivo la penetracin de las barreras de seguridad de ciertos equipos en particular. La IP fija facilita la identificacin de mquinas para este fin.) Si el usuario no sabe si su IP es fija o variable, el ES puede solicitarle realizar la verifiacin. 19- Se puede acceder en forma remota a esta Workstation? Por ejemplo a travs de conexiones TELNET, o haciendo un REMOTE LOGON. 20- Tiene acceso solamente a los recursos que necesita para trabajar? La pregunta apunta a verificar si desde la Workstation se puede acceder a sectores de al LAN que no son necesarios para realizar el trabajo, apuntando al principio de otorgar solo los privilegios mnimos y necesarios para la realizacin del trabajo 21- Lo ven desde la LAN slo los que lo necesitan ver? Para verificar si sectores no autorizados tienen acceso a esta terminal. 22- Posee documentacin de las aplicaciones que utiliza? Esta pregunta apunta a chequear si los usuarios poseen documentacin suficiente (y adecuada) para el uso de los aplicativos de trabajo (por ejemplo manuales de usuario, manuales tcnicos de los proveedores, etc.). 23- Hay ms usuarios configurados de los que realmente usan la workstation? Esta pregunta apunta a verificar si existen configurados usuarios que no son estrictamente necesarios. Por ejemplo en algunos sistemas operativos como ciertas distribuciones de Linux se instala el sistema con un conjunto de usuarios por default de los cuales algunos no son utilizados. En otros casos puede ocurrir que un empleado deje la organizacin pero quede configurado el usuario en el sistema. 24- Usa un SO monousuario? 53
Por ejemplo DOS o Windows 95, Windows 98, Windows Millenium, etc. 25- Es usuario experto de su SO? Apunta a verificar si el usuario es capaz de realizar tareas de administracin del sistema, por ejemplo, configurar un firewall, verificar opciones de seguridad, y manejar el file system en forma adecuada. 26- Usa la misma contrasea para ms de un sistema? Por ejemplo, si el usuario utiliza la misma contrasea para ingresar al sistema operativo y para el programa de correo. 27- Cambia las contraseas con regularidad? REGULARIDAD se podra llegar a considerar hasta un mes. 28- Realiza copias de respaldo de su informacin personal sensible? La realizacin de las copias de respaldo o backup es responsabilidad del administrador de la red y del operador responsable. Sin embargo, La informacin personal guardada localmente en las estaciones de trabajo no es resguardada, siendo sta responsabilidad del usuario. 29- Posee carpetas compartidas en esta PC? Se refiere a las carpetas que pueden ser accedidas por otros usuarios desde otras workstations. 30- Usa el antivirus regularmente para revisar archivos peligrosos? Se consideran ARCHIVOS PELIGROSOS los de origen incierto, o los transportados en medios magnticos como diskettes, cintas, etc. Esta pregunta apunta a ver si el usuario realiza controles especiales en situaciones particulares, por ejemplo cuando trabaja con dispositivos extrables, en los que no se realiza un anlisis de antivirus automtico.
2.2.3.3 Nivel De La Organizacin 31- Existe una persona encargada de administrar la seguridad? 32- Existen Normas o procedimientos de seguridad? La pregunta apunta a descubrir si el usuario est informado de la existencia de un marco normativo de seguridad.
54
33- Existe algn procedimiento para solicitar nuevos requerimientos? Esta pregunta apunta a verificar si el usuario conoce los procedimientos formales de solicitud de nuevos requerimientos, y si efectivamente estos procedimientos existen. 34- Procesa informacin que es confidencial para gente del mismo piso? Esta pregunta pretende verificar si en esta Workstation se procesa informacin que es confidencial para personas que comparten el mismo espacio fsico. 35- Intercambia datos/informacin con otros departamentos? Esta pregunta pretende descubrir la interrelacin entre departamentos, y la existencia de flujo de informacin entre ellos. 36- Intercambia datos/informacin con otras empresas? Esta pregunta pretende descubrir la interrelacin entre los empleados de la empresa con externos, y la existencia de flujo de informacin entre ellos. 37- Trabajan terceros en su piso? Se refiere a si trabajan personas subcontratadas o externas a la empresa en el mismo sector fsico. 38- Cuando ocurre un incidente, informa a alguien o trata de manejarlo solo? Por ejemplo: cuando sucede una anomala en el software el usuario llama a un tcnico de sistemas para que vea lo sucedido? 39- Cmo informa los nuevos requerimientos? La pregunta apunta a descubrir si existe un procedimiento de control de cambios y reporte de requerimientos de usuario. 40- Ha firmado algn acuerdo de confidencialidad? La pregunta apunta a determinar si el usuario tienen conciencia de la criticidad de la informacin que maneja, y si se ha realizado alguna vez una clasificacin de la informacin de la organizacin.
2.2.4 Resultados de la evaluacin Segn la cantidad de puntos obtenidos en cada nivel se establece la calificacin del entorno en cuanto a seguridad informtica: Nivel fsico: 55
De 0 a 6 puntos: Seguro/protegido; De 7 a 16 puntos: Medianamente vulnerable; De 17 a 32 puntos: Altamente vulnerable.
Nivel lgico: De 0 a 10 puntos: Seguro/protegido; De 11 a 14 puntos: Medianamente vulnerable; De 15 a 28 puntos: Altamente vulnerable.
Nivel de la organizacin: De 0 a 4 puntos: Seguro/protegido; De 5 a 9 puntos: Medianamente vulnerable; De 10 a 20 puntos: Altamente vulnerable.
2.2.5 Evaluacin del entorno
2.2.5.1 Referencias al puntaje obtenido en el test por nivel: 0: Seguro/protegido; 1: Medianamente vulnerable; 2: Altamente vulnerable; x: 0 o 1.
2.2.5.2 Configuraciones de resultados: 000: Entorno seguro. 001, 010, 001, 011, 110, 101, 111: Entorno medianamente vulnerable. Asegurable a corto plazo; xx2,x2x, xx2: Entorno altamente vulnerable. Asegurable de mediano a corto plazo; x22, 22x, 2x2: Entorno altamente vulnerable. Asegurable a mediano/ largo plazo; 56
222: Entorno altamente vulnerable. Requiere una planificacin plazo.
completa a largo
2.3 Anlisis de vulnerabilidades.

Esta etapa comprende la determinacin de las amenazas que enfrenta el entorno respecto de la seguridad de la informacin. Los datos almacenados en los servidores de la red, los almacenados en cada estacin de trabajo, los equipos e instalaciones, las aplicaciones, los documentos y todo mensaje (pulso elctrico, sonido, luz, etc), corren riesgos reales, potenciales y latentes a cada instante. Estos mensajes, datos, activos deben cumplir su funcin conservando los tres pilares de la seguridad intactos: Integridad: que se proteja la exactitud y totalidad de los datos y los mtodos de procesamiento; Confidencialidad: que la informacin sea accesible slo a las personas autorizadas; Disponibilidad: que los usuarios autorizados tengan acceso a la informacin y a los recursos cuando los necesiten.
Una vulnerabilidad es cualquier situacin que pueda desembocar en un problema de seguridad asegura [Huerta]. Se le llama amenaza a todo acontecimiento, persona, u ente capaz de hacer provecho de una vulnerabilidad para producir dao, modificacin o escucha indebida de informacin, atentando contra al menos una de estas caractersticas. Las vulnerabilidades pueden generar amenazas en el entorno en estudio: si son conocidas por un atacante, pueden causar la prdida de alguna de las caractersticas deseables de la informacin, antes mencionadas.
2.3.1 Conocer al enemigo Es muy importante conocer el entorno en estudio para predecir el tipo de atacante que puede atraer.
57
Segn las caractersticas del entorno, se estar expuesto a un abanico de atacantes ms o menos peligroso, y ms o menos experto. Como un perro es atrado por un hueso, y un ladrn de guantes blancos es atrado por un diamante, en informtica, los usuarios inexpertos son atrados por entornos inseguros (como una computadora hogarea conectada a Internet), mientras que los intrusos ms hbiles se ven seducidos por ambientes confidenciales y protegidos (como organismos militares y de investigacin). Es por eso que el ES debe analizar qu tipo de entorno maneja para predecir a qu tipo de ataques probablemente se deber enfrentar.
2.3.2 Ejemplo Atacantes A continuacin enumeramos algunos entornos comunes y sus enemigos ms conocidos: Los entornos de investigacin como universidades y laboratorios suelen ser boicoteados por los propios alumnos e investigadores, y rara vez por el personal, y ms ocasionalmente por extraos; Los organismos militares suelen ser investigados por la competencia (organismos militares y de inteligencia de pases enemigos) principalmente con el fin de obtener informacin; La confidencialidad de los datos es la caracterstica ms preciada en estos entornos; Las instituciones polticas y gubernamentales suelen ser carnada para pares de la competencia, como partidos opositores y gremios; Los entornos personales suelen ser atacados por intrusos desconocidos al azar (no se hacen ataques personales) que simplemente sienten satisfaccin tomando control de mquinas ajenas o provocando daos, pero en general estos ataques no apuntan a una obtencin de informacin, sino a la negacin de servicios o prdida de informacin; Las instituciones bancarias son blanco de atacantes codiciosos que pretenden, en general, malversar los datos para obtener beneficios econmicos; En este tipo de entornos la caracterstica que se desea preservar es la integridad de los datos; 58
En los entornos comerciales los ataques apuntan a la negacin de servicios, en general son perpetrados por los propios empleados de la compaa; Aqu la caracterstica ms valiosa es la disponibilidad de recursos y servicios, ya que una negacin de servicios suele impactar fuertemente en los negocios.
2.3.3 Las amenazas Las amenazas ms comunes a los entornos informatizados son: La falta de proteccin fsica del entorno: Las instalaciones, los equipos y documentos pueden estar expuestos a catstrofes naturales, a hurto, o destruccin por falta de proteccin o mala disposicin fsica de los elementos. La mala administracin de proyectos: La mala planificacin, la escasa separacin de tareas y definicin de roles disminuye la calidad del producto de software, provoca la disconformidad de los usuarios y una escasa documentacin de las distintas etapas del desarrollo. La falta de control y capacitacin de los programadores hace que se genere cdigo inseguro a partir de la programacin descuidada de rutinas. Una inadecuada separacin de ambientes: Genera riesgos de integridad y coherencia de los datos adems de la inestabilidad del sistema productivo con la consecuente falta de disponibilidad de los recursos. Los errores en la administracin del entorno: Una mala administracin abre puertas a los intrusos. Es fundamental detectar y corregir estas situaciones. El diseo inseguro: En el diseo de las aplicaciones, de las redes, de los CPDs. se subestima la implantacin de medidas de control de acceso, de separacin de funciones y tareas. Los defectos funcionales en las aplicaciones: La falta de flexibilidad en la administracin y la mala separacin en mdulos, entre otros factores que se discutirn luego, hacen a las aplicaciones ms susceptibles a ataques.
59
Las amenazas lgicas programadas: Muchos ataques lgicos son perpetrados por intrusos que aprovechan errores en las aplicaciones y sistemas para realizar actos destructivos o delictivos como el dao de dispositivos o la escucha desautorizada de informacin. Uno de los mayores puntos dbiles de las organizaciones son estos bugs informticos y la falta de proteccin lgica de los datos. Por eso es muy importante estar al tanto de ello, y llevar una frecuente actualizacin con los parches otorgados por los fabricantes de software.
Una incompleta proteccin lgica: La mala configuracin de los servidores donde residen las aplicaciones, del sistema operativo, de las bases de datos y de las interfases con las que se conectan genera errores y riesgos importantes.
La ausencia de control de incidencias: El control de incidencias permite generar una base de conocimiento para el manejo de situaciones de riesgo y prevenir nuevos ataques. La falta de control y administracin de incidencias hace que el conocimiento de las amenazas detectadas se pierda y que se atrasen los tiempos de solucin por la falta de circuitos de asignacin de responsabilidades sobre el tratamiento de los casos.
La falta de una normativa de seguridad: Tambin la falta de una completa normativa procedimental y tcnica, y una mala conducta y cultura de trabajo, producen descuidos o errores no forzados por los usuarios.
Las personas: El acceso de personas no autorizadas implica la vulnerabilidad del sistema ante hurtos, acceso indebido, prdida de confidencialidad de los datos y todo tipo de escucha no autorizada de informacin, con sus respectivas consecuencias.
Estos factores y muchos otros ms, hacen que muchas vulnerabilidades de los entornos informatizados tengan origen en el mal uso del sistema por parte de los usuarios. Es fundamental detectar y conocer las vulnerabilidades del entorno informatizado en el que se est trabajando para poder establecer el camino a seguir que lleve a un aseguramiento efectivo.
60
A continuacin se propone un documento que refleja la identificacin de las potenciales vulnerabilidades del entorno en estudio. Lo llamaremos Mapa de Vulnerabilidades. Este modelo contendr la especificacin, por nivel (fsico, lgico y de la organizacin) de las amenazas latentes y las probables.
2.3.4 Anlisis de Vulnerabilidades En esta etapa se analizan las fallas de seguridad en el entorno segn los estndares internacionales referenciados en la bibliografa de este trabajo. Se considera una vulnerabilidad a toda diferencia entre los parmetros deseados recomendados por dichos estndares y las mejores prcticas profesionales en cuanto a Seguridad Informtica. Los objetivos de control considerados, segn [IRAM/ISO/IEC17799], [BS7799], [Cobit], [MRSA-ISACA], [AAW-ISI], [OSSTMM-ISECOM] y [AACF-ROBOTA] son los siguientes:
2.3.4.1 Aspectos funcionales Que exista una adecuada definicin de funciones y estructura de comunicacin en el rea; Que las tareas incompatibles sean adecuadamente segregadas; Que existan licencias de uso del producto para cada recurso / usuario; Que las aplicaciones activas en el entorno contribuyan a perseguir los objetivos del negocio; Que se haya definido y documentado un modelo de administracin de la seguridad; Que existan estndares y procedimientos de trabajo definidos para todas las tareas del rea; Que el circuito de trabajo responda a criterios de seguridad, eficiencia y productividad; 61
Que los procedimientos adoptados estn de acuerdo con normas estndares en la materia; Que estn definidos y se encuentren documentados para cada puesto del organigrama perfiles de usuario modelo a los cuales se les asocian las identificaciones individuales de cada persona; Que los equipos informticos sean utilizados slo con fines autorizados y siguiendo los procedimientos establecidos; Que todo procesamiento est debidamente autorizado por los responsables correspondientes; Que existan procedimientos de control de los resultados que surgen del procesamiento en los equipos; Que existan estndares definidos a seguirse para la realizacin de pruebas de los desarrollos y/o mantenimientos, que contemplen: La realizacin de pruebas de detalle por parte de personal de sistemas antes de ser probados por personal de las reas usuarias; La realizacin, por parte de personal de las reas usuarias, de la definicin de los casos, ejecucin de las pruebas, anlisis de los resultados, interfases, corridas mensuales y anuales, etc. antes de la implantacin; La forma de documentacin de la participacin y validacin de los resultados de las pruebas; Los requerimientos en cuanto a niveles de autorizacin para su implantacin en el ambiente productivo; El procedimiento de implantacin en produccin.
Que el acceso a la documentacin de los sistemas de aplicacin de produccin slo se permita a personal autorizado; Que exista un encargado de soporte del mantenimiento para las aplicaciones analizadas;
62
Que existen adecuados procedimientos manuales o automatizados de control de cambios a los programas; Que existen clusulas de confidencialidad en los contratos con los proveedores de software y/o terceros que trabajen en las aplicaciones.
Este anlisis permitir visualizar el nivel de adhesin que tiene la estructura del proceso a los estndares metodolgicos que se tengan establecidos para el desarrollo y mantenimiento, as como para la documentacin de las etapas del proceso. Adems se podrn establecer los criterios que fueron utilizados para definir y establecer las caractersticas de los controles internos y las validaciones. El anlisis funcional permite visualizar las distintas etapas que se suceden en el proceso, as como tambin identificar etapas de alto, medio y bajo riesgo.
Para verificar estos puntos de control el ES y su equipo de trabajo puede realizar las siguientes tareas: Revisar la documentacin del proceso de negocio de la empresa objetivo con el fin de conocer su estructura y funcionamiento; Entrevistar a los analistas/programadores/tcnicos responsables del mantenimiento de las aplicaciones y equipos y comparar el procedimiento que cada uno est aplicando; Entrevistar a los analistas/programadores responsables del desarrollo/mantenimiento de las aplicaciones as como al personal usuario, a efectos de obtener una visin global del mismo, tanto en su fase manual como automtica; Entrevistar a los analistas/programadores/tcnicos responsables del desarrollo/mantenimiento de las aplicaciones y equipos para validar la adecuada concientizacin del personal a fin de cumplir con la documentacin vigente; Obtener de los usuarios y de los analistas, informacin adicional sobre el entorno a relevar, tal como: o o o o Satisfaccin funcional de los requerimientos de informacin de los usuarios; Tiempos de procesamiento y de generacin de salidas; Experiencias anteriores sobre procesamiento de errores; Confianza de los usuarios en la informacin que manejan estos equipos y aplicaciones. Para ello se pueden distribuir encuestas de evaluacin del funcionamiento de las aplicaciones y equipos entre personal del rea de sistemas y de sectores usuarios.
63
Obtener informacin sobre trazas de auditora, histricos de archivos generados por los sistemas y procedimientos de emergencia, de reenganche y de procesamiento alternativo disponible; Conocer los procesos y funciones de administracin de las bases de datos y de back-up de archivos y programas (fuentes y ejecutables) de cada una de las aplicaciones; Entrevistar a ciertos usuarios finales, elegidos al azar, a efectos de verificar cun involucrados estn con las distintas fases de desarrollo/mantenimiento de sistemas (diseo, desarrollo, prueba y aceptacin). Adems, se obtendr de los usuarios finales la siguiente informacin: o o o Nivel de participacin con relacin a la calidad de los servicios; Problemas detectados durante el ltimo ao; Asignaciones incorrectas de acceso a los archivos de datos y a las transacciones de las aplicaciones on-line.
Relevar y probar los procedimientos de administracin, control, control de los cambios efectuados a las aplicaciones e identificar a los responsables de llevar a cabo los mismos; Identificar y entrevistar al personal responsable de implantar cambios, de realizar controles sobre las incidencias que involucren las aplicaciones, para verificar que se cumpla con los procedimientos vigentes; Solicitar (en caso de existir) y analizar el log utilizado para priorizar y monitorizar la recepcin y progreso de los cambios de sistemas; Solicitar y analizar muestras de documentos relacionados con modificaciones de los programas: o o Documentos aprobados por los supervisores de desarrollo autorizando la puesta en produccin de los programas modificados; Documentos que demuestren que los usuarios finales han aprobado los desarrollos/modificaciones efectuados antes de migrar los nuevos programas al rea de produccin; Formularios o memorndums que formalmente comuniquen el orden de ejecucin de los programas modificados (Job step) al rea de operaciones;
Identificar una muestra de requerimientos de cambios a las aplicaciones relevadas en el log requerido y verificar que para cada uno de ellos se haya cumplimentado adecuadamente el procedimiento de modificacin de programas y catalogacin en produccin, con su respectivo control.
64
2.3.4.2 Anlisis de la documentacin En relacin a la documentacin, los objetivos de control que se deben verificar son los siguientes: Que exista un marco normativo que defina la poltica de la empresa, y siente las bases para el desarrollo de procedimientos y estndares tcnicos; Que existan relaciones formales y conocidas por el personal, referidas a la documentacin de carcter obligatorio y deseable que debe ser desarrollada y mantenida; Que se cumpla con las definiciones formales e informales relacionadas al desarrollo, mantenimiento y cadenas de autorizacin referidos a la documentacin; Que se encuentren implantados mtodos efectivos de distribucin y comunicacin entre los involucrados; Que los procesos tecnolgicos estn alineados con las normas establecidas, y sean adecuados; Que los procedimientos alcancen los niveles de servicio perseguidos por la empresa; Que exista documentacin de usuario que especifique los requerimientos de tecnologa, de procesamiento, de archivos y de interfases; Que exista un procedimiento formal para realizar el control de cambios, niveles de revisin, autorizacin y publicacin.
Para analizar si el entorno objetivo cumple con estos objetivos, se pueden llevar a cabo las siguientes tareas: Entrevistar al personal del rea de Sistemas a fin de identificar la documentacin existente y los procedimientos formales e informales relacionados con el desarrollo, autorizacin y mantenimiento de la misma; Analizar la documentacin existente en cuanto a estructura, niveles de aprobacin, vigencia, contenido, publicacin y distribucin entre los involucrados;
65
Evaluar los niveles de cumplimiento de los procedimientos existentes; Seleccionar un grupo de personas para evaluar el nivel de conocimiento y utilizacin de la documentacin existente; Identificar los puntos dbiles de la documentacin y procedimientos existentes.
2.3.4.3 Anlisis de las aplicaciones y equipos Los objetivos de control que debe verificar el ES en este aspecto son los siguientes: Que existan roles adecuados para la supervisin de la seguridad de las aplicaciones y equipos que existen en el entorno, y la realizacin de controles que garanticen la autorizacin y el adecuado uso de los recursos; Que se encuentre implantado adecuadamente un control de accesos a la red de datos y sus equipos que eviten el uso no autorizado de los recursos, el descubrimiento y divulgacin de informacin, y el mal uso y abuso de la informacin tratada por los mismos; Que se encuentre implantado adecuadamente un ambiente general de control de accesos propio de las aplicaciones y recursos a efectos de prevenir el uso no autorizado de funciones interactivas, tanto desde conexiones desde la red interna como desde Internet; Que se encuentre implantado adecuadamente un ambiente general de control de accesos para el procesamiento "batch"; Que exista una adecuada poltica de configuracin de los equipos informticos y de comunicaciones; Que se encuentre implantada adecuadamente la estructura de control de accesos del ambiente de procesamiento de forma de evitar que se puedan modificar o leer archivos de datos o programas de las aplicaciones analizadas en forma no autorizada. Es necesario tener en cuenta los aspectos referidos a perfiles de acceso de los usuarios definidos en los sistemas, as como la proteccin de los recursos informticos residentes en ellos; Que la arquitectura tcnica de las aplicaciones se encuentre adecuadamente diseada, para lo cual se analizarn los esquemas de acceso a las bases de datos, la interaccin con el sistema operativo donde estn instaladas las aplicaciones, la interaccin con el servicio de publicacin de pginas web (si existiera), el
66
lenguaje de programacin utilizado, la forma de codificacin de los programas, etc; Que se realicen adecuados controles de los incidentes y problemas emergentes, con el seguimiento necesario; Que las aplicaciones gestionen los errores de forma estndar, y que se realicen las validaciones adecuadas en la entrada y salida de datos; Que exista un plan de contingencia que permita recuperar las aplicaciones y equipos del entorno ante desastres o situaciones de emergencia;
Para cumplir con estos objetivos, el ES puede llevar a cabo las siguientes tareas: Identificar los archivos y directorios crticos de las aplicaciones y de los sistemas operativos; Analizar la asignacin de permisos otorgados sobre los archivos y directorios crticos; Identificar los componentes de software de base de las instalaciones; Identificar y entrevistar al personal que pueda proveer informacin de detalle en cuanto a los caminos por los que la informacin (datos y programas) puede ser accedida y los controles establecidos para restringir dicho acceso; Entrevistar al personal de soporte tcnico para identificar puntos de control sobre utilitarios riesgosos que puedan modificar archivos y/o programas sin dejar pistas de auditora; Entrevistar al personal responsable de seguridad informtica a fin de analizar los controles efectuados en las aplicaciones, en los equipos relacionados y el entorno; Entrevistar al personal del rea de desarrollo y mantenimiento de sistemas relacionados con las aplicaciones a efectos de identificar los nombres de los principales archivos, las transacciones on-line con funciones de actualizacin y las transacciones on-line con funciones de lectura que muestran informacin sensible; Entrevistar al operador responsable del resguardo y recuperacin de los datos a fin de analizar el nivel de cumplimiento de los procedimientos vigentes;
67
Entrevistar al personal encargado de la administracin de las aplicaciones y software de base para conocer los detalles de la gestin de usuarios y permisos; Entrevistar al personal de comunicaciones para comprender globalmente las facilidades de acceso a travs de Internet y los mecanismos de seguridad implantados para prevenir el acceso a dichas facilidades; Documentar los modelos de acceso lgico que representa los caminos por los que se accede a los datos crticos de las aplicaciones; Comprender los controles que existen para realizar las pruebas de cumplimiento sobre esos controles; Identificar y analizar el sistema de autenticacin de usuarios utilizado por la aplicacin, el sistema operativo que la soporta; Analizar si son adecuados los permisos de acceso otorgados a los diferentes usuarios; Realizar una toma de la configuracin lgica de los equipos mediante: o o o Scripts de relevamiento tcnico que lean los archivos de configuracin ms importantes, y los vuelquen en informes; Captura de pantallas; Generacin de listados.
Realizar pruebas de cumplimiento para verificar que los accesos a los diferentes recursos informticos estn adecuadamente otorgados y/o restringidos El ES determinar el Alcance de estas pruebas segn el grado de criticidad de las aplicaciones, equipos y de las funciones comprendidas. Las tareas de revisin podrn incluir: o o o o o Solicitar listas de seguridad de las aplicaciones; Verificar que los sistemas de seguridad internos restrinjan el acceso a travs de transacciones on-line a personal autorizado; Verificar la correcta definicin de los parmetros de seguridad propios de las aplicaciones; Verificar la adecuada asignacin de accesos a las aplicaciones y equipos; Realizar pruebas que permitan detectar el manejo de errores de las aplicaciones y la concurrencia.
Realizar un intento de penetracin con el fin de vulnerar las barreras de acceso existentes para utilizar los recursos informticos de la compaa en forma no
68
autorizada desde una conexin proveniente de Internet (Intento de Penetracin Externo), o desde la red interna de la compaa (Intento de Penetracin interno).
2.3.4.3.1 Intento de Penetracin Un intento de Penetracin es un anlisis que permite detectar vulnerabilidades en un entorno informatizado mediante la bsqueda, la identificacin y explotacin de vulnerabilidades. Su alcance se extiende a:
Equipos de comunicaciones; Servidores; Estaciones de trabajo; Aplicaciones; Bases de Datos; Servicios Informticos; Casillas de Correo Electrnico; Portales de Internet; Intranet corporativa; Acceso fsico a recursos y documentacin; Ingeniera social (La ingeniera social es la tcnica por la cual se obtiene informacin convenciendo al usuario que otorgue informacin confidencial, hacindose parar por usuarios con altos privilegios como administradores y tcnicos).
Para realizar un Intento de Penetracin es necesario realizar las siguientes tareas: Reconocimiento de los recursos disponibles mediante el empleo de herramientas automticas (Ver 2.3.5.2.1 Herramientas de anlisis de vulnerabilidades); Identificacin automticas; de las vulnerabilidades existentes mediante herramientas
Explotacin manual y automtica de las vulnerabilidades para determinar su alcance; Anlisis de los resultados.
Este anlisis otorga informacin referente a: Versiones desactualizadas de software; Versiones de software con vulnerabilidades conocidas; Contraseas triviales; Usuarios default;
69
Configuraciones default; Utilizacin de servicios inseguros; Recursos compartidos desprotegidos; Errores en la asignacin de permisos.
Analizando toda la informacin obtenida mediante el Intento de Penetracin, las entrevistas, la documentacin y los diferentes mtodos de sondeo, se elabora el Mapa de Vulnerabilidades dando detalle de los recursos informticos e informacin de la compaa a la que se ha accedido de manera no autorizada.
2.3.4.3.2 Herramientas de anlisis de vulnerabilidades Existe una serie de herramientas que ofrecen datos tiles para el anlisis de vulnerabilidades, como analizadores de configuraciones, analizadores de logs, herramientas de escaneo de puertos (Port Scanners), sniffers, Network Mapping, Testing Tools, y otras herramientas, sobre las que no se dar detalle por su constante evolucin. No es el objetivo de esta Tesis dar detalles sobre implementaciones en particular, sin embargo, se considera interesante remarcar la importancia del uso de estas herramientas para la deteccin de vulnerabilidades, sobre todo porque reducen considerablemente los tiempos de bsqueda y recoleccin de datos.
2.3.5 Mapa de Vulnerabilidades El Mapa de Vulnerabilidades es un documento que se propone con la idea de registrar y contabilizar las vulnerabilidades presentes en el entorno en estudio antes de la implantacin del Plan de Aseguramiento. Para registrar las vulnerabilidades detectadas en el anlisis anterior se divide el estudio del entorno en tres partes: Nivel fsico; Nivel lgico; Nivel de la organizacin.
El ES incluir en el Mapa de Vulnerabilidades del entorno objetivo los niveles que se hayan determinado en el Alcance.
70
Aqu se enumera una serie de aspectos concernientes a seguridad que implican vulnerabilidades y que el ES incluir en el Mapa de Vulnerabilidades:
2.3.5.1 Vulnerabilidades a nivel fsico Amenazas a las instalaciones Acceso libre a todos los sectores de la empresa a cualquier usuario: Si cualquier usuario puede acceder a todas las oficinas de la empresa, sin controles ni barreras fsicas, es muy probable que acceda un intruso a las instalaciones provocando actos ilcitos como hurtos, daos fsicos o espionaje de informacin confidencial; Falta de un permetro de seguridad: Si no se establece un permetro de seguridad, la empresa se convierte en una continuacin fsica de la vereda; Falta de reas protegidas que guarden los equipos crticos: Permitiendo el acceso indiscriminado de personas; Falta de barreras fsicas que protejan los activos: Permite el ingreso a la organizacin de intrusos; Existencia de mltiples puntos de acceso: Esto facilita el ingreso no autorizado de intrusos; Falta de autenticacin de usuarios: Esto dificulta la identificacin de usuarios no autorizados; Ausencia de mtodos confiables de autenticacin de usuarios; Un mtodo no confiable de autenticacin de usuarios es levemente mejor que ningn mtodo de autenticacin de usuarios; reas de procesamiento de informacin y de entrega y carga de materiales comunicadas: Facilita el acceso de intrusos al sector de cmputos; reas de entrega y carga de materiales descuidadas:
71
Facilita la circulacin de personas no autorizadas con los efectos consecuentes (hurtos, infiltrados, etc); Integracin del rea de procesamientote informacin administrada por la organizacin y la administrada por terceros: Provoca una alteracin a la confidencialidad de datos y la exposicin a ataques internos por parte de terceros (ver la seccin 4.1.2.1 Proteccin de la informacin); Sealizacin indiscreta del edificio o sobreindicacin: Toda la ayuda que se de para acceder a los sectores protegidos ser una herramienta til para un intruso que desee perpetrar las instalaciones; Falta de sistemas de deteccin de intrusos; Hacer pblica informacin sensible: Toda informacin delicada debe ser cuidadosamente administrada, pues todo dato es una llave para el sistema, que un intruso experimentado puede utilizar. Por ejemplo, es comn hacer pblicas todas las extensiones telefnicas, incluso las de los sectores restringidos. Si un usuario no autorizado accede a uno de estos nmeros, sera capaz de implementar la ingeniera social para obtener informacin o accesos que no le pertenecen.
Amenazas a los equipos. Mala distribucin fsica de los activos: Los equipos pueden estar ubicados en forma descuidada, expuestos a catstrofes naturales (cerca de ventanas) o hurto (cerca de puertas o pasillos); Almacenamiento de materiales dainos cerca de los equipos: Como combustibles o qumicos; Humo del cigarrillo: El humo del cigarrillo ataca los discos magnticos y pticos y provoca trastornos en la ventilacin de los artefactos elctricos. Adems, el cigarrillo puede provocar incendios; Permitir comer y beber en los sectores con equipos: La comida y bebida puede provocar deterioros en los equipos y cortocircuitos y hasta quemar elementos elctricos;
72
Exposicin a temperaturas extremas: Exponer los equipos a temperaturas extremas daa sus circuitos, provocando cortocircuitos e incendios.;
Terminales abandonadas: Las terminales encendidas en desuso son un riesgo alto, ya que cualquier persona puede hacer uso de sus recursos, sin siquiera la necesidad loguearse;
Falta de higiene: La falta de higiene en oficinas puede provocar dao en los documentos impresos y en los equipos por acumulacin de polvo, grasa, etc;
Descuido de las unidades de soporte de informacin: Tener en mal estado o en lugares inseguros las unidades de backup y recuperacin de sistemas es casi lo mismo que no tenerlas;
No llevar un control de los cambios en los equipos: No registrar cada alta, baja o modificacin en los equipos conlleva a un desconocimiento del capital invertido, con lo que cualquier hurto pasara desapercibido.
Amenazas generadas por el uso de una red fsica de datos. Cuando un mensaje M es enviado por un usuario origen A a un usuario destino B determinado a travs de una red, como se muestra en la figura 1, este mensaje viaja por el medio fsico con el riesgo de sufrir alguno de los siguientes ataques por parte de un intruso I:
M A B
Figura 1 En el medio del viaje del origen al destino, el mensaje puede sufrir de ataques de intrusos para su lectura, modificacin, o eliminacin. A continuacin detallamos las amenazas ms comunes que puede sufrir un mensaje:
Tipos de amenazas
73
1) Interrupcin: Sucede cuando el destinatario nunca recibe el mensaje emitido por el origen:
M A
Figura 2
2) Intercepcin: El mensaje enviado por el origen es interceptado por un intruso que recibe el mensaje tanto como el verdadero destino:
M A B
Figura 3
3) Modificacin: El mensaje enviado por el origen es interceptado por un intruso que lo modifica, y lo reenva modificado al verdadero destino. El destino recibe el mensaje modificando creyendo que es el original:
M A M I B
Figura 4
4) Fabricacin: El mensaje enviado por el origen nunca es distribuido; en su lugar el intruso enva otro mensaje en reemplazo del original: 5)
74
M A N I
Figura 5
Factores de riesgo conectores de LAN inutilizados, al descubierto: Cualquier usuario no autorizado puede conectar una Laptop y sumarse a la red directamente; Cables al descubierto: Pueden ser daados con facilidad provocando una negacin deservicio; Cables atravesando zonas pblicas: Pueden ser interceptados por intrusos que desven o modifiquen los paquetes transmitidos; Tender los cables de energa junto con los cables de comunicaciones: Pueden provocar interferencias en las comunicaciones;
2.3.5.2 Vulnerabilidades a nivel lgico Amenazas generadas por el uso del correo electrnico Virus: Son porciones de cdigo que son insertadas dentro de un archivo (generalmente ejecutable) llamado host, de manera que cuando el archivo es ejecutado, se ejecuta tambin la porcin de cdigo insertada, la cual puede efectuar distintas acciones malintencionadas, destructivas, y hasta copiarse en otros archivos; Gusanos (Worms):
75
Son programas independientes (no necesitan insertarse en otros archivos) que se expanden a travs de la red realizando distintas acciones como instalar virus, o atacar una PC como un intruso; Troyanos: Son programas que tienen una porcin de cdigo oculta, que dicen hacer una cosa y en realidad hacen otra (desconocida por el usuario) o simplemente hacen lo que dicen hacer y adems ejecutan instrucciones no autorizadas; Conejos: Son programas que no daan directamente al sistema por alguna accin destructiva, sino que tienen la facilidad de reproducirse exponencialmente de manera de provocar en poco tiempo una negacin de servicio al consumir los recursos (memoria, disco, procesador, etc); Empleados pueden comprometer a la organizacin, enviando correos electrnicos difamatorios, llevando a cabo prcticas de hostigamiento, o realizando compras no autorizadas; Acceso remoto a las cuentas de correo electrnico sin control; Falta de una poltica de eliminacin de mensajes: Puede suceder que se eliminen mensajes que, si se almacenaran, podran ser hallados en caso de litigio; Los mensajes son vulnerables a ser modificados por personas no autorizadas; Es un servicio vulnerable al descubrimiento (disclosure) de informacin confidencial; Se pueden producir errores como por ejemplo la consignacin incorrecta de la direccin de destino, o la publicacin de direcciones de personal jerrquico de la empresa.
Amenazas generadas por el uso de software daino Bombas lgicas: Son un conjunto de instrucciones que se ejecutan bajo condiciones especiales (una fecha, etc); Backdors y trapdors: 76
Son instrucciones que permiten a un usuario acceder a otros procesos o a una lnea de comandos, y suelen ser aprovechados por intrusos malintencionados para tomar control sobre las computadoras; Timeouts: Son programas determinado; que se pueden utilizar durante un perodo de tiempo
Herramientas de seguridad: Son utilitarios que sirven para identificar vulnerabilidades en un sistema. Pueden ser una amenaza si un intruso las utiliza en el sistema y detecta fallas en la seguridad de las que el administrador no est enterado.
Amenazas generadas por la presencia de intrusos Eaves dropping: Es la escucha no autorizada de conversaciones, claves, datos, etc; Ingeniera social: Consiste en la manipulacin de las personas para que voluntariamente realicen actos que normalmente no haran, como revelar su contrasea o cambiarla; Shoulder Surfing: Consiste en espiar fsicamente a los usuarios para obtener claves de acceso al sistema, nmeros vlidos de tarjetas de crdito, etc; Masquerading: Un intruso puede usar la identidad de un usuario autorizado que no le pertenece simplemente apoderndose de un nombre de usuario y contrasea vlidos; Piggy backing: Ocurre cuando un usuario no autorizado accede a una zona restringida gracias al permiso otorgado a otra persona que s est autorizada; Basurero: La informacin de los desperdicios dejados alrededor de un sistema puede ser aprovechada por intrusos provocar un hurto o dao.
77
Vulnerabilidades en los sistemas operativos Existencia de cuantas de usuarios no utilizadas: Muchas cunetas de usuario son creadas por defecto en la instalacin del sistema operativo y nunca son deshabilitadas, a pesar de que no se utilicen. Esta situacin es una puerta abierta para los intrusos que conocen estas vulnerabilidades de los sistemas operativos; Existencia de cuantas de usuario con permisos excesivos: Generada por la falta de control de los permisos asignados a los usuarios; Existencia de servicios no utilizados: Muchos servicios (en particular los de red, y los de conexin remota) son instalados por defecto con el sistema operativo, o para la corrida de procesos especiales y nunca son eliminados. Estos pueden ser utilizados por intrusos para manipular el sistema en forma remota y acceder a los recursos; Malas configuraciones de seguridad del sistema operativo: Como la existencia de cuentas de usuario creadas en la instalacin, que son de conocimiento pblico y muchas veces se crean con una contrasea por default, aumentando el riesgo de ataques a la integridad y confidencialidad mediante un acceso no autorizado; Errores en los archivos de configuracin existentes y sus valores; Falta de un esquema de backup; Ausencia de una estrategia de recuperacin ante desastres: El Plan de Recuperacin del Entorno ante Desastres cubre las aplicaciones, equipos y software base que soporta el negocio para su recuperacin. No poseer un plan de accin ante emergencias implica un crecimiento exponencial del tiempo invertido en la recuperacin de las prestaciones, y una potencial prdida de informacin vital para el negocio; Contraseas almacenadas en texto plano: Algunos sistemas operativos almacenan las contraseas en texto plano permitiendo el acceso autorizado (enmascarado) de intrusos si ellos lograran acceder a la informacin de passwords. sta es una de las primeras tcticas que utilizan los intrusos para atacar sistemas dbiles; Falta de registro de las pistas de auditora:
78
Las pistas de auditora o logs sirven para dejar registro de las acciones de los usuarios y los procesos. No llevar un adecuado registro de las pistas de auditora dificulta la tarea de deteccin de intrusos y recuperacin de informacin.
Vulnerabilidades en las aplicaciones A nivel funcional: Falta de documentacin: La ausencia de documentacin dificulta la capacitacin de los usuarios y el seguimiento de los proyectos y procesos, provocando incoherencias en el trabajo, por ejemplo entre los requerimientos de usuario y los cambios realizados en el software afectado; Mala organizacin del rea de sistemas; Mala administracin de la seguridad informtica; Fallas en la metodologa de desarrollo de las aplicaciones; Planificacin deficiente; Pobre separacin de tareas; Falta de separacin de ambientes: La separacin de ambientes es fundamental, ms all de las ventajas metodolgicas en el proceso de desarrollo de software, en la conservacin de la integridad de los datos a travs de la separacin lgica y fsica de los entornos de produccin, desarrollo y prueba; Mala configuracin de entornos: Generalmente en los entornos de desarrollo se otorgan permisos excesivos a los programadores que provocan fallas en la confidencialidad e integridad de los datos; Falta de las pruebas en el desarrollo de aplicaciones; Mal manejo de datos:
79
Datos utilizados para las pruebas: Muchas veces se utilizan para las pruebas datos de produccin. Esto no es crtico si la base de datos de prueba es independiente, pero tiene un riesgo asociado cuando se manejan datos de carcter personal, protegidos por las leyes de todo el mundo, para los cuales hay que tomar medidas de seguridad adicionales. La falta de estos controles o el uso indebido de datos puede tener consecuencias legales graves; Clasificacin, manejo y proteccin de los datos productivos: La falta de anlisis de criticidad de los datos y categorizacin hace que no se brinden los controles que garanticen la correcta manipulacin de datos con la consecuente prdida de confidencialidad e integridad.
Falta de control de cambios; Defectos en la funcionalidad general de la aplicacin; Falta de coherencia con los objetivos del negocio; Mala separacin en mdulos; Mala administracin de la aplicacin: o o o o Falta de organizacin de los perfiles de usuarios; Formas errneas de asignacin de permisos; Falta de registro y control de las pistas de auditora; Mal manejo de incidencias.
Prestaciones limitadas; Pobre anlisis del control interno: o o Falta d separacin de tareas; Anlisis de asignacin de funciones incompatibles.
Falta de asignacin de responsabilidades de seguridad;
Aspectos lgicos: Mala estructura de navegacin del men/ pginas de la aplicacin;
80
Errores en las interfaces e interaccin con otros servicios; Malas configuraciones de seguridad del sistema operativo; Vulnerabilidades en los servicios prestados por el mismo servidor; Errores en los archivos de configuracin existentes y sus valores; Mal manejo de transacciones; Mal manejo de la concurrencia; Falta de un esquema de backup; Ausencia de una estrategia de recuperacin ante desastres; Mala administracin de la base de datos; Mala configuracin de seguridad de las bases de datos utilizadas; Formas inseguras de comunicacin con la aplicacin; Contraseas almacenadas en texto plano; Falta de registro de las pistas de auditora; Mal manejo de datos: o o Falta de validacin de los datos de entrada; Falta de validacin de los datos de salida.
Mal manejo de errores de la aplicacin.
Amenazas generadas por mala administracin de la informacin No controlar el acceso a los sistemas: Cualquier usuario podra utilizar y modificar los archivos sin tener que pasar ninguna barrera que filtre a los intrusos; No llevar un registro de los incidencias (como prdida de datos o mal funcionamiento de software); No contar con un sistema de perfiles de usuarios: Un sistema de perfiles permite asignar distintos privilegios a los usuarios, de manera que no todos tengan las mismas posibilidades de acceso a los recursos, segn su tarea. Si esto no se tiene en cuenta, un data entry podr acceder a los recursos indistintamente del gerente de sistemas, o del administrador de bases de datos; No llevar un control de los cambios en el software: No registrar cada alta, baja o modificacin en los programas de software conlleva a un desconocimiento del capital invertido, con lo que cualquier hurto o modificacin pasara desapercibido; Ausencia de un control de impacto del nuevo software: 81
Puede haber una incoherencia entre los requerimientos de capacidad de procesamiento y almacenamiento del nuevo software, y los disponibles, o una incompatibilidad con la plataforma de hardware utilizada; No mantener actualizado el software de deteccin y reparacin antivirus: [10lawsMS] asegura que: Un antivirus desactualizado es slo marginalmente mejor que ningn antivirus; Falta de backups: Sin copias de respaldo la recuperacin de la informacin y la restauracin del sistema luego de un incidente es imposible; Realizacin de backups incompletos pueden llegar a no servir de mucho a la hora de reconstruir un sistema cado; Acceso ilimitado o no controlado a los datos: Permite el libre acceso de intrusos a los datos facilitando los ataques annimos; Documentacin desprotegida; Un intruso o espa puede hacer mal u:o de la documentacin para distintos fines: espionaje, sabotaje, hurto, o para obtener informacin que le sirva como puerta al sistema objetivo;
2.3.5.3 Vulnerabilidades a nivel de la organizacin. Superposicin o mala asignacin de roles: [CISA] realiz un estudio de compatibilidades de funciones y desarroll una matriz de compatibilidades donde se refleja qu funciones son compatibles o no con otras, por lo que deberan llevarse a cabo por distintas personas. Este criterio es utilizado para reforzar el control interno por oposicin de intereses; Ausencia de administradores y responsables por la seguridad del sistema: Esta falta implica una gran falla en la seguridad ya que se omite el primer paso en el camino de la proteccin: el control. Los administradores y las personas responsables por la seguridad del sistema cumplen un rol fundamental en este proceso, y su ausencia exhibe una clara desatencin en la materia de seguridad, que provocar: o o o Ausencia o mal manejo de incidencias; Mala administracin de los recursos; Falta de control lgico;
82
o o
Falta de registro o monitorizacin de la actividad del sistema; Etc.
Falta de polticas contra ataques internos; Ausencia de una Normativa de Seguridad; Descuido de los escritorios y las pantallas: Dejando el acceso libre a los documentos y archivos de la oficina;
Sectores de desarrollo, de prueba y produccin unificados: Provoca fallas en la calidad del software y falta de control en las distintas etapas del desarrollo de software, adems de problemas en la implantacin en el ambiente de produccin;
Falta de registro del flujo del personal: No permite detectar intrusos, provocando hurtos y otros ataques;
Falta de proteccin de las operaciones de comercio electrnico;
2.4 Anlisis de Riesgos

A partir del Mapa de Vulnerabilidades construido en la etapa anterior de la fase de Definicin del Alcance de la MAEI, se analiza el riesgo que corren los activos de la organizacin para determinar la probabilidad de ocurrencia de incidencias de seguridad y su impacto en el sistema. Los riesgos pueden ser: Tecnolgicos: si tienen origen o afectan aspectos tcnicos del entorno (como deterioro de equipamientos, falta de disponibilidad de recursos, etc); Funcionales: si tienen origen o afectan aspectos funcionales del entorno (como posible descubrimiento de informacin por la existencia de usuarios con contrasea por default, o el acceso no autorizado a los recursos por una pobre autenticacin de usuarios).
83
Todos los entornos estn expuestos a amenazas. Todos los entornos tienen vulnerabilidades, algunas conocidas, otras no, pero estn presentes, esperando ser usadas por un atacante para penetrar las barreras de seguridad y apoderarse de informacin, denegar servicios, o provocar toda clase de dao. No importa la plataforma tecnolgica, no importa la marca de software que se usa. Tampoco importa la infraestructura edilicia, los equipos, el cableado. Siempre existen riesgos. Existe una relacin entre tipo de desastre y sus efectos, y, por supuesto, su probabilidad de ocurrencia. Los riegos reales y potenciales son variables en el tiempo y en el lugar. En el Anlisis de vulnerabilidades se vieron los distintos tipos de amenazas que pueden presentarse a nivel lgico, fsico y de la organizacin. No es posible eliminar todos los riesgos sino que se pueden mitigar (empleando medidas para reducirlos), transferir (ceder su responsabilidad a otra persona) o asumir (cuando se decide correr el riesgo con sus posibles consecuencias). Sin embargo, siempre existen riesgos remanentes y desconocidos. Es ms, cada da surgen nuevos riesgos a medida que la tecnologa avanza y los sistemas cambian. Los entornos informatizados suelen acompaar estos cambios adaptndose a los requerimientos tecnolgicos del momento. Es por eso que surgen nuevos riesgos da a da. Es tarea del ES en esta parte de la metodologa examinar las vulnerabilidades halladas y evaluar su riesgo asociado, determinar su probabilidad de ocurrencia y medir su impacto en el entorno. Los riesgos observados que presentan una probabilidad de ocurrencia no despreciable en funcin de las caractersticas del entorno varan desde los factores climticos y meteorolgicos que afectan a la regin hasta el factor humano de los recursos de la empresa. Para la evaluacin de riesgos es posible utilizar mtodos muy variados en composicin y complejidad, pero para todos ellos es necesario realizar un diagnstico de la situacin. Un mtodo comnmente utilizado es el diagrama:
84
Alto Mayor Probabilidad de ocurrencia importancia
Bajo
Impacto
Alto
Este anlisis de riesgos permite al ES ofrecer un informe de los riesgos entorno, los peligros que corre e identificar los requerimientos de seguridad del sistema objetivo y su prioridad, de manera de poder encarar la elaboracin del Plan de Aseguramiento del proyecto junto a los requerimientos planteados por el usuario. El anlisis de riesgos se realiza en cada rea de la empresa, mediante mtodos de adquisicin de informacin como entrevistas con los usuarios.
2.4.1 Informe de Riesgos A continuacin se presenta un documento que ayuda a la formalizacin de estos conceptos para su estudio: el Informe de Riesgos. Este documento recompila todas las vulnerabilidades halladas en la etapa anterior de la metodologa, para evaluar su riesgo, su criticidad, la probabilidad de que ocurran y determinar su impacto en el entorno informatizado y en el negocio. Esta es una adaptacin de la Tabla de Riesgos utilizada en el anlisis de sistemas en la que se ha agregado la criticidad que implica la vulnerabilidad en estudio. Se recomienda agrupar las vulnerabilidades con algn criterio, como por ejemplo por nivel de criticidad, que puede clasificarse en: Alto; Medio;
85
Bajo.
U ordenarlas en forma decreciente segn su impacto o probabilidad de ocurrencia.
Formato del Informe de Riesgos
VULNERABILIDAD
RIESGO
CRITICIDAD
P(ocurrencia)
IMPACTO
Descripcin de los campos #: Nmero correlativo de vulnerabilidad. VULNERABILIDAD: Nombre de la vulnerabilidad descubierta en la etapa de anlisis de vulnerabilidades. RIESGO: Breve descripcin del riesgo detectado en el anlisis. Es todo evento, falla o bien que ponga en peligro la integridad, la confidencialidad o la disponibilidad de la informacin o los recursos y activos; CRITICIDAD: Una medida de la criticidad del riesgo, segn el criterio aplicado en la evaluacin de vulnerabilidades del Relevamiento de Usuario: 0: No representa amenaza alguna; 1: Amenaza leve; 2: Gran amenaza al sistema.
P (ocurrencia): Es la probabilidad de ocurrencia de dicho evento tomando en cuenta las amenazas y vulnerabilidades predominantes, y los controles actualmente implementados. IMPACTO: Es el efecto potencial de una falla de seguridad, teniendo en cuenta sus consecuencias en el negocio.
2.4.2 Ejemplo Informe de Riesgos.
86
VULNERABILIDAD Existencia de material inflamable en el CPD (Centro de Procesamiento de Datos) Existencia de material inflamable en el CPD y en las oficinas aledaas Ubicacin fsica en zona inundable Falta de equipo de aire acondicionado de backup Falta de mantenimiento de los equipos de procesamiento de datos. Existencia de cables de red al descubierto atravesando los pasillos Descuido del cableado elctrico, falta de acondicionamiento de la central elctrica y pobre aislamiento. Exposicin de los equipos a personal no autorizado.
RIESGO
CRITICIDAD
P(ocurrencia)
IMPACTO
Fuego en el Data Center
0.5
Destruccin de equipos y espacio fsico
Fuego en lugares cercanos
0.45
Destruccin de documentacin impresa y posibilidad de afeccin del centro de cmputos Posibles cortocircuitos, equipos quemados, incendios Mal funcionamiento por recalentamiento de equipos
Inundacin Fallas en el aire acondiciona do
0.1
0.4
Fallas en equipos
0.5
Indisponibilidad de los servicios
Fallas en comunicacio nes
0.3
Indisponibilidad de los servicios
Corte de suministro elctrico
0.6
Indisponibilidad de los servicios, prdida de datos. Prdida de equipos, negacin de servicios, prdida de informacin, mala imagen en clientes, prida de confiabilidad. Prdida de confiabilidad, prdida de informacin. Indisponibilidad de los servicios, prdida de datos.
Acto de vandalismo
0.1
Exposicin de los equipos a terceros. Administracin de los equipos por personal no especializado.
Acto de sabotaje o robo Errores humanos no intencionale s
0.45
10
0.5
Diagrama de riesgos: El diagrama de riesgos esquematiza el impacto de los riesgos en funcin de su probabilidad de ocurrencia. Cuanto mayor sea el impacto y la probabilidad de ocurrencia, ms fuertes debern ser los controles a aplicar para mitigar el riesgo asociado.
87
Los riesgos ms altos, por ende, se ubicarn en el cuadrante derecho superior del siguiente diagrama:
Anlisis de Riesgos en el CPD

Probabilidad de Ocurrencia
Fuego en el C PD Fuego en lugares cercanos Inundacin
0,5
Fallas en el aire acondicionado Fallas en equipos Fallas en comunicaciones C orte de suministro elctrico Acto de vandalismo
0 0 0,5
Impacto
Acto de sabotaje o robo Errores humanos no intencionales
88
PLANIFICACIN
Contenido: 3.1 Elaboracin del Plan de Aseguramiento. 3.1.1 Proteccin fsica. 3.1.1.1 Proteccin de las Instalaciones. 3.1.1.2 Proteccin de los equipos. 3.1.2 Proteccin lgica. 3.1.2.1 Proteccin de la informacin. 3.1.2.2 Proteccin del Sistema Operativo. 3.1.2.3 Proteccin de los datos. 3.1.3 Proteccin a nivel de la organizacin. 3.2 Aprobacin del Plan de Aseguramiento.
89
3.1 ELABORACIN DEL PLAN DE ASEGURAMIENTO

En esta parte de la fase de planificacin se establece, en base al Alcance y al Relevamiento anteriormente realizado, el Plan de Aseguramiento. Este documento describe en forma precisa y detallada las medidas, cambios y controles que se implementarn a fin de proteger el sistema objetivo, mitigando los riesgos descubiertos en la fase anterior de la MAEI. Los objetivos de control planteados por el Experto en la etapa de Anlisis de Vulnerabilidades se reflejan aqu en medidas de control que garanticen la reduccin del riesgo asociado a las vulnerabilidades halladas, tanto en aspectos tecnolgicos como funcionales. [IRAM/ISO/IEC17799] indica: Una vez identificados los requerimientos de seguridad, deben seleccionarse e implementarse controles para garantizar que los riesgos sean reducidos a un nivel aceptable. Los controles deben seleccionarse teniendo en cuenta el costo de implantacin en relacin con los riesgos a reducir y las prdidas que podran producirse de tener lugar una violacin de la seguridad. Tambin deben tenerse en cuenta los factores no monetarios, como el dao en la reputacin. Se detall en etapas anteriores de la MAEI cmo a partir de un anlisis de vulnerabilidades, de requerimientos de usuario y de riesgos se llega a establecer el Alcance. En la presente fase se pretende dar una serie de medidas, controles y tcnicas aplicables a cualquier sistema de informacin, con el fin de alcanzar los resultados fijados en el Alcance. Sin embargo, no es el fin de este trabajo dar detalles sobre las tcnicas a implementar para conseguir estos resultados, entendindose por buenos resultados el aseguramiento del elemento en cuestin. Se limitar a dar las pautas procedimentales para asegurar el entorno informatizado que es objetivo, y el ES que lo implemente deber realizar el trabajo de investigacin especfico para obtener los resultados propuestos por este trabajo, segn la tecnologa involucrada.
3.1.1 Proteccin fsica
90
3.1.1.1 Proteccin de las Instalaciones Se analiza en esta parte la proteccin del edificio, salas e instalaciones a nivel fsico. Se evala la implantacin de alguna de las siguientes tcnicas: Definicin de reas de la organizacin en cuanto a seguridad: En esta etapa se debern diferenciar los sectores de acceso comn a todos los usuarios (como el comedor, la sala de reuniones, etc) de los sectores de acceso restringido (como el rea de cmputos o tesorera) y los distintos niveles de seguridad requeridos; Definicin de un permetro de seguridad: Un permetro de seguridad es un rea considerada segura. Al definir un permetro de seguridad, se establece un rea donde se implementarn medidas de proteccin que garanticen cierto grado de seguridad, como por ejemplo, berreras fsicas; [IRAM/ISO/IEC17799] define: Un permetro de seguridad es algo delimitado por una barrera, por ejemplo, una pared, una puerta de acceso controlado por tarjeta o un escritorio u oficina de recepcin atendidos por personas. Construccin de barreras fsicas: Paredes, alarmas, cerraduras, sistemas automticos de autenticacin de usuarios, etc; Verificacin del permetro de seguridad: Realizar pruebas de penetracin de las barreras fsicas, para determinar su fortaleza; Determinacin de reas protegidas: Un rea protegida es una zona que se desea mantener segura, a la que no tiene acceso todo el personal, sino un grupo reducido de ste, a la que acceden con fines especficos y bajo severos controles de autenticacin. Puede ser una oficina cerrada con llave, o diversos recintos dentro de un permetro de seguridad fsica donde se realicen operaciones confidenciales, como el centro de procesamiento de informacin, etc. Se deben definir las zonas u oficinas que tienen estos requerimientos; Controles en las reas protegidas: o Dar conocimiento de la existencia de un rea protegida, o de las actividades que se llevan a cabo dentro de la misma, slo al personal estrictamente necesario e involucrado; 91
o o o
Controlar el trabajo en las reas protegidas tanto por razones de seguridad como para evitar la posibilidad de que se lleven a cabo actividades maliciosas; Bloquear fsicamente las reas protegidas desocupadas e inspeccionarlas peridicamente; Brindar acceso limitado a las reas protegidas o a las instalaciones de procesamiento de informacin sensible al personal del servicio de soporte externo. Otorgar este acceso solamente cuando sea necesario y autorizar y monitorearlo. Pueden requerirse barreras y permetros adicionales para controlar el acceso fsico entre reas con diferentes requerimientos de seguridad, y que estn ubicadas dentro del mismo permetro de seguridad; Prohibir el ingreso de equipos fotogrficos, de vdeo, audio u otro tipo de equipamiento que registre informacin.
Determinacin de un rea de acceso y autenticacin de personal: El control de acceso y la autenticacin de usuarios se deben realizar en un punto de acceso comn y alejado de las reas protegidas. Se recomienda la centralizacin del puesto de acceso para facilitar el registro y control de flujo de personal;
Determinacin de uno o varios mtodos de autenticacin de usuarios: Autenticar usuarios implica verificar a los usuarios que intentan acceder al entorno, a la red o al sistema, comprobando que estos sean quienes dicen ser. Existen muchos mtodos de autenticacin de usuarios, y se clasifican segn lo que utilizan para la verificacin de la identidad: o Mtodos que se basan en algo que el usuario sabe: Contraseas (passwords); Frases secretas (passphrases); o Mtodos que autentican a travs de un elemento que el usuario posee o lleva consigo: Tarjetas magnticas; Tarjetas de identidad inteligentes (chipcards o smartcards) que poseen un procesador que se encarga de encriptar la informacin y otras funciones; o Mtodos que utilizan caractersticas fsicas del usuario o actos inconscientes: Verificacin del aspecto fsico; Reconocimiento por huella digital; Reconocimiento por el patrn de la retina del ojo; Reconocimiento por el patrn del iris del ojo; Reconocimiento de la voz; Firmas es un acto inconsciente, ya que no se razona cmo se hace cada trazo); Verificacin de la geometra de la mano;
92
Determinacin de la forma de registro del flujo de personas en los distintos sectores: Por ejemplo, mediante un sistema de tarjetas magnticas: o o Registrar la hora de ingreso y egreso de cada usuario que ingrese al edificio; Registrar la hora de ingreso y egreso de cada usuario que recurra al centro de cmputos;
Separacin del rea de procesamiento de informacin de las reas de entrega y carga de materiales: Si estas reas se mantienen separadas por barreras fsicas, se evitan graves intrusiones y hurtos de informacin;
Separacin de las reas de entrega y carga de materiales: Las reas de entrega y carga, si es posible, se aslan de las instalaciones de procesamiento de informacin, a fin de impedir accesos no autorizados;
Controles en las reas de entrega y carga de materiales: o Controlar el acceso a las reas de depsito, desde el exterior de la sede de la organizacin. El acceso estar limitado a personal que sea previamente identificado y autorizado; Disear el rea de depsito de manera tal que los suministros puedan ser descargados sin que el personal que realiza la entrega acceda a otros sectores del edificio; Establecer un mecanismo que obligue a que todas las puertas exteriores de un rea de depsito se cierren cuando se abre la puerta interna; Inspeccionar el material entrante para descartar peligros potenciales antes de ser trasladado desde el rea de depsito hasta el lugar de uso;
o o
Separacin del rea de procesamiento de informacin administrada por la organizacin de la administrada por terceros: Las instalaciones de procesamiento de informacin administradas por la organizacin se ubican fsicamente separadas de aquellas administradas por terceros;
Sealizacin discreta del edificio: Establecer una forma de identificacin de sectores dentro del edificio de manera discreta y se ofrece una sealizacin mnima de su propsito, sin signos obvios, exteriores o interiores, que identifiquen la presencia de actividades de procesamiento de informacin;
Implantacin de sistemas de deteccin de intrusos: Implantar adecuados sistemas de deteccin de intrusos que se instalan segn estndares profesionales y probados peridicamente. Estos sistemas 93
comprenden todas las puertas exteriores y ventanas accesibles. Las reas vacas deben tener alarmas activadas en todo momento. Tambin se considera la proteccin de otras reas, como la sala de cmputos o las salas de comunicaciones; No hacer pblica informacin sensible: o Las guas telefnicas y listados de telfonos internos que identifican las ubicaciones de las instalaciones de procesamiento de informacin sensible no deben ser fcilmente accesibles al pblico; Llevar un exhaustivo control de la informacin publicada en los servidores Web de acceso Pblico, en particular la referida a la institucin.
3.1.1.2 Proteccin de los equipos Se analiza en esta parte la proteccin de los distintos Activos a nivel fsico. Se evala la posibilidad de implementar alguna de las siguientes tcnicas: Evaluacin de la distribucin fsica de los activos: Se realiza a fin de evitar accidentes, o para prevenir, mediante la ubicacin estratgica de los bienes, hurtos o deterioros de activos: o o Ubicar las instalaciones clave en lugares a los cuales no pueda acceder el pblico; Ubicar las funciones y el equipamiento de soporte compartidas por los usuarios, por ejemplo, fotocopiadoras, mquinas de fax, dentro del rea protegida para evitar solicitudes de acceso, que podran comprometer la informacin;
Mantener alejados los suministros: o o Almacenar los materiales peligrosos o combustibles en lugares seguros a una distancia prudencial del rea protegida; No almacenar los suministros a granel, como los tiles de escritorio, en el rea protegida hasta que sean requeridos;
Individualizacin de los elementos de red: Es fundamental tener un conocimiento completo de la red, individualizar todos sus elementos, su respectiva ubicacin fsica y su direccin lgica.
Para ello se presenta una tabla que registra estos datos: el Mapa de elementos de red.
94
Mapa de Elementos de Red
SUBNET
ELEMENTO
SECTOR
IP
Descripcin de los campos SUBNET: Direccin IP de la subred a la que pertenece. ELEMENTO: tipo de elemento de red: CPU; Router; Switch;
SECTOR: lugar fsico donde el elemento est ubicado el elemento; IP: direccin IP local de la mquina;
Rotulacin de activos fsicos: Los equipos, dispositivos externos, cintas de backup y dems activos fsicos deben ser rotulados segn la nomenclatura fijada en el Inventario de Activos Fsicos de forma clara y legible;
Control de cambios en equipos: o o o Mantener el equipamiento de acuerdo con los intervalos de servicio y especificaciones recomendados por el proveedor; Permitir que slo personal de mantenimiento autorizado brinde mantenimiento y lleve a cabo reparaciones en el equipamiento; Mantener registro de todas las fallas supuestas o reales en el Registro de Incidencias y de todo el mantenimiento preventivo, correctivo y actualizaciones de hardware en el documento de ABM Activos y en el Inventario de Activos Fsicos, segn lo especificado en la fase de Mantenimiento de la MAEI; Verificar que en el mantenimiento se cumpla con todos los requisitos impuestos por las plizas de seguro;
Prevencin de catstrofes:
95
Incendios: Provocados por rayos, por fallas elctricas o descuido de los usuarios (cigarrillos, hornallas). Colocar extinguidotes automticos en los techos, y extinguidotes manuales en todo el edificio; Humo: Provocado por incendios y por el cigarrillo. El humo ataca los discos magnticos y pticos y provoca trastornos en la ventilacin de los artefactos elctricos. Se considera prohibir fumar en las oficinas y colocar detectores de humo en los techos; Temperaturas extremas: Los artefactos elctricos y electrnicos funcionan correctamente dentro de un rango determinado de temperaturas, en general entre los 0 y los 70 grados centgrados. Si se exceden estos extremos se corre el riesgo de que los materiales dejen de ser ferromagnticos. Consultar los manuales de los fabricantes y mantener la temperatura dentro de los rangos sugeridos. Se aconseja la utilizacin de equipos de aire acondicionado en todas las salas; Polvo: El polvo se deposita sobre los artefactos removibles y entra por los ventiladores de las CPU y daa los circuitos. Es necesario tener una rutina de limpieza y aspiracin de los ambientes; Explosiones; Vibraciones: Ciertos objetos presentes en oficinas provocan vibraciones indeseadas. Impresoras, mquinas expendedoras de bebidas, provocan estas vibraciones. Instalar plataformas antivibracin; Electricidad: Trastornos o fallas en la lnea elctrica pueden provocar cortocircuitos, subidas de tensin, cortes en el flujo elctrico y hasta incendios. Instalar cables a tierra y estabilizadores de tensin. Tambin se sugiere la utilizacin de bateras o unidades de alimentacin ininterrumpida; Tormentas elctricas: Las tormentas elctricas pueden provocar altsimas subidas de tensin que quemen los equipos. Para evitar esto se colocan pararrayos, guardar los backups lejos de columnas metlicas para que no se desmagneticen, y desconectar los equipos de la lnea elctrica cada vez que se desata una tormenta;
o o
96
Ruido elctrico: El ruido elctrico es generado por motores, equipos elctricos y celulares. Colocar filtros en la lnea de alimentacin y alejar los equipos de otros artefactos; Humedad: El exceso de humedad en equipos elctricos provoca cortocircuitos y la escasez de humedad provoca esttica. Se recomienda instalar alarmas antihumedad y mantener la misma al 20%; Inundaciones: Colocar los equipos alejados del piso, instalar un falso suelo o ubicar censores en el piso que corten el suministro de energa elctrica al detectar agua; Terremotos: Para proteger los equipos ms crticos de los terremotos se fijan stos de manera que no se puedan desplazar y se trata de ubicar todo equipo alejado de las ventanas; Insectos; Comida y bebidas: La organizacin debe analizar su poltica respecto de comer, beber y fumar cerca de las instalaciones de procesamiento de informacin. Se recomienda prohibir estas actividades para proteger los equipos e instalaciones; Terminales abandonadas: Las terminales encendidas en desuso son un riesgo alto. Utilizar un sistema automtico de deteccin y apagado de terminales encendidas en desuso; Vandalismo; Hurto;
o o
o o
Ubicacin de la informacin crtica en lugares seguros: Mantener el equipamiento de sistemas de soporte UPC (usage parameter control), de reposicin de informacin perdida (fallback) y los medios informticos de respaldo (backups) a una distancia prudencial de la fuente de informacin, en lugares protegidos contra intrusos y catstrofes naturales que permitan evitar daos ocasionados por eventuales desastres en el sitio original;
97
Proteccin de las copias de respaldo: Los medios que contienen las copias de respaldo o backup como cintas o discos deben ser cuidadosamente almacenados en lugares alejados de la fuente de datos y protegidos contra robo, incendio e inundacin;
Proteccin de las unidades de soporte de informacin: Manejar las cintas, discos, diskettes u otros dispositivos que contengan informacin crtica segn las especificaciones de los fabricantes, a fin de evitar prdidas o dao de la informacin;
Restriccin del acceso a unidades removibles: nicamente los usuarios locales deben tener acceso a las unidades removibles como discos removibles, CD-ROM y floppy disks;
Garantizar el adecuado suministro de energa: Proteger el equipamiento con respecto a las posibles fallas en el suministro de energa u otras anomalas elctricas. Se debe contar con un adecuado suministro de energa que est de acuerdo con las especificaciones del fabricante o proveedor de los equipos. Se recomiendan las siguientes opciones para asegurar la continuidad del suministro de energa: o o o Usar mltiples bocas de suministro para evitar un nico punto de falla en el suministro de energa; Utilizar fuentes o suministros de energa ininterrumpible (UPS); Se recomienda usar una UPS para asegurar el apagado normal o la ejecucin continua del equipamiento que sustenta las operaciones crticas de la organizacin; Tener un generador de respaldo; Se recomienda el empleo de un generador de respaldo si no se puede interrumpir un proceso en caso de una falla prolongada en el suministro de energa; Ubicar interruptores de emergencia cerca de las salidas de emergencia de las salas donde se encuentra el equipamiento, a fin de facilitar un corte rpido de la energa en caso de producirse una situacin crtica; Proveer de iluminacin de emergencia en caso de producirse una falla en el suministro principal de energa;
o o
Proteccin del cableado: Proteger contra interceptacin o dao del cableado de energa elctrica y de comunicaciones, que transporta datos o brinda apoyo a los servicios de informacin: o Instalar lneas de energa elctrica y telecomunicaciones que se conectan con las instalaciones de procesamiento de informacin subterrneas, o sujetas a una adecuada proteccin alternativa;
98
o o o
Proteger el cableado de red contra interceptacin no autorizada o dao, evitando trayectos que atraviesen reas pblicas; Separar los cables de energa de los cables de comunicaciones para evitar interferencias; Instalar conductos blindados y recintos o cajas con cerradura en los puntos terminales y de control: Usar cableado de fibra ptica; Realizar barridos para eliminar dispositivos no autorizados conectados a los cables.
Proteccin de los equipos utilizados fuera de la organizacin: El nivel gerencial debe autorizar el uso de equipamiento destinado al procesamiento de informacin fuera del mbito de la organizacin. Proveer seguridad de forma equivalente a la suministrada dentro del mbito de la organizacin, para un propsito similar, teniendo en cuenta los riesgos de trabajar fuera de la misma: o o o o o Controlar el equipamiento y dispositivos retirados del mbito organizacin para que no estn desatendidos en lugares pblicos; de la
Transportar las computadoras personales como equipaje de mano y de ser posible enmascaradas, durante el viaje; Respetar permanentemente las instrucciones del fabricante, por ejemplo, proteccin por exposicin a campos electromagnticos fuertes; Contar con una adecuada cobertura de seguro proteger el equipamiento fuera del mbito de la organizacin; Contar con medios de proteccin de las comunicaciones entre los equipos portables (como Laptops) mediante tcnicas de encriptacin de los canales.
Control de la baja de equipos: o o o o Controlar los equipos que se den de baja para evitar la utilizacin indebida de la informacin que transporten; Verificar el borrado seguro de datos sobrescribiendo las pistas de discos antes de desecharlos; Procurar la destruccin fsica de diskettes y unidades de cinta y todo artefacto removible capaz de contener informacin; Documentar toda baja o modificacin de equipos en el ABM Activos.
Control de la disponibilidad de almacenamiento: o o o Verificar la disponibilidad de espacio de almacenamiento fsico de datos; Monitorear las demandas de capacidad requeridas por los elementos de software; Realizar proyecciones sobre los futuros requerimientos de capacidad.
99
3.1.2 Proteccin lgica Se analiza en esta parte la proteccin de los distintos Activos a nivel lgico.
3.1.2.1 Proteccin de la informacin En este apartado se pretende establecer reglas para la proteccin de la informacin de la organizacin objetivo, o sea, tcnicas de prevencin del hurto, modificacin o deterioro de la confidencialidad de los datos con significado para la institucin; Prevencin de ataques externos: Eaves dropping: Es la escucha no autorizada de conversaciones, claves, datos, etc. Se asegura que no haya cables atravesando zonas pblicas, se cierran todas las salidas de red no utilizadas, proteger el cableado con caos metlicos o cablear al vaco con aire comprimido; Ingeniera social: La Ingeniera social consiste en la manipulacin de las personas para que voluntariamente realicen actos que normalmente no haran, como revelar su contrasea o cambiarla. Se capacita a los usuarios para prevenirlos de estos ataques y se los informa del procedimiento formalizado en la Poltica de seguridad sobre el cambio de contraseas; Shoulder Surfing: Consiste en espiar fsicamente a los usuarios para obtener claves de acceso al sistema, nmeros vlidos de tarjetas de crdito, etc. Se recomienda prevenir a los usuarios sobre estos temas a fin de concientizarlos para que tomen los cuidados necesarios; Masquerading: Un intruso puede usar la identidad de un usuario autorizado que no le pertenece simplemente apoderndose de un nombre de usuario y contrasea vlidos. Se capacita a los usuarios para que mantengan en secreto tanto su nombre de usuario como su contrasea para que nadie ms los pueda usar en su nombre; Piggy backing: Se lo llama as al ataque en que un usuario no autorizado accede a una zona restringida gracias al permiso otorgado a otra persona que s est autorizada. 100
Para evitar esto se establecen controles en los accesos a las salas y se construyen barreras fsicas que impidan el acceso; Basurero: Basurero es la obtencin de informacin de los desperdicios dejados alrededor de un sistema: documentacin antigua; listados viejos; buffers reimpresoras; memoria liberada por procesos; bloques libres de disco; tachos de basura dentro y fuera del edificio; diskettes desechados. Es de vital importancia destruir toda documentacin que ya no se utilice, con una mquina trituradora de papel y borrar los documentos en forma segura, segn el sistema operativo que se use. [IRAM/ISO/IEC17799] indica: Los medios que contienen informacin sensible deben ser eliminados de manera segura, por ej. incinerndolos o rompindolos en pequeos trozos, o eliminando los datos y utilizando los medios en otra aplicacin dentro de la organizacin. Se debe prestar especial atencin a la eliminacin segura de: documentos en papel; grabaciones (audio, video, otros); papel carbnico; informes y estadsticas; cintas de impresora de un slo uso; cintas magnticas; discos, zips o casetes removibles; medios de almacenamiento ptico; listados de programas; datos de prueba; documentacin del sistema. Clasificacin de la informacin: La informacin se debe clasificar en cuanto a su acceso (qu perfiles de usuarios tienen acceso a lectura, ejecucin o modificacin de los datos) y en cuanto a su criticidad. Para clasificarla segn su acceso, se hace uso de la Tabla de Accesos 101
sobre Activos Lgicos, y para clasificarla segn su criticidad, se hace referencia al inventario de Activos Lgicos; Establecer medidas de proteccin segn la clasificacin de la informacin: Segn el tipo de informacin que se trate, se debern garantizar controles como se indica a continuacin: Para la informacin pblica o no restringida: No es necesario establecer restricciones especiales, recomendaciones sobre su buen uso y conservacin; Para la informacin restringida y/o secreta: Dependiendo que la informacin se haya clasificado como restringida o secreta se deben cumplir con los siguientes requerimientos mnimos y obligatorios para su proteccin: Autorizacin: Los usuarios a quienes por la naturaleza de su trabajo se les permita el acceso a la informacin clasificada como confidencial o secreta, deben estar expresamente autorizados. El Dueo de los Datos debe mantener un detalle de los usuarios autorizados a acceder a la informacin. El Administrador de Seguridad debe conservar la documentacin respaldatoria de las autorizaciones recibidas para los cambios de permisos. Limitar el acceso a las aplicaciones a travs de un adecuado sistema de control de accesos. No permitir durante los restringida, definidas en el uso de informacin secreta para propsitos de prueba desarrollos o implantaciones. En cuanto a la informacin slo debe utilizarse teniendo en cuenta las autorizaciones la Norma de Ambientes de procesamiento. ms all de las
El Dueo de los Datos debe autorizar expresamente el acceso a la informacin en el ambiente de produccin por parte de personal del rea de Sistemas, siempre y cuando lo considere absolutamente necesario y debido a situaciones de emergencia. En estos casos documentar la autorizacin y las tareas efectuadas, de acuerdo al Procedimiento de Administracin de Usuarios y Recursos. Conservacin: 102
La informacin clasificada como secreta y los medios fsicos donde se almacene, deben protegerse utilizando cajas de seguridad cuya llave y/o combinacin debe ser conservada por el Dueo de los Datos, quien debe autorizar toda copia adicional de dicha informacin as como la transmisin, envo, impresin y/o destruccin de la misma. La conservacin de soportes impresos de esta informacin debe efectuarse en archivos cerrados cuyo acceso fsico debe estar restringido nicamente a los usuarios autorizados, segn lo especificado en la Norma de Proteccin fsica del Manual de Seguridad de la organizacin. Realizar el proceso de generacin y/o restauracin de la informacin de acuerdo a lo definido en la Norma de Copias de Respaldo. Impresin: Imprimir los reportes que contienen informacin confidencial impresoras de acceso exclusivo para usuarios autorizados; Entrega/Traslado: Realizar toda entrega de documentacin que contenga informacin secreta/confidencial en sobre cerrado. Asimismo, establecer mecanismos que permitan asegurarle al remitente de la documentacin que sta fue recibida por el destinatario correspondiente; Divulgacin a terceros: Instrumentar convenios de confidencialidad con los terceros que deben acceder a informacin de la empresa. No trasmitir informacin en forma verbal o escrita a personas externas a la empresa, sin la expresa autorizacin del Dueo de los Datos. Destruccin: Destruir toda informacin secreta y sus correspondientes soportes fsicos cuando se considere no vigente y se discontine su utilizacin y/o conservacin. Informar a los usuarios sobre el manejo de la informacin: Toda la informacin conservada en los equipos informticos (archivos y correos electrnicos residentes en servidores de datos centralizados y/o estaciones de trabajo) puede ser considerada propiedad de la compaa y no de los usuarios, dependiendo de su Poltica de Seguridad, por lo que podr ser administrada y/o monitoreada por los responsables del rea de Sistemas de acuerdo con las pautas de seguridad definidas. en
103
Esto debe estar claramente establecido en la Norma de Clasificacin y Tratamiento de la Informacin de la empresa y pertinentemente informado a todos los usuarios.
3.1.2.2 Proteccin del Sistema Operativo. Actualizacin de del Sistema Operativo: o Actualizar peridicamente los Sistemas Operativos de Servidores y estaciones de trabajo para las diferentes plataformas. En Unix-Linux, actualizar el kernel y en la plataforma Microsoft, actualizar el SO con la versin que se considere necesaria de acuerdo con las necesidades funcionales y las mejoras implementadas por el fabricante; Aplicar los parches (hot fixes, service packs) que publican los proveedores de software en todos los equipos. Para ello se recomienda el uso de algn software de distribucin segn la cantidad de mquinas a actualizar;
Estandarizacin de servidores: La configuracin de seguridad de los equipos necesaria. puede ser tediosa, pero es
Los servidores deben seguir un estndar para su identificacin y para su configuracin. El Manual de Seguridad incluye estndares tcnicos que se elaboran para estos fines. El ES deber evaluar la posibilidad de elaborar uno para facilitar la tarea de homogenizacin de configuraciones de seguridad por plataforma deben tener los equipos respecto de la seguridad, que se aplique a todos los servidores existentes, y cada vez que se de de alta a uno nuevo. Es muy prctico para estos casos la elaboracin de scripts de configuracin que seteen los parmetros de seguridad automticamente sin intervencin del administrador del equipo. Control del acceso remoto: Realizar los adecuados controles para evitar el acceso no autorizado a los equipos en forma remota, segn lo establecido en la Poltica de Seguridad de la compaa. En general se sugiere limitar el acceso remoto a un grupo reducido de usuarios para fines administrativos utilizando medios seguros (protocolos que encripten la identificacin de usuario y la contrasea) y prohibir el acceso remoto de los equipos ms crticos. En todos los casos una prctica muy recomendada es eliminar el acceso dial up a los servidores. 104
Proteccin del inicio del sistema: Establecer la configuracin del arranque de los equipos segn lo establecido en el Manual de Seguridad. La prctica ms recomendable es deshabilitar la posibilidad de booteo de los servidores desde el CD-ROM y floppy disk.
Control de la instalacin de programas y dispositivos: Permitir nicamente a usuarios con privilegios de administrador que instalen software y dispositivos en los equipos. Para la actualizacin de programas de software o instalacin de dispositivos se debe seguir el lineamiento indicado en los Procedimientos del Manual de Seguridad para el manejo de incidencias (en una organizacin con sistema de Atencin al Cliente o Help Desk el procedimiento comenzara con la solicitud del usuario, la apertura de caso en Help Desk y posterior derivacin al responsable. Ver el punto 6.1 Manejo de Incidencias de esta metodologa).
Creacin de subsistemas en el sistema operativo limitada: Sistemas Operativos como la serie Windows permite la creacin de subsistemas OS/2 y POSIX. Los de la familia Unix permiten la creacin de shells hijos donde correr procesos en segundo plano. Ambos casos deben evaluarse segn la funcionalidad del equipo que se trate, y restringir el uso de estas facilidades cuando no sean estrictamente necesarias para el desarrollo de las tareas y servicios que prestan.
Desconexin de todas las unidades de red inutilizadas: Muchas veces se conectan unidades de red con fines especficos para alguna instalacin remota, etc. Todas las conexiones que no se necesitan deben ser removidas del sistema operativo para evitar el intento de conexin por parte de usuarios no autorizados y el descubrimiento de informacin. Ciertas tecnologas exponen informacin del sistema incluso ante un intento fallido de conexin. Es ejemplo la utilidad Netware Connections de Novel, que ante un intento de conexin muestra el rbol NDS que contiene al servidor, el nmero de conexin, la direccin completa de la red, el nmero de la red y la direccin del nodo, implicando un descubrimiento importante de informacin.
Limpieza de la memoria: Cada vez que el sistema se cierra se deben limpiar las pginas de memoria virtual;
Apagado seguro:
105
No permitir el apagado de equipos sin la autenticacin (login de un usuario). La nica excepcin es durante la utilizacin de medios alternativos de alimentacin elctrica (como UPSs) durante una emergencia; Implantacin de un sistema de perfiles y grupos de usuarios: La administracin de usuarios es clave para el mantenimiento de la seguridad del entorno; Todos los sistemas operativos actuales permiten la creacin de usuarios, perfiles de usuario y grupos. Los usuarios son identificaciones individuales de personas o servicios. Los perfiles son los tipos de usuarios existentes (generalmente el sistema operativo trae un conjunto de perfiles de usuario por defecto, y el administrador luego crea los que considera necesarios). Los grupos son conjuntos de usuarios. Por lo general se crean grupos para identificar a los usuarios que realizan una misma tarea. Las mejores prcticas de seguridad sugieren crear un conjunto de grupos de usuarios, y asignar los permisos sobre los archivos y directorios a los grupos, y no a los usuarios. Esto hace mucho ms sencillo el mantenimiento de los permisos en caso de cambios o recupero de informacin de cintas de backup, puesto que solamente hay que modificar los permisos de los grupos, y no individualmente los de los usuarios, que, sern muchos ms en nmero. Un caso muy comn de cambio de permisos que implica trabajo es cuando un usuario cambia de rea de trabajo, con el consecuente cambio de permisos de acceso sobre los archivos compartidos. En el caso de que se otorguen permisos por usuario habra que eliminar individualmente todos los permisos de ese usuario a los archivos del rea de donde es promovido y agregarle los permisos correspondientes al rea donde comienza a desenvolverse. Esto puede llegar a ser un trabajo engorroso y siempre se corre el riesgo de no eliminar todos los permisos del usuario, con el consecuente acceso indebido a los recursos. En cambio, si los permisos son otorgados por grupo, simplemente alcanza con eliminar al usuario del grupo y asignarlo al nuevo, con la automtica asignacin de permisos del grupo al que pertenece. En general es til crear grupos por reas de trabajo o sectores dentro de las reas donde todos los usuarios que pertenecen a ese sector acceden con los mismos permisos a los recursos informticos de la empresa. Implantacin de una Poltica sobre las cuentas de usuarios: 106
El Manual de Seguridad de la organizacin debe contener, entre sus normas y procedimientos, la Poltica de ABM de Usuarios. En ella se debe especificar los parmetros que deben cumplir la identificacin de usuario (como estndar de nomenclatura, responsabilidad del usuario sobre su uso), la cuenta (como vencimiento, bloqueo por inutilizacin, etc) y las contraseas (longitud mnima y mxima, perodo mximo de uso, polticas de cambios y conformacin de la contrasea, etc). El ABM de usuarios consiste en la Alta, Baja y Modificacin de usuarios en el sistema, entendindose por: Alta de un usuario: requerimiento de acceso a una aplicacin o un servicio para un usuario inexistente; Modificacin de un usuario: requerimiento de: diferentes tipos de acceso a las aplicaciones o servicios, acceso a una nueva aplicacin o servicio; eliminacin de acceso a una aplicacin o servicio; o o Baja de un usuario: requerimiento de eliminar los derechos de acceso de ese usuario a toda aplicacin o servicio; Deshabilitacin de un usuario: requerimiento de negar los derechos de acceso de ese usuario a toda aplicacin o servicio, sin eliminarlo definitivamente del dominio de usuarios; El Dueo de los Datos del rea o sector al cual pertenece el usuario en el desempeo de sus funciones, debe solicitar la creacin, modificacin o borrado de la cuenta de usuario; En una empresa con Help Desk, una operacin (ABM) sobre una cuenta de usuario deber registrarse como un caso y llevarse a cabo segn lo establecido en el correspondiente Procedimiento de Administracin de Usuarios y Recursos. Tipos de cuentas de usuarios: o Cuentas personales: Identificacin personal del usuario: Cada persona debe tener una nica identificacin personal de usuario en los servicios centralizados de la compaa y es responsable de la correcta utilizacin de la informacin que se realiza con esa cuenta. En general, la identificacin de la cuenta personal suele ser alfanumrica y est relacionada con el nombre y apellido del usuario. Cuentas de servicios: Son cuentas de usuarios no personales que se crean con fines especficos:
o o
107
Usuarios creados por defecto durante la instalacin de aplicaciones y sistemas operativos: no deben utilizarse con fines operativos; Usuarios genricos para satisfacer necesidades propias de la ejecucin de aplicaciones o servicios, por ejemplo, para administrar las comunicaciones: deben ser autorizados expresamente por el Oficial de Seguridad; Para estos casos las contraseas deben permanecer resguardadas y su acceso debe ser registrado segn los Procedimientos correspondientes. Descripcin de las cuentas: Las cuentas de usuarios generadas en cada uno de las aplicaciones, deben contener, al menos, los siguientes datos: o o o El nombre y apellido completo del propietario de la misma y el rea de trabajo, en el caso de los usuarios personales; En el caso de las cuentas de servicios debe figurar la funcin para la que fue creada; Debe crearse una cuenta para cada servicio individual con los mnimos privilegios posibles, y no utilizar una misma cuenta para varios servicios; Todo usuario se debe comprometer a: o o o mantener la confidencialidad de la informacin a la que acceda; utilizar en forma personal y exclusiva su identificacin de usuario; responsabilizarse del uso que se haga de su identificacin de usuario.
Implantacin de una Poltica de Contraseas de Usuarios: El Manual de Seguridad de la organizacin debe contener, entre sus normas y procedimientos, la Poltica de Contraseas de Usuarios. En ella se debe especificar los parmetros que deben cumplir las contraseas. A continuacin se enumera una serie de controles que debern tenerse en cuenta a la hora de elaborar la Poltica de Contraseas: Longitud mnima (por ejemplo de 6 caracteres y sin contener blancos); Longitud mxima (por ejemplo de 16 caracteres; Vida mxima (para obligar a los usuarios a realizar el cambio de clave cada cierto perodo, por ejemplo de 45 das); Vida mnima (para evitar que un usuario realice el cambio obligatorio de la clave a su vencimiento y luego vuelva inmediatamente a la clave anterior) Cantidad mnima de caracteres numricos; Cantidad mnima de caracteres alfabticos; Cantidad mnima de caracteres especiales (@#$%^&*); Cantidad mnima de caracteres distintos de la ltima contrasea;
o o o o o o o o
108
o o o
Tiempo mnimo que debe transcurrir antes de reutilizar una password (por ejemplo, un ao); Cantidad mnima de contraseas distintas antes de reutilizar una. Es una variante del control anterior, utilizada para el mismo fin; Determinar si debe ser cambiada obligatoriamente la primera vez que el usuario ingrese al sistema; Adems, debe cumplir con las siguientes caractersticas:
o o o o
Debe poder ser cambiada toda vez que el usuario lo requiera; No debe ser compartida; Se debe preservar su confidencialidad; No debe ser fcil de adivinar; Para lograr esto existen varias soluciones: Utilizar un software generador de passwords: Utilizar un software que analice la password (por ejemplo comparando la contrasea ingresada por el usuario con una lista contenida en un diccionario de contraseas prohibidas) y rechace contraseas fciles al momento de su ingreso;
Administracin de Usuarios: Garantizar que todos los usuarios posean los privilegios mnimos necesarios para la realizacin de su tarea. Las prcticas recomendadas para las cunetas de usuarios son las siguientes: Renombrar la cuenta de Administrador Local; Crear una cuenta de Administrador Local ficticia. Llamada de forma estndar segn el sistema operativo del que se trate. Por ejemplo: Para Windows 2000 en espaol, llamarla Administrador; Para Windows 2000 en Ingls, llamarla Administrador; Para Linux, llamarla root; o o o o o Deshabilitar la cuenta de Administrador ficticia; Deshabilitar la cuenta de invitado o Guest; Nunca usar cuentas grupales (de uso masivo). Las cuentas deben ser de uso individual exclusivo; Todos los usuarios personales deben autenticarse en el sistema. No se deben permitir cuentas de usuario personales sin password; Establecer una nomenclatura para la denominacin de las cuentas de usuarios personales y para las de servicios (como por ejemplo utilizar las iniciales del nombre seguidas por el apellido); 109
o o
Utilizar descripciones de usuarios claras y completas que permitan la identificacin y clasificacin de los usuarios.
Para lograr una adecuada y efectiva implantacin de un sistema de grupos y perfiles de usuarios, sin superposicin de roles ni de permisos, y con el fin de detectar cualquier inconsistencia, se sugiere relevar los usuarios con sus respectivos permisos y roles en un documento generado para tal fin llamado Mapa de Usuarios, que permite la rpida visualizacin de inconsistencias en la asignacin de perfiles.
Mapa de Usuarios El siguiente documento presenta una alternativa para visualizar, documentar y administrar los grupos de usuarios:
GRUPO
USUARIOS
NOMBRE DE INICIO DE SESIN
OTROS GRUPOS A LOS QUE PERTENECE
Descripcin de los campos GRUPO: nombre del grupo que se est relevando; USUARIOS: nombre completo de los usuarios que pertenecen a ese grupo; NOMBRE DE INICIO DE SESIN: por ejemplo: pgarcia; OTROS GRUPOS A LOS QUE PERTENECE: en este campo se agregan todos los grupos a los que pertenece el usuario, excepto en el que se est definiendo, esto sirve para detectar inconsistencias. Tambin el ES deber interiorizarse con los permisos proporcionados por perfil, y deber verificar que, segn la estructura de la organizacin, ningn usuario est abusando del sistema con permisos que no le corresponden, y, asimismo, que no existan usuarios donde sus accesos estn indebidamente restringidos y as, dificultar o impedir su trabajo. Revisin de las cuentas de usuario: El administrador de seguridad debe realizar una peridica revisin de las cuentas de los usuarios del sistema, a fin de detectar usuarios inactivos y realizar las bajas correspondientes, segn el procedimiento de seguridad de administracin de usuarios; Revisin de los permisos de los usuarios: 110
Realizar una peridica revisin de los permisos otorgados sobre le file system y sobre los recursos. Un control bsico consiste en restringir los permisos para los grupos genricos, e ir otorgndolos individualmente o por grupo segn la necesidad. En los sistemas operativos de la lnea Microsoft Windows el grupo genrico ms abarcativo es el llamado Everyone. En la lnea de Linux, es Others (el ltimo octeto de los permisos). Revisin de los servicios de red: Revisar peridicamente los servicios de red habilitados y eliminar todos aqullos que no se necesiten, en particular los que permiten hacer conexiones remotas o transporte de datos en texto plano (como FTP); Revisin de los protocolos de red: Revisar peridicamente los protocolos de red habilitados y eliminar todos aqullos que no se necesiten, en particular los protocolos antiguos e inseguros (como NetBIOS); Control del inicio de sesin: Establecer un nmero mximo de intentos fallidos de inicio de sesin de los usuarios, luego del cual se bloquee la cuenta hasta que el usuario solicite su desbloqueo mediante el procedimiento vigente. Asimismo, establecer el perodo en que una cuenta puede permanecer en estado bloqueado, luego del cual se debe proceder al borrado definitivo del usuario, luego de los controles necesarios, indicados en la Norma de administracin de usuarios (por ejemplo, el administrador o persona con rol equivalente, encargada de la revisin y eliminacin de usuarios, debera consultar con el rea de recursos humanos para obtener la autorizacin de la eliminacin definitiva de un usuario). La administracin de usuarios tambin implica realizar peridicos controles sobre los usuarios del sistema, eliminando los que no presenten actividad, segn el procedimiento correspondiente. Nombre del ltimo usuario logueado: Evitar que se muestre la identificacin del ltimo usuario que se logue en el sistema. Esto podra facilitar los ataques de adivinanza de contrasea por fuerza bruta; Bloqueo de cuentas de usuario:
111
Las cuentas bloqueadas por intentos fallidos de sesin, o por permanecer inactivas durante un perodo determinado deben permanecer bloqueadas durante un tiempo, para impedir el inicio de sesin. Este perodo de tiempo puede ser de minutos o das, dependiendo de la criticidad de la informacin que maneje la empresa objetivo. Como ejemplo, a continuacin se exponen controles sobre las cuentas de usuarios, que deben estar explcitos en las Normas de Usuarios, y deben ser de conocimiento de todos los usuarios del Sistema: Toda cuenta de usuario que haya intentado cuatro (4) veces el acceso al sistema en forma fallida y consecutiva, debe ser automticamente bloqueada; Toda cuenta de usuario que no haya accedido al sistema por un perodo de 60 das ser bloqueada y se iniciar la gestin de baja de la misma, que comprende: verificacin por parte de Recursos Humanos y del Dueo de los Datos de la inexistencia del usuario; aprobacin por parte de ste ltimo para la eliminacin definitiva de la cuenta. En caso de comprobar la necesidad de la baja, el Administrador de Seguridad deber proceder a su inmediata eliminacin. Transcurrida ua cantidad de das (por ejemplo 120) sin utilizacin de la cuenta, la misma se dar automticamente de baja. Registros de pistas de auditora o logs: Registrar pistas de auditora, ms conocidas como logs con el fin de asegurar un adecuado monitoreo de los eventos que pudieran afectar a la seguridad de la informacin de la compaa objetivo. Toda aplicacin utilizada en el entorno productivo debe permitir el registro automtico y la explotacin de la informacin de las siguientes pistas de auditora: Trazas generales comunicaciones: a activar en sistema operativos y equipos de
Intentos exitosos y fallidos de ingreso de usuarios; Desconexin forzada de usuarios; Alta, baja o modificacin de usuarios, grupos y/o perfiles; Cambios en la configuracin de la seguridad; Instalacin de software de aplicacin; Encendido y apagado de servidores y equipos de comunicaciones; 112
Procesos de depuracin de informacin no automatizados. Trazas generales a activar en aplicaciones: Intentos exitosos y fallidos de ingreso de usuarios; Desconexin automtica de sesiones de usuario por inactividad; Alta, baja o modificacin de usuarios, grupos y/o perfiles; Cambios en la configuracin de la seguridad; Instalacin de software de aplicacin; Procesos manuales de depuracin de datos; Las acciones llevadas a cabo por los usuarios especiales. Trazas especiales a activar: Todos los accesos a informacin clasificada como confidencial; Todos los eventos de un usuario cuando sean especficamente solicitados por los Dueos de los Datos; Todos los accesos de aquellas cuentas de usuarios con altos privilegios sobre los sistemas. Ejemplo: A continuacin se muestra una porcin pequea de un archivo de log generado por el sistema operativo Windows 2000 Server, en un entorno con 18 estaciones de trabajo en un dominio de un archivo de log:
Tipo
Fecha
Hora Origen
Categora
Suceso
Usuario
Equipo
Aciertos Aciertos Aciertos Aciertos
28/11/2003 11:08:07 Security EMUI_SISTEMAS 28/11/2003 11:07:54 Security 28/11/2003 11:06:54 Security EMUI_5$ 28/11/2003 11:06:54 Security
Inicio/cierre de sesin 540 Inicio/cierre de sesin 540 Inicio/cierre de sesin 538 Inicio/cierre de sesin 538 plopez 681
SYSTEM EMUI_18$ gmarrollo EMUI_5$
Errores 28/11/2003 11:06:34 Security Errores 28/11/2003 11:06:34 Security EMUI_SISTEMAS Aciertos EMUI_3$ Aciertos EMUI_18$
Inicio/cierre de sesin 529 Inicio de sesin de la cuenta
SYSTEM lkien EMUI_18$
28/11/2003 11:06:02 Security 28/11/2003 11:05:49 Security
Inicio/cierre de sesin 538 Inicio/cierre de sesin 538
113
Revisin de las licencias de software: Verificar que todos los equipos funcionen con el Sistema Operativo bajo la licencia otorgada por el proveedor.
Revisin de los contratos con los proveedores; En los contratos con los proveedores se deben incluir clusualas de confidencialidad de la informacin tratada, y contemplar los niveles de servicio de mantenimiento pos venta acordados.
Administracin de las pistas de auditora: Las pistas de auditora o logs son valiosos slo cuando pueden ser analizados, y se encuentren disponibles en forma legible y completa. Para lograr esto, los registros de log deben: o o o Ser completos (deben registrar toda la informacin que se considere til para el caso); Ser autnticos (deben ser verdicos, no deben ser falsificados ni modificados por nadie); Ser ntegros (deben ser completos).
Para ello se debe establecer una serie de controles sobre la lgica de los logs, y sobre la tecnologa que los soporta. A continuacin se detallan controles y medidas recomendadas para obtener un registro de auditora confiable: Acceso a los logs: Permitir nicamente el acceso a los logs a aquellas personas que son responsables de la gestin o control de las mismas; Administracin del espacio disponible para el almacenamiento: Revisar peridicamente el crecimiento de las trazas con el objetivo de identificar la necesidad de depuracin de las mismas evitando toda posibilidad de prdida; Eliminacin de las pistas: Ante situaciones que requieran la eliminacin de las pistas o trazas de auditora debido a la falta de espacio de almacenamiento, generar una copia de respaldo antes de proceder a su eliminacin. Estas copias deben mantenerse accesibles y adecuadamente registradas en el Inventario de Backup;
114
Definicin de eventos: Para aquellos entornos que gestionen informacin sensible se debern definir los eventos de seguridad que requieren monitoreo; Control de logs: El Oficial de Seguridad debe controlar peridicamente las pistas de auditora, con el objetivo de detectar alertas e informar la ocurrencia de las mismas a los responsables de la administracin de la seguridad de la informacin, con el propsito de definir e implantar las acciones correctivas necesarias para evitar o limitar la repeticin del hecho. Adems se deber informar al Dueo de los Datos involucrado la ocurrencia de eventos crticos de seguridad que puedan interferir en el correcto desempeo la empresa. Estadsticas de eventos: El Oficial de Seguridad deber generar informes con las estadsticas de los eventos crticos detectados, a fin de tomar las acciones correctivas correspondientes, cuando la frecuencia de repeticin o el impacto lo justifiquen; Herramientas de anlisis de logs: A fin de proteger a la informacin ms crtica, en la medida en que se cuente con la tecnologa apropiada, es conveniente realizar una revisin de las pistas de auditora con herramientas de anlisis que faciliten la tarea. Estas herramientas de anlisis de eventos permiten la generacin de alarmas, reportes, etc.
Prevencin de enumeracin de recursos compartidos Evitar la enumeracin de los recursos compartidos y del administrador de seguridad de cuentas (SAM Security Account Manager) mediante la configuracin correspondiente.
3.1.2.3 Proteccin de los datos. Controlar y administrar el acceso de los usuarios sobre los activos lgicos: Se debe administrar correctamente los recursos lgicos como archivos, bases de datos, programas de software y data warehouses, y llevar un control sobre ellos para detectar posibles accesos no autorizados, hurto de datos o descubrimiento de informacin. 115
Para este fin se propone la elaboracin de una tabla que refleje la asignacin de permisos sobre los activos lgicos por perfil y por usuario. Este documento llamado Tabla de Permisos sobre Activos Lgicos se exhibe a continuacin:
Tabla de Permisos sobre Activos Lgicos
CDIGO
DESCRIPCIN
PERFILES AUTORIZADOS
USUARIOS AUTORIZADOS PERMISOS CRITICIDAD
Descripcin de los campos CDIGO DEL ACTIVO: Es el cdigo correspondiente al activo, previamente asignado en el Inventario de Activos (ver seccin 4.2) DESCRIPCIN: descripcin del activo que se est clasificando. PERFILES AUTORIZADOS: Perfil de usuarios que poseen algn tipo de autorizacin de acceso al activo. USUARIOS AUTORIZADOS: Usuarios que poseen algn tipo de autorizacin de acceso al activo. PERMISOS: Permisos otorgados a ese perfil o usuario. Puede ser: o o o L: lectura; E: escritura; X: ejecucin.
O la combinacin de los mismos. CRITICIDAD: Grado de prioridad de proteccin que se le asigna al bien, segn la experiencia del Ingeniero, el grado de confidencialidad requerido o el valor asignado por el usuario. Esta criticidad se medir en tres niveles: o o o 0 (cero): No crtico; 1 (uno): medianamente crtico; 2 (dos): altamente crtico.
Espacio de almacenamiento restringido:
116
Restringir el uso del espacio de almacenamiento comn (como servidores de archivos) a los usuarios creando directorios de uso exclusivo individual o por grupos de trabajo. De esta forma se protege la confidencialidad e integridad de los datos de los usuarios, y se ofrece una herramienta de trabajo para los grupos al permitirles compartir los datos entre los usuarios pertenecientes a ese grupo, y denegar el acceso al resto. Con esta facilidad es muy til la creacin de grupos de usuarios por rea o sector, segn la funcionalidad de la tarea que realizan. Control de cambios en Software: Llevar un adecuado control y documentacin de los cambios realizados en el software ya sea: Una actualizacin; Un cambio de plataforma; Agregados de funcionalidad.
o o o
Todos los cambios se registrarn adecuadamente en el ABM Activos, como se especifica en la etapa 4.5 Control de Cambios de esta metodologa y en el Documento de Actualizacin de Software. A continuacin se presenta el Documento de Actualizacin de Software para su utilizacin cuando se realicen puntualmente actualizaciones de software (upgrades). Este documento que tiene como fin especfico ayudar al administrador a controlar el proceso de actualizacin de software en forma Masiva. Por ejemplo, cuando se actualiza el software antivirus, que es una tarea ardua ya que muchos programas no permiten que las actualizaciones sean instaladas por usuarios sin permisos de administrador, ste es el que debe pasar mquina por mquina instalando el software. El Documento de Actualizacin de Software se usar como ayuda para el control de las actualizaciones registrando cada mquina a medida que se avanza con las workstations de la red. Para ms detalles referirse a la seccin 6.2.6 Control de Cambios.
117
Documento de Actualizacin de Software
SOFTWARE Antivirus Sdat4299.exe Win2k Kb823182 Win2k Kb824141 Win2k Kb825119
DESCRIPCIN
Fecha
Server1 Server2 Server.. CPU001 CPU002 . Ok Ok Ok Ok Ok
CPU Ok
Actualizacin del 20/10 antivirus Hotfix para Windows 2000 Hotfix para Windows 2000 Hotfix para Windows 2000 21/10
Ok
Ok
Ok
Ok
Ok
Ok
23/10
Ok
Ok
Ok
Ok
Ok
Ok
23/10
Ok
Ok
Ok
Ok
Ok
Ok
Control de impacto de nuevo software: Antes de instalar nuevo software en los equipos se realiza un control de compatibilidades y aprobacin por parte de la gerencia: o o o o o o o o Controlar las licencias de software y de las actualizaciones; Verificar los requerimientos de capacidad de procesamiento y almacenamiento del nuevo software; Verificar la compatibilidad con la plataforma de hardware utilizada; Preparar los ambientes para la actualizacin; Realizar pruebas de instalacin y uso del nuevo software antes de la instalacin definitiva; Realizar pruebas de recuperacin de errores; Verificar la compatibilidad del nuevo software con otros elementos existentes; Capacitar a los usuarios. actualizacin de software de deteccin y reparacin
Instalacin y continua antivirus: o
Comprobar diariamente la existencia de nuevo software antivirus y sus actualizaciones (y documentar las actualizaciones en el ABM Activos y en el Documento de Actualizaciones de Software); Comprobar la ausencia de virus antes de utilizar archivos transportados a travs de la red, o en medios magnticos como diskettes, zips, u otros;
118
o o o
Comprobar la ausencia de virus en archivos adjuntos a mensajes en los servidores de mail; Comprobar la ausencia de virus en los archivos bajados de Internet (downloads) antes de su ejecucin o instalacin; Realizar planes de continuidad de los negocios ante ataques de virus.
Realizacin de copias de seguridad (backups): o Guardar en forma segura (ver 4.1.1.2 Proteccin de los equipos) los datos crticos, informacin de recuperacin de sistemas y registros exactos de las aplicaciones en forma peridica; El perodo de realizacin de copias y la vida de cada una estn definidos en el Manual de Procedimientos de realizacin de copias de seguridad (backups); o o o Mantener siempre al menos los tres ltimos ciclos de backup; Comprobar peridicamente los medios de almacenamiento de los backups (cintas) para garantizar una recuperacin exitosa, en caso de necesitarlo; Comprobar peridicamente el correcto funcionamiento de las unidades de cinta para la recuperacin de datos desde los medios fsicos de almacenamiento. Verificar los procedimientos y procesos de recuperacin a partir de los backups, para garantizar su eficacia y la adecuada restitucin del sistema ante eventualidades; Borrar en forma segura el contenido de los dispositivos de backup que estn fuera de uso, o que contengan informacin vencida; Volcar el procedimiento de backup a un documento para el registro y control de las unidades de almacenamiento, y su relacin con el contenido electrnico.
o o
Aqu se presenta un registro para llevar ese control de forma ordenada: el Inventario de Backup. Inventario de Backup El ES determinar la tcnica ms conveniente para realizar el Backup en su sistema objetivo. Para la aplicacin de cualquier tcnica el ES deber documentar el resguardo de datos que hizo y proteger ese documento con claves u otros mtodos para prohibir su acceso a extraos. Este documento deber contener como mnimo la siguiente informacin:
CDIGO BKP0001
FECHA 24/10/2003
TIPO Incremental
A/S A
MEDIO Cinta#
PASSWORD ******
119
Descripcin de los campos CDIGO: Cdigo de 7 dgitos que rotula la copia de seguridad. Sirve para identificar unvocamente cada copia. Formato: BKPNNNN Donde N representa un nmero, que crecer correlativamente para identificar los backups; FECHA: Fecha en que se realiz la copia de seguridad; TIPO: Incremental; Normal; Diferencial; Diaria; Copia. A: Append: si los backups se van concatenando en el medio fsico; S: sobreescritura: Si los backups son reemplazados por la nueva copia.
A/S:
MEDIO: Medio fsico en el que se realiza la copia. Ej: Cinta#1, Cinta#2; PASSWORD: Contrasea de cifrado de la copia.
Restriccin de acceso a los datos: Establecer en forma unvoca los permisos otorgados a cada perfil de usuario para evitar accesos no autorizados en los distintos entornos: o o o o Archivos; Bases de datos; Aplicaciones; Servicios.
Proteccin de la documentacin del sistema: o o Almacenar la documentacin del sistema en forma segura: bajo llave en archivos o armarios de acceso restringido; Los documentos de administracin de la seguridad deben estar protegidos de manera especial, y slo debe tener acceso a ellos el o los responsables correspondientes. Son de crtico manejo los siguientes documentos: La Poltica de Seguridad; Los manuales de Procedimiento; 120
Los instructivos tcnicos; Los Estndares de seguridad; El Inventario de Activos; El Mapa de Vulnerabilidades; El ABM Activos; El Diario de Incidencias. Proteger la documentacin del sistema almacenada en una red local, implementando un sistema de acceso o privilegios por perfil; Proteger la documentacin del sistema almacenada en una red pblica, o suministrada a travs de una red pblica con mtodos seguros: Permitir slo acceso a la lectura de los documentos; Implementar un sistema de verificacin de integridad de los archivos, contra las modificaciones no autorizadas; Implementar mtodos de intercambio de informacin seguro, protegiendo la confidencialidad de los datos; Aplicar otros mtodos que garanticen integridad de los datos, segn la necesidad; Ejemplos de herramientas que se pueden utilizar para lograr esto son: - Aplicar funciones HASH; - Aplicar MAC (Message Authentication Code); - Implementar IPSec. Proteccin de la informacin publicada en la Web: La informacin publicada en Internet debe ser protegida contra modificacin, ya que si se ve afectada la integridad de las publicaciones, la seguridad de la empresa, y su reputacin estarn en juego. Proteccin del correo electrnico: Implementar tcnicas de encripcin de mensajes o firma digital para el intercambio seguro de correo electrnico. Proteccin del trfico cliente-servidor: Proteger el trfico entre equipos clientes y servidores mediante el recurso adecuado segn corresponda: o o o o Firma digital; Cifrado de paquetes; Autenticacin Kerberos; Mtodos de hash.
o o
121
Proteccin del trfico de los vnculos:
Proteger el trfico entre equipos distantes mediante el ccifrado de paquetes.
3.1.3 Proteccin a nivel de la organizacin. Se analiza en esta parte la proteccin de los distintos Activos a nivel de la organizacin. Se deben considerar algunos de los siguientes puntos: Elaboracin/adecuacin de una Normativa de seguridad: A nivel de la organizacin, el primer paso en la proteccin del entorno es establecer la normativa que dicte los lineamientos sobre los procedimientos, las tareas y procesos informticos. La normativa se materializa en un Manual de Seguridad compuesto por: o o o o o La Poltica general de Seguridad; Las Normas; Los procedimientos; Los estndares tcnico; Los Manuales de usuarios.
Para la Elaboracin/adecuacin de una Normativa de seguridad referirse al captulo 4, seccin 3 de esta tesis. Determinacin de la necesidad de un cambio en la estructura de la organizacin: o Crear un sector dedicado a la seguridad informtica: Si la empresa en cuestin no presenta la estructura organizacional que soporte el siguiente esquema de responsabilidades, ser tarea de ES disear y proponer una serie de responsabilidades a crear en la organizacin, pudiendo implicar la creacin de un rea de Seguridad Informtica y una de Control Interno o Auditora; Determinar los roles y responsabilidades: Este proyecto consiste en dar una razonable proteccin a la informacin a travs de la correcta administracin de la seguridad por parte de los responsables asignados a cada una de las funciones dentro de la compaa objetivo. Para ello se deben definir los roles y las responsabilidades que lo ejecuten. A continuacin se definen los roles y responsabilidades de cada una de las funciones relacionadas con la seguridad:
122
Dueo de los datos Se llama Dueo de los Datos a todo Director y/o Gerente de cada rea de la empresa responsable sobre la informacin correspondiente a su mbito de trabajo. El Dueo de los Datos podr asignar las tareas de administracin y control de las medidas de seguridad del rea, a un colaborador, quien recibe el nombre de Dueo de los Datos Delegado. Son sus principales responsabilidades: Identificar toda la informacin de su rea, cualquiera sea su forma y medio de conservacin; Clasificar su informacin de acuerdo a su grado de criticidad, documentando y actualizando peridicamente esta clasificacin; Determinar qu usuarios de su rea pueden acceder a su informacin, asegurando que cada uno tenga garantizado el ingreso a los datos de acuerdo a sus respectivas funciones, y en el marco de lo especificado por la Norma de Administracin de Usuarios, Accesos y Recursos; Proponer los eventos de seguridad adicionales que considere necesarios para proteger su informacin. Oficial de Seguridad El Oficial de Seguridad es quien tiene a su cargo la definicin y el mantenimiento del marco normativo y el asesoramiento a todo el personal de la compaa para su implantacin. En relacin a esta funcin, es responsable de: Implantar un programa de concientizacin permanente de usuarios sobre la seguridad de la informacin y su mantenimiento a futuro; Mantener actualizada la normativa de seguridad y la lista de todos los Dueos de los Datos/ Delegados; Dar soporte a los involucrados en los procesos de: - Definicin de los Dueos de los Datos/ Delegados; - Identificacin de la informacin sensible; - Identificacin de las medidas de seguridad necesarias en cada sistema para cumplir con la normativa; - Implantacin de dichas medidas; Asistir al Administrador de Seguridad en la implantacin de la normativa de seguridad informtica; Efectuar el control de los principales eventos que afecten la seguridad de la informacin y la posterior comunicacin y asistencia a los Dueos de los Datos / Delegados y dems responsables en: - Identificacin del problema; - Anlisis del impacto; - Definicin de acciones a llevar a cabo; 123
Participar en la investigacin y recomendacin de productos de seguridad en conjunto con el rea de Sistemas, para la implantacin de las medidas de seguridad en los sistemas; Participar en el proceso de evaluacin de los riesgos emergentes ante una situacin de interrupcin no prevista del procesamiento de sistemas, definicin de las distintas estrategias de recuperacin, y en la prueba e implantacin de los planes de recuperacin ante desastres definidos; Participar en el diseo, desarrollo, mantenimiento o adquisicin de sistemas de aplicacin en cuanto a: - Identificacin y evaluacin de los controles automatizados del sistema, menes de usuarios y controles manuales adicionales a incluir en los procedimientos que acompaen a su operatoria; - Participacin en la definicin y evaluacin de los lotes de prueba y durante los procesos de conversin e implantacin de los sistemas de aplicacin; - Determinacin de los perfiles de usuarios que accedan a cada uno de los puntos de men en relacin al puesto de trabajo. Administrador de Seguridad Se define como tal a la persona que tiene a su cargo la ejecucin de las medidas de seguridad en algn equipo de procesamiento, servicio y/o aplicacin. Sus principales responsabilidades relacionadas con la proteccin de la informacin son: Administrar todas las solicitudes de alta, baja y modificacin de permisos relacionados con los accesos de los usuarios a los respectivos equipos y aplicaciones; Implantar en los sistemas todos los parmetros definidos en las normas, procedimientos y estndares especficos; Asistir a los usuarios en las tareas relacionadas con la proteccin de los datos; Analizar e informar cualquier evento que atente contra la seguridad informtica, as como controlar peridicamente que solamente los usuarios autorizados posean acceso a los recursos. Operador Responsable Se establecen como Operadores Responsables de la informacin a: Los responsables de los archivos centralizados de la informacin en soportes (escritos en papel o electrnicos); Los responsables de los Centros de Procesamiento de Datos o de los sitios donde se encuentren los equipos de procesamiento centralizado, de comunicacin y/o de almacenamiento; Sus principales responsabilidades son: Implantar las medidas de seguridad fsica definidas para la proteccin de la informacin en la normativa correspondiente; 124
Disponer la efectiva custodia de las claves de mayor riesgo de los equipos/servicios/aplicaciones conservadas en medios impresos. Comit de Cambios Planificar, priorizar, autorizar y coordinar las tareas a realizar por los distintos involucrados ante la necesidad de realizacin de cambios de sistemas en produccin; Definir los criterios sobre los cuales se realiza la evaluacin de impacto y criticidad de los cambios; Liderar los procesos de cambio a realizar ante situaciones de emergencia; Evaluar peridicamente el registro de los cambios realizados en los sistemas de produccin, a fin de ajustar los criterios de evaluacin, planificacin y priorizacin de tareas. Usuarios Se considera como tales a todos los sujetos que hacen uso de los equipos, servicios y aplicaciones y de la informacin de la empresa, para poder cumplir con sus respectivas tareas. Son sus responsabilidades: Cumplir con todas las medidas de seguridad definidas en el Manual de Seguridad; Resguardar los soportes de informacin que conserven en su poder, segn lo establecido en el Procedimiento de Tratamiento de la Informacin; Firmar el Compromiso de Confidencialidad de la Informacin.
Implantacin de polticas para evitar ataques internos: [Huerta2000] Afirma que: el 80 % de los fraudes, robos, sabotajes o accidentes relacionados con los sistemas informticos son causados por el propio personal de la organizacin propietaria de dichos sistemas, lo que se suele denominar insider factor. Esto significa que la mayora de los ataques a los sistemas informticos son perpetrados por el propio personal que trabaja actualmente en la empresa, o que ha trabajado con anterioridad. Estas son personas con envidia, codicia o ex empleados que desean vengarse por haber sido despedidos, o por otras desconformidades. Las personas que trabajan en el rea de administracin de los sistemas, de redes o en desarrollo, tienen conocimiento de claves, formas de acceso, ubicacin de informacin crtica y hasta tienen conocimiento de las fallas y debilidades del sistema. Es por esto que se aconseja tomar medidas preventivas acerca de esta realidad: 125
Mnimo privilegio: A cada usuario se le debe otorgar el mnimo privilegio que necesita para realizar su actividad; Conocimiento parcial: Las actividades crticas de la organizacin deben ser conocidas y realizadas por varias personas competentes para que puedan respaldarse en caso de incidencias como accidentes o viajes. No centralizar el conocimiento de datos crticos en una sola persona, por ejemplo el conocimiento de la contrasea del administrador debe ser compartido con al menos 2 personas de confianza; Rotacin de funciones: Para evitar la complicidad de dos responsables, o evitar el mutuo sabotaje si estn enemistados; Separacin de funciones: La separacin de funciones es un mtodo usado para reducir el riesgo de mal uso, accidental o deliberado del sistema. Separar la gestin o ejecucin de ciertas tareas o reas de responsabilidad, a fin de reducir las oportunidades de modificacin no autorizada o mal uso de la informacin o los servicios; Evitar que una sola persona tenga la responsabilidad total de la seguridad de la empresa;
Implantacin de polticas de escritorios y pantallas limpias: Implementar una poltica de escritorios limpios para proteger documentos en papel y dispositivos de almacenamiento removibles para evitar robos, prdidas o dao de la informacin, y protegerla de desastres naturales. Implementar una poltica de pantallas limpias para reducir los riesgos de acceso no autorizado, prdida y dao de la informacin durante el horario normal de trabajo y fuera del mismo. Almacenar bajo llave los documentos en papel y los medios de almacenamiento cuando no estn siendo utilizados, especialmente fuera del horario de trabajo; Guardar bajo llave la informacin sensible o crtica de la empresa, especialmente cuando no hay personal en la oficina; No dejar conectadas las computadoras impresoras cuando estn desatendidas; personales, terminales e
Desconectar toda sesin activa cuando la terminal no verifique uso durante un perodo minutos de duracin (10, 15 o 30) e implantar medidas para bloquear las terminales desatendidas; 126
Proteger las computadoras personales, terminales e impresoras con cerraduras de seguridad, contraseas u otros controles cuando no estn en uso; Proteger los puntos de recepcin y envo de correo y las mquinas de fax y telex no atendidos; Bloquear las fotocopiadoras (o protegerlas de alguna manera del uso no autorizado) fuera del horario normal de trabajo; Retirar de la impresora inmediatamente la informacin sensible o confidencial, una vez impresa. Separacin de las instalaciones de desarrollo, de prueba y produccin: Es fundamental separar fsicamente las instalaciones de desarrollo, prueba y produccin para evitar confusiones, prdida de informacin y fallas en la confidencialidad de los datos. Se debe trabajar en instalaciones separadas que garanticen integridad en el ambiente de desarrollo, estabilidad en el ambiente de pruebas y confidencialidad en al ambiente de produccin u operacin. Se recomienda la separacin entre las instalaciones de desarrollo, pruebas y operaciones, a fin de reducir el riesgo de cambios accidentales o accesos no autorizados al software operativo y a los datos del negocio. Se deben tener en cuenta los siguientes controles: o o o o o o Ejecutar el software en desarrollo y en produccin en diferentes procesadores o en diferentes dominios o directorios; Separar las actividades de desarrollo y prueba; Prohibir el acceso a compiladores, editores y otros utilitarios del sistemas que estn operativos ( en produccin); desde los
Utilizar diferentes procedimientos de login para sistemas de prueba y en produccin, a fin de reducir el riesgo de error por parte de los usuarios; Recomendar a los usuarios la utilizacin de diferentes contraseas para estos sistemas; Definir las reglas para la transferencia de software desde el ambiente de desarrollo hacia el ambiente de prueba y al de produccin y documentarlas en el Manual de Procedimientos correspondiente segn lo indica la Poltica de Seguridad;
Establecimiento de un mtodo de registro del flujo de personal: Registrar fecha y hora de entrada y salida del personal, tal como se sugiere en 4.1.1.1 Proteccin de las Instalaciones.
Implantacin de medidas de proteccin para el transporte de activos:
127
o o o
Utilizar medios de transporte o servicios de mensajera confiables; Crear una lista de servicios de mensajera autorizados e implementar un procedimiento para verificar la identificacin de los mismos; Proteger el bien contra eventuales daos fsicos durante el trnsito con un adecuado embalaje, siguiendo las especificaciones de los fabricantes o proveedores; Adoptar controles especiales para proteger la informacin sensible contra divulgacin o modificacin no autorizadas; Por ejemplo: Usar recipientes cerrados; Entregar el Activo en mano; Cuando sea necesario, hacer una divisin de los bienes a enviar en ms de una entrega y enviarla por diferentes rutas; Usar una codificacin adecuada para rotular los paquetes, que no permita descifrar el contenido por personal no autorizado.
Proteccin de las operaciones de comercio electrnico: Las transacciones de comercio electrnico comprenden un intercambio de informacin delicada, como precios, nmeros de tarjetas de crdito, crdito disponible de un usuario, y otros datos personales como direccin, nmero de telfono, nmero de documento, y hasta preferencias personales. Todos estos datos pueden ser interceptados por intrusos que los modifiquen o simplemente saquen provecho de forma fraudulenta de esa informacin. Para prevenir el mal uso de nuestros datos, su manipulacin o modificacin, se debe hacer uso de herramientas y aplicar tcnicas que lo eviten. Estas tcnicas deben garantizar: o o o o o Autenticacin del cliente y el comerciante; Autorizacin para fijar precios, emitir o firmar los documentos comerciales; Confidencialidad, integridad y prueba de envo y recepcin de documentos clave y de no repudio de contratos en los procesos de oferta y contratacin; Confiabilidad y autenticacin en la informacin sobre precios y descuentos; Confidencialidad e integridad de los datos suministrados con respecto a rdenes, pagos y direcciones de entrega, y confirmacin de recepcin en las transacciones de compra; Verificacin de los datos del cliente; Cierre de la transaccin; Determinar la forma de pago ms adecuada para evitar fraudes; Confidencialidad e integridad de la informacin sobre rdenes de compra para evitar la prdida o duplicacin de transacciones; Definir la responsabilidad de las partes;
o o o o o
128
Determinar quin asume el riesgo de eventuales transacciones fraudulentas; Para implementar estas medidas se puede hacer uso de alguna de las siguientes herramientas: Firma digital; Encripcin de datos; Certificados digitales; IPSec; SET (Secure Electronic Transaction). El ES determinar, segn el caso, la forma ms adecuada de llevar a cabo esta tarea.
Proteccin del correo electrnico: o o Determinar cules son las cuentas no autorizadas para intercambio de correo; Determinar las consideraciones legales aplicables: Publicacin de direcciones corporativas; Filtrado de contenido de los mensajes; Necesidad de prueba de envo, origen, entrega y aceptacin; o Determinar las acciones aplicables a correo entrante al dominio para usuarios desconocidos;
Implantacin de un proceso de autorizacin para la publicacin de informacin electrnica de la empresa: o o A travs de la publicacin de pginas en Internet; A travs de la difusin de noticias y contenido en mensajes de correo electrnico;
Control de las operaciones de oficina: Las oficinas informacin intercambio correo de multimedia, manejan datos de una forma en que se propicia la divulgacin de y el intercambio de datos mediante el uso de documentos impresos, de archivos, computacin mvil, correo postal, correo electrnico, voz, mquinas de fax, comunicaciones telefnicas, servicios etc;
Se deben controlar: o o o o La autorizacin teleconferencias; de grabacin de comunicaciones telefnicas o
La forma en que se distribuye la informacin, por ejemplo a travs de comunicados generales o boletines corporativos; El proceso de recepcin de correspondencia y su distribucin; Restriccin en el uso de determinadas instalaciones; 129
Polticas de retencin y resguardo de informacin;
Persuadir a los empleados del intercambio discreto de informacin: En las oficinas se produce un continuo y hasta forzoso intercambio de informacin entre los empleados de la compaa y entre terceros; Se debe persuadir a los empleados el intercambio discreto de informacin, recomendndoles: o o o o No tratar temas confidenciales en comunicaciones telefnicas, en particular con telfonos mviles; No tratar temas confidenciales en lugares pblicos u oficinas de acceso comn; Tener especial cuidado con la informacin dejada en contestadores automticos ya que puede ser escuchada por personas no autorizadas; Tener especial cuidado al enviar mensajes por fax, ya que se puede enviar documentacin a un nmero errneo;
Reportar los incidencias: Crear un circuito que permita el reporte, registro y solucin de incidencias, as como la prevencin a partir de la Norma de Manejo de incidencias del Manual de Seguridad Informtica. Para ms detalles sobre el manejo de incidencias ver la etapa 6.1 de la MAEI.
Controlar los cambios: Mantener un control sobre los cambios realizados en el entorno, en equipos, en software y otros recursos. Para ello se recomienda seguir el procedimiento fijado en la Norma de Control de Cambios, y, para una fcil administracin de los cambios, referirse a la seccin 6.2 de esta metodologa.
3.2 APROBACIN DEL PLAN DE ASEGURAMIENTO

Una vez elaborado el plan de Aseguramiento, el cliente debe dar su aprobacin para su implantacin. Como todo proyecto, debe estar acompaado del apoyo del nivel gerencial y de los responsables directos involucrados.
130
El proceso de aprobacin variar segn las costumbres y polticas del cliente, pero en todos los casos va acompaado de la asignacin de un presupuesto a invertir en los recursos asignados en la planificacin.
131
IMPLANTACIN
Contenido: 4.1 Elaboracin del Relevamiento de Activos 4.1.1 Inventario de Activos 4.1.2 Ejemplo Inventario de Activos 4.1.3 Rotulacin de activos 4.1.4 Anlisis de Criticidades 4.2 Clasificacin de la Informacin 4.2.1 Identificacin de la informacin 4.2.2 Tipos de informacin 4.2.3 Beneficios de la clasificacin de la informacin 4.2.4 Riesgos de la informacin 4.3 Elaboracin/ adaptacin de la Normativa de Seguridad 4.3.1 Interiorizacin del experto con la poltica y negocio de la organizacin 4.3.2 Elaboracin/adaptacin de la Normativa de Seguridad 4.3.2.1 Poltica de Seguridad 4.3.2.1.1 Definicin 4.3.2.1.2 mbitos de aplicacin y personal afectado 4.3.2.2 Normas y Procedimientos 4.3.2.2.1 Definicin 4.3.2.2.2 Espectro de las Normas y los Procedimientos 4.3.2.2.3 Ejemplo - Normas y Procedimientos 4.3.2.3 Estndares, Esquemas y Manuales de usuarios 4.3.2.3.1 Definicin 4.3.2.4 Implantacin y uso de la Normativa de Seguridad 4.3.2.5 Convenio de Confidencialidad 4.3.3 Aprobacin de la Poltica de Seguridad 4.4 Publicacin de la Normativa de Seguridad 4.4.1 Implantacin de una campaa de concientizacin 4.4.2 Capacitacin de los usuarios
132
4.5 Implantacin del Plan de Aseguramiento 4.5.1 Implantacin a nivel fsico 4.5.2 Implantacin a nivel lgico 4.5.3 Implantacin a nivel de la organizacin 4.6 Elaboracin del Plan de Recuperacin del Entorno ante Desastres (PRED) 4.6.1 Establecimiento del escenario considerado 4.6.2 Determinacin de los tipos de operacin en una contingencia 4.6.3 Establecimiento de criticidades 4.6.3.1 Tabla de Criticidades por Equipo 4.6.3.2 Ejemplo - Tabla de Criticidades por Equipo 4.6.3.3 Tabla de Criticidades por Servicios 4.6.3.4 Ejemplo - Tabla de Criticidades por Servicios 4.6.3.5 Tabla de Criticidades por Aplicaciones 4.6.3.6 Ejemplo - Tabla de Criticidades por Aplicaciones 4.6.4 Determinacin de las prestaciones mnimas 4.6.5 Anlisis de riesgos 4.6.5.1 Probabilidad de ocurrencia de desastres 4.6.5.2 Determinacin de los niveles de desastre 4.6.6 Presentacin de las distintas estrategias posibles de recuperacin 4.6.7 Seleccin de la estrategia de recuperacin 4.6.8 Elaboracin de la estrategia de recuperacin 4.6.8.1 Mitigacin de riesgos Medidas preventivas 4.6.8.2 Descripcin de la estrategia 4.6.8.3 Requerimientos para llevar a cabo el Plan 4.6.8.4 Esquemas tcnicos 4.6.8.5 Formacin del Equipo de Recuperacin del Entorno ante Desastres (ERED) 4.6.8.5.1 Roles y responsabilidades 4.6.8.5.2 Asignacin de roles 4.6.8.6 Establecimiento de los procedimientos 4.6.8.6.1 Declaracin de la emergencia 4.6.8.6.2 Recuperacin de las prestaciones 4.6.8.6.3 Reestablecimiento de las condiciones normales
133
Culminadas las fases correspondientes a la primera parte de esta metodologa, el estudio del entorno, se da comienzo al segundo y ltimo grupo de fases llamado Implantacin de la solucin. Dentro de este grupo se encuentra la fase que da ttulo al presente captulo. En el mismo se desarrolla la implantacin de la solucin. En esta fase se lleva a la prctica lo planificado realizando los controles y ajustes necesarios segn lo relevado anteriormente. A su vez, y como en todo este trabajo, este captulo se divide en etapas que describen tareas. Se pretende llevar un orden en la ejecucin de las etapas aqu presentadas, pues es de particular importancia para seguir el razonamiento desarrollado en esta tesis. Las etapas a desarrollar son las siguientes: 4.1 Elaboracin del Relevamiento de Activos 4.2 Clasificacin de la Informacin 4.3 Elaboracin/adaptacin de la Normativa de Seguridad 4.4 Publicacin de la Normativa de Seguridad 4.5 Implantacin del Plan de Aseguramiento 4.6 Elaboracin del Plan de Recuperacin del Entorno ante Desastres
Cada una tiene un objetivo especfico e individual, que contribuye en parte a lograr el objetivo de la fase, que es la implantacin de las medidas de seguridad planificadas. El ES considerar la necesidad de implementar todas o alguna de las etapas propuestas, pero de hacerlo, deber respetar el orden sugerido ya que las tareas que se desarrollan alimentan muchas veces a otras que les siguen, aunque no necesariamente deben estar todas presentes. La Clasificacin de la Informacin no puede realizarse sin un relevamiento de los activos fsicos y lgicos de la Organizacin, aunque no es estrictamente necesario que se formalice esto en un inventario como se sugiere en la etapa 4.1. Tambin, para la elaboracin del Manual de Seguridad, en particular de ciertos procedimientos como los de manipulacin de equipos, el de transmisin de datos, el de borrado seguro de informacin, es necesario clasificar la informacin., y a su vez, para poder clasificar la informacin se debe contar con la Norma que establezca esa clasificacin.
134
Ms all de la interdependencia entre etapas, la fase debe interpretarse como una unidad en la que se pretende materializar las medidas planificadas para lograr el aseguramiento del entorno.
4.1 Elaboracin del Relevamiento de Activos.

Segn [IRAM17799] para mantener una adecuada proteccin de los activos de la organizacin se debe rendir cuentas por todos los recursos de informacin importantes y se debe designar un propietario para cada uno de ellos. En esta etapa de la MAEI el ES realiza un detallado relevamiento de los bines o activos en posesin de la organizacin objetivo. Para el desarrollo de esta tarea se presenta una tabla para la documentacin de la existencia de los recursos de hardware, software y la informacin de una empresa y su clasificacin, segn su criticidad. Este documento es el Inventario de Activos.
4.1.1 Inventario de Activos El Inventario de Activos aqu propuesto pretende llevar una contabilidad de los bienes de la organizacin en cuestin, clasificndolos segn el nivel de proteccin que cada uno necesita, segn la valorizacin de los responsables. Se har distincin entre los elementos fsicos o tangibles (como las instalaciones) y los lgicos o intangibles (como la informacin). Para este fin se propone la elaboracin de un Inventario de Activos Fsicos, y un Inventario de Activos Lgicos. El Inventario de Activos Fsicos contendr los siguientes elementos: Elementos de hardware: o o o Equipamiento informtico: monitores, mdems; Equipos de comunicaciones: routers, PABXs, hubs, switches, etc; Medios magnticos: cintas y discos removibles; 135
o o o o o
Perifricos: impresoras, mquinas de fax, contestadores automticos; Cableado: cables internos y externos; Otros equipos tcnicos: de suministro de electricidad como UPSs, acondicionado; Mobiliario, lugares de emplazamiento; Se har una distincin especial sobre las CPUs para facilitar su identificacin. aire
CPUs: Se establece una distincin del resto de los elementos de hardware para su fcil identificacin: o Procesadores, computadoras porttiles.
Asimismo, el Inventario de Activos Lgico contendr estos elementos:
Elementos de software: o o o o o Sistemas operativos; Software de aplicaciones; Software de sistemas; Herramientas de desarrollo; Utilitarios.
Servicios: o o o Servicios informticos; Servicios de comunicaciones; Servicios generales acondicionado). (calefaccin, iluminacin, energa elctrica, aire
Datos: o o o bases de datos; archivos; documentacin de sistemas: manuales de usuario, material de capacitacin, procedimientos operativos o de soporte, planes de continuidad, documentos de alcance, de diseo, de pruebas, etc.; informacin archivada.
Backups: Se hace especial mencin de los elementos de recuperacin de informacin, para su correcta administracin, actualizacin y control y como apoyo al documento de Administracin de Backups [3.1.2.4] 136
Estructura del Inventario de Activos
CDIGO
DESCRIP.
UBICACIN
RESP.
FECHA CREACIN
FECHA EXPIRACIN
CRITICIDAD
ESTADO
Descripcin de los campos CDIGO: Es el cdigo rotulador que se asignar a cada elemento que permitir identificar cada bien unvocamente, para su identificacin y seguimiento. Este rtulo se deber colocar a la vista en elementos fsicos (productos de hardware, cintas de backup, perifricos, etc) para su identificacin. Se establece para ello la siguiente clasificacin de elementos: Hardware CPUs Software Servicio Datos Backup notado HDW notado CPU notado STW notado SRV notado DAT notado BKP
La codificacin de los activos se realiza concatenando la sigla del tipo de elemento con un nmero correlativo creciente decimal de 4 dgitos. Por ejemplo: HDW0034: es el elemento de hardware nmero 34 BKP0102: es el backup nmero 102 NOTA: cabe destacar que este tipo de codificacin incrementa la seguridad, protegiendo los elementos de backup contra hurto, ya que el rtulo no se puede relacionar inmediatamente con la fecha de backup y la aplicacin sobre la cual se realiz la copia de seguridad, si no es mediante el presente documento, que establece una relacin nica entre el cdigo de activo y la descripcin.
137
DESCRIP.: es una descripcin del elemento en cuestin en la que se debe destacar marca del producto, y otros datos relevantes (como nmero de serie, etc) UBICACIN: Es la ubicacin fsica del activo. Para elementos de hardware, ser el piso, el sector, sala donde est ubicado. Para elementos de software ser la ubicacin lgica del archivo: servidor o PC con path completo en la unidad de hardware correspondiente. RESP.: Es la persona que se hace cargo del elemento cuando ocurre un incidente en el que est involucrado. FECHA CREACIN: Para elementos de hardware ser la fecha de compra del mismo, o la de fabricacin, y para los elementos de software se considerar la fecha de creacin de dicho archivo. Formato: dd/mm/aaaa FECHA EXPIRACIN: Frecuentemente, la informacin deja de ser sensible o crtica despus de un cierto perodo de tiempo, por ejemplo, cuando la informacin se ha hecho pblica. Para elementos de hardware este campo puede dejarse en blanco, salvo que el elemento sea alquilado y tenga una fecha de baja preestablecida, y para los elementos de software se considerar la fecha en que la informacin contenida en el archivo pierda validez, o se realice la depuracin correspondiente. Formato: dd/mm/aaaa CRITICIDAD: Indica el grado de proteccin que se le deber asignar al bien, segn la experiencia del Ingeniero o el valor asignado por el usuario. Este nivel de criticidad ser asignado en el Inventario de Activos una vez hecho el correspondiente Anlisis de Criticidades y la posterior Clasificacin de la Informacin. Por el momento, se sugiere dejar este campo vaco y completarlo una vez pasadas las etapas mencionadas. Para ms detalles en cuanto al Anlisis de Criticidades ver el apartado 4.1.2 de esta Tesis. Para la Clasificacin de la Informacin consultar la parte 4.2.
ESTADO: puede tomar tres valores:
138
A: Significa que el activo ha sido dado de alta y efectivamente forma parte del inventario actual de la organizacin; B: Indica que el activo existi, y fue dado de baja; M: El activo ha sido modificado (pero sigue en uso).
4.1.2 Ejemplo Inventario de Activos Inventario de Activos Fsicos
CDIGO HDW0001
DESCRIP.
UBICACIN
RESP.
FECHA CREACIN 12/2001
FECHA EXPIRACIN -
CRITICIDAD (011)
ESTADO A
Mouse serie Piso 9, sector Mara Logitech QA, cpu: Martinez HW0017 -------
--HDW0034 -------
--7/2003 -------
---------
--(021) -------
Router Cisco Piso 7, sector Manuel 8000 comunicaciones Belgrano -------------------
Inventario de Activos Lgicos
CDIGO BKP0102
DESCRIP.
UBICACIN
RESP. Juan Perez
FECHA CREACIN 20/05/2003
FECHA EXPIRACIN 20/06/2003
CRITICIDAD (233)
ESTADO B
Backup de HW0024 Srv01/exter no/proy5.m bd -----
--DAT0067
--Mara Lpez --Juan Perez
--14/12/2002
--14/12/2003
--(121)
Notas de CPU0002/d:/Lo logstica en gstica/Notas/ formato .doc -----
--BKP0106
--20/06/2003
--20/07/2003
--(233)
Backup de HW0024 Srv01/exter no/proy5.m bd -----
---
---
---
---
---
139
4.1.3 Rotulacin de activos Luego de la clasificacin de la informacin y de la elaboracin del inventario de Activos Lgicos y del Inventario de Activos Fsicos se procede a la identificacin de los activos por medio de rtulos o labels. La ventaja de llevar actualizado los inventarios es que de esta forma se pueden rotular los activos con el cdigo asignado en el Inventario, y no con la descripcin explcita. Este mecanismo es muy til para proteger la informacin contra hurtos y sabotajes. Un ejemplo claro es el caso de las cintas de backup. Si una cinta de backup contiene una indicacin clara de la informacin que contiene, su criticidad, la fecha en que se realiz, etc, es susceptible de ser un blanco de codicia por parte de intrusos hambrientos de informacin. Es mucho ms fcil para un delincuente extraer de la empresa una cinta de backup que una CPU, y ms fcil an que penetrar las barreras de seguridad lgica de la red. La forma en que se rotulen los activos puede ser muy variada, pero para hacer esto se deber desarrollar un estndar que indique claramente cmo se realizar esta identificacin, si se utilizar una nomenclatura distinta de la del inventario de Activos, para lo cual se deber establecer la relacin entre el cdigo registrado en el Inventario y el asignado al medio fsico. Esta prctica es la menos recomendada, ya que provoca confusiones, es ms laboriosa, se pierde integridad en la forma de manejar los indicadores, y est en riesgo la prdida de la transformacin que relaciona la descripcin del activo (entrada en el Inventario de Activos) y su rtulo, que es la identificacin asignada para su visualizacin fsica. Mucho ms prctico es utilizar el cdigo asignado en el Inventario de Activos que fue diseado con el fin de otorgar una descripcin al personal que maneja los bienes en su labor diaria, pero que no aporta informacin sobre su contenido y clasificacin a personas ajenas al manejo de estos cdigos.
4.1.4 Anlisis de Criticidades El anlisis de criticidades es el paso previo a la Clasificacin de la Informacin.
140
Para clasificar la informacin de acuerdo a algn rango establecido en primer lugar hay que establecer cun crtico es el activo en cuestin. La criticidad se puede expresar mediante la necesidad de conservar tres atributos: La autenticidad; La disponibilidad; La integridad.
Cada Dueo de los Datos debe analizar su informacin para proceder a su clasificacin, basndose principalmente en los perjuicios que pudiera ocasionarle a la Compaa objetivo y/o a su personal, el incumplimiento de alguno de los valores establecidos en la Poltica General. Dichos prejuicios pueden ser: sociales, legales, de imagen, polticos, econmicos y/o financieros. La clasificacin de la informacin debe estar sustentada por los siguientes criterios bsicos: El valor estratgico de la informacin para la Compaa; La ventaja competitiva que puede darles a terceros su conocimiento; Los criterios especficos que definan las autoridades de la Compaa; Las leyes y reglamentaciones vigentes.
Asimismo, el impacto y probabilidad de una prdida en seguridad se pueden clasificar en cuatro niveles: Nivel 3: Alto riesgo; Dao irreparable, Impacto a nivel corporativo de 2 a 5 aos. Es un objetivo de ataque de alta probabilidad; Nivel 2: Nivel 2: Dao Significativo. Impacto a nivel de pas de la empresa / sede hasta 2 aos. Es un objetivo posible. Nivel 1: Dao Moderado. A nivel departamental. Impacto de menos de 1 ao. Es un objetivo poco probable; Nivel 0: Ningn Dao. Con licencia completa. Dominio pblico. No es un objetivo de ataque.
Para establecer la criticidad del activo se sugiere la siguiente notacin, de uso comn en varias compaas internacionales: (Nivel de autenticidad, Nivel de disponibilidad, Nivel de integridad)
141
Cuanto mayor sea el nivel con que se clasifique la informacin, mayor ser el riesgo de la misma y por ende los controles que se ejerzan sobre ella para protegerla. Ejemplo: (0,1,3) implica que la informacin necesita garantizar una autenticidad mnima, un nivel moderado de integridad, y un alto requerimiento de integridad, por lo que se deber hacer hincapi en controles que garanticen este ltimo atributo.
4.2 Clasificacin de la Informacin

La Clasificacin de la Informacin de la Compaa debe estar alineada a la Poltica de Seguridad de la compaa, y se debe definir para cada una de las reas de negocio. El tratamiento de la Informacin debe responder a su clasificacin.
4.2.1 Identificacin de la informacin Los gerentes de las reas o de las divisiones, que son Dueos de los Datos, tienen la responsabilidad primaria de clasificar la informacin y protegerla adecuadamente. La clasificacin de datos y los procedimientos de manejo especial se usan para proteger los datos de divulgaciones no autorizadas. Cada Dueo de los Datos debe identificar toda la informacin que se genera dentro del rea que maneja, en todas sus formas y medios, tales como: documentos propios y/o de terceros; informacin en centralizados; los sistemas/equipos de procesamiento, individuales y/o
informes, reportes y listados; medios magnticos mviles; cualquier otro soporte fsico que contenga informacin.
La direccin de la empresa debe evaluar la probabilidad y el impacto producto de la divulgacin, modificacin y/o prdida de informacin, como base para determinar el valor de la informacin. Cada organizacin deber establecer las categoras adecuadas para la clasificacin de la informacin que maneja. En algunos casos manejar informacin confidencial, en otros ser restringida o pblica.
142
4.2.2 Tipos de informacin Existen muchos modelos de clasificacin de la Informacin, unos ms populares que otros. Es importante entender el negocio de la empresa objetivo para determinar el que ms se ajusta a su realidad. Entre los modelos ms utilizados est el siguiente, en el que la informacin se puede clasificar en tres categoras: Confidencial o Sensible: Informacin de acceso restringido, con alto grado de secreto, sobre la que tiene permiso un grupo reducido de usuarios (generalmente de alto rango jerrquico) sobre la que se deben realizar estrictos controles; Se trata de toda aquella informacin que puede presentar mayores riesgos para la Compaa, y que slo debe ser utilizada por el Dueo de los Datos y las personas expresa y directamente autorizadas por l en forma especfica. Por ejemplo: o o o Polticas de largo alcance; Frmulas crticas que no llevan proteccin de patentes; Planes de fusin y adquisicin.
Los generadores de este tipo de informacin, o el correspondiente Dueo de los Datos, deben proceder a clasificarla y salvaguardarla de acuerdo al Procedimiento de Tratamiento de Informacin. Adems, es necesario incluir en los registros de eventos, todos aqullos referidos a la actualizacin de esta informacin. Restringida: Informacin de acceso medianamente restringido (utilizada por usuarios de rango medio, empleados) sobre la que es necesario realizar suficientes controles para garantizar el acceso adecuado; Pblica: Informacin de acceso libre, sobre la que se realizan los mnimos controles (informacin disponible para la comunidad);
En otros casos, se utilizan modelos de ms niveles de detalle, en los que se incluyen, adems de los anteriores, los siguientes: Privada: relacionada con los individuos, tal como evaluaciones de desempeo, compensaciones y beneficios, carpetas personales o registros mdicos; 143
Uso Interno: relacionada con la operatoria diaria, como por ejemplo planes de viajes y reuniones, iniciativas de proyectos, distribucin fsica de usuarios y recursos, precios y demarcaciones.
4.2.3 Beneficios de la clasificacin de la informacin Mejora de forma continua la seguridad de la informacin; Establece los principales controles necesarios para evitar accesos externos o internos no autorizados a la informacin.; Brinda medidas de control para la proteccin de datos de carcter personal; Posiciona la utilizacin del correo electrnico e Internet como una herramienta de trabajo; Permite la identificacin de acciones indebidas en los sistemas; Promueve el buen uso y proteccin de las contraseas.
4.2.4 Riesgos de la informacin Para establecer una clasificacin es necesario realizar el paso previo segn esta metodologa, que consiste en hacer un anlisis de la criticidad de los Activos lgicos y fsicos. Ver 4.1.2 Anlisis de Criticidades. Asimismo, el Dueo de los Datos debe identificar los riesgos a los cuales est expuesta su informacin, teniendo en cuenta la posibilidad de que personal interno y/o externo realice: Divulgacin no autorizada; Modificacin indebida; Destruccin de los soportes.
4.3 Elaboracin/ adaptacin de la Normativa de Seguridad
4.3.1 Interiorizacin del experto con la poltica y negocio de la organizacin
144
Para la elaboracin o adaptacin de un adecuado Marco Normativo el ES debe interiorizarse con el manejo del negocio, la estructura de la organizacin, la jerarqua de la empresa y el manejo de los empleados, pero sobre todo debe interpretar y conocer la estrategia de la empresa y sus polticas implcitas sobre el manejo de la informacin. El ES deber evaluar la adecuacin de esas costumbres y sugerir los cambios necesarios para llevar a cabo las mejores prcticas de seguridad.
4.3.2 Elaboracin/adaptacin de la Normativa de Seguridad En esta etapa de la MAEI, el ES determinar si es conveniente hacer una adaptacin de la Normativa de Seguridad, si existiera, o si se inclina por la elaboracin de una nueva. La Normativa de Seguridad es el marco que regula el comportamiento de las personas en la empresa, su forma de trabajar y de efectuar las tareas que involucran los recursos del entorno informatizado. El conjunto formado por los documentos que componen la Normativa de seguridad es llamado Manual de Seguridad de la empresa. El Manual de Seguridad est formado por la Poltica de Seguridad, las Normas, los Procedimientos, los Instructivos y Estndares tcnicos. A continuacin se muestra un grfico que lo ilustra:
General Poltica de Seguridad
Normas
Particular 145
Procedimientos
Estndares
La Poltica de Seguridad es la ms general. Contiene los lineamientos y definiciones independientes de plataformas y tecnologas. Las Normas son tambin leyes pero ms puntuales que las polticas. Las Normas generalmente tratan temas especficos a alto nivel. Los Procedimientos, en cambio, bajan el nivel a una serie de pasos a seguir, siempre independientemente de la plataforma con que se trabaje. Los Esquemas, en cambio, son procedimientos dependientes de la tecnologa, por lo que se debe especificar la plataforma, sistema operativo o aplicativo para el que se deba aplicar. Finalmente, los Estndares tcnicos son documentos que describen la configuracin de cierto sistema, aplicacin o hardware. Por ejemplo se puede establecer un estndar tcnico para la configuracin de los servidores, para que cada vez que se de de alta a un nuevo servidor se garantice que siguiendo ese estndar se obtendr la misma configuracin de los dems servidores, ayudando a la automatizacin, por medio de scripts, de dicha configuracin. Para la elaboracin del Manual de Seguridad de la Informacin, que es el conjunto de documentacin que avala el Marco Normativo de una empresa, el ES debe realizar un relevamiento de aspectos organizativos y polticos, adems de los tcnicos. El ES deber descubrir la forma de comunicacin que maneja la empresa, sobre todo deber estudiar el lenguaje que emplea la alta gerencia para emitir sus comunicados detectando la forma gramatical que se utiliza para las expresiones imperativas y las enunciativas. Debe prestar especial atencin en esto, ya que la Poltica y las Normas son enunciadas con un carcter exclusivamente imperativo, ya que son leyes a cumplir algunas veces por gran parte del personal y en su mayora por todos. La forma en que se enuncien las oraciones ser crucial para las futuras auditoras, al momento de verificar el cumplimiento de las Normas. Como ejemplo, en la experiencia personal de la autora, se observ que en Espaa, pas que posee el mismo idioma que la Repblica Argentina, una manera comn de expresar obligatoriedad es utilizar el tiempo futuro simple, mientras que en la
146
Argentina se hace hincapi en la obligatoriedad de una enunciacin agregando las palabras se debe. El siguiente ejemplo lo ilustra: La frase: Se implementarn medidas de restriccin de acceso al CPD en Espaa expresa una clara obligatoriedad de implementar medidas de restriccin del acceso al CPD, mientras que en la Argentina esta misma frase podra ser interpretada como: En algn momento, alguien, implementar medidas de restriccin de acceso al CPD, mientras tanto no me preocupo yo por implementarlas. En nuestro pas, por tal motivo se utilizan frases del tipo: Se deben implementar medidas de restriccin de acceso al CPD para enfatizar la obligatoriedad de la Norma. Se debe tener presente al momento de escribir el Manual de Seguridad de una empresa, que estas leyes deben ser interpretadas y cumplidas por los usuarios, por lo que deben ser de fcil comprensin, simples y sintticas, sin ambigedades ni contradicciones. A continuacin se pasa a describir en detalle cada componente del Manual de Seguridad de la Informacin:
4.3.2.1 Poltica de Seguridad
4.3.2.1.1 Definicin La Poltica de Seguridad es un documento que establece las pautas, segn el enfoque de la organizacin, y su negocio, en cuanto a la gestin de la seguridad. La poltica de Seguridad contiene los principios de seguridad sobre los cuales deben basarse las normas, procedimientos y estndares detallados. Debe ser conocida y acatada por todos y cada uno de los miembros de la organizacin, y debe ser concebida bajo el total consentimiento y apoyo de la gerencia. Entre estos principios se encuentran: Eficacia: Garantizar que toda informacin que sea utilizada es necesaria y entregada de forma oportuna, correcta, consistente y til para el desarrollo de las actividades;
147
Eficiencia: Asegurar que el tratamiento de la informacin se realice mediante una ptima utilizacin de los recursos humanos y materiales; Confiabilidad: Garantizar que los sistemas informticos brinden informacin correcta para ser utilizada en la operatoria de cada uno de los procesos; Integridad: Asegurar que sea procesada toda la informacin necesaria y suficiente para la marcha de las actividades en cada uno de los sistemas informatizados y procesos transaccionales; Exactitud: Asegurar que toda la informacin se encuentre libre de errores y/o irregularidades de cualquier tipo; Disponibilidad: Garantizar que la informacin y la capacidad de su tratamiento manual y automtico, sean resguardados y recuperados eventualmente cuando sea necesario, de manera tal que no se interrumpa significativamente la marcha de las actividades; Legalidad: Asegurar que toda la informacin y los medios fsicos que la contienen, procesen y/o transporten, cumplan con las regulaciones legales vigentes en cada mbito; Confidencialidad: Garantizar que toda la informacin est protegida del uso no autorizado, revelaciones accidentales, espionaje industrial, violacin de la privacidad y otras acciones similares de accesos de terceros no permitidos; Autorizacin: Garantizar que todos los accesos a datos y/o transacciones que los utilicen, cumplan con los niveles de autorizacin correspondientes para su utilizacin y divulgacin; Proteccin Fsica: Garantizar que todos los medios de procesamiento y/o conservacin de informacin cuenten con medidas de proteccin fsica que eviten el acceso y/o utilizacin indebida por personal no autorizado; Propiedad: Asegurar que todos los derechos de propiedad sobre la informacin utilizada en el desarrollo de las tareas, estn adecuadamente establecidos a favor de sus propietarios; No Repudio: Garantizar los medios necesarios para que el receptor de una comunicacin pueda corroborar fehacientemente la autenticidad del emisor.
148
4.3.2.1.2 mbitos de aplicacin y personal afectado La Poltica de seguridad, junto con sus extensiones, como los Manuales de Procedimiento y Estndares de Seguridad, formaliza las medidas a implementar en los distintos mbitos determinados en el Alcance de la documentacin respectiva, y que afecta a: Personal efectivo del rea de sistemas; Personal efectivo de otras reas; Personal de mantenimiento; Externos (soporte de hardware, contratistas, etc); Pasantes; Consultores; Clientes.
4.3.2.2 Normas y Procedimientos
4.3.2.2.1 Definicin
Una Norma es toda definicin concreta sobre cada uno de los temas de seguridad que luego sern adaptados a cada servicio informtico en forma especfica. Un Procedimiento es toda especificacin de las pautas a seguir para el desarrollo de una tarea en particular. Incluye el desarrollo de instrucciones operativas y procedimientos apropiados de respuesta a incidencias y recuperacin de las prestaciones frente a una catstrofe. Ambos son independientes de la plataforma, y lo suficientemente genricos como para poder ser aplicados en distintos entornos. Las Normas y Procedimientos debern contener: Definicin de la seguridad de la informacin, sus objetivos y alcance generales; Declaracin del propsito de los responsables del nivel gerencial, apoyando los objetivos y principios de la seguridad de la informacin; Explicacin* de las Polticas, principios, Normas y requisitos de cumplimiento en materia de seguridad, que son especialmente importantes para la organizacin;
149
Definicin de los responsables en materia de gestin de la seguridad de la informacin: o o por nivel jerrquico; por rea o sector del negocio; Hardware; CPUs; Software; Servicios; Datos; Backups;
Definicin de los responsables sobre los activos afectados: o o o o o o
Definicin del procedimiento a seguir ante la ocurrencia de incidencias relativos a la seguridad; Referencias a documentos que puedan respaldar la poltica, por ejemplo: o o Estndares de Seguridad ms detallados para sistemas de informacin especficos o normas de seguridad que deben cumplir los usuarios; Instructivos que definen la forma de proceder ante la sucesin de ciertos eventos, la administracin de las contraseas, el uso de los recursos especficos y el manejo de los datos; Normativas internacionales.
*se especifica el modo de extender la seguridad al mbito tcnico.
4.3.2.2.2 Espectro de las Normas y los Procedimientos En un entorno informatizado se pueden generar Normas y Procedimientos en los distintos aspectos de la seguridad, haciendo foco en los niveles fsico, lgico y de la organizacin. Un Marco Normativo completo (y til) est compuesto por Polticas, Normas y sus respectivos Procedimientos, Instructivos y Estndares. En general, se puede elaborar la normativa abarcando los siguientes tpicos, siempre dependiendo del negocio y de la estructura de la organizacin objetivo:
A nivel fsico
150
Comunicaciones; Correo electrnico; uso de Internet; Uso de antivirus; Seguridad fsica; Seguridad del entorno, centros de cmputos (CPDs), oficinas, escritorios, etc. Backup; Separacin fsica de ambientes de procesamiento: controles y documentacin; Destruccin de Informacin; Destruccin de la informacin contenida en distintos soportes magnticos, borrado seguro y eliminacin de medios impresos. Utilizacin de equipos; Utilizacin de celulares; Recuperacin del Entorno ante Desastres; Administracin de la Seguridad de Acceso; Reinicio de sistemas; Para procesos crticos, de tiempo real o que poseen un lato nivel de disponibilidad, los cuales deben ser reiniciados bajo condiciones especficas y siguiendo procedimientos especiales.
Eliminacin segura de salidas de tareas fallidas; Se establecen las pautas para terminar procesos o tareas de las que dependen otras, o de las que se esperaba un resultado.
A nivel lgico Clasificacin y manejo de la informacin; Modo de procesamiento de los datos; Acceso a datos; Administracin de usuarios; Administracin de contraseas; Procedimiento de solicitud de permisos de usuarios; Desarrollo de software; Requerimientos de programacin (schedulling), incluyendo dependencias con otros sistemas, tiempos de inicio de primeras tareas y tiempos de terminacin de ltimas tareas; Separacin lgica de ambientes: requerimiento de metodologas de desarrollo de software, ciclo de vida; ABM Aplicaciones; Uso de Software;
151
Normas para el manejo de salidas (outputs), como el uso de papelera especial o la administracin de salidas confidenciales; Continuidad del procesamiento - Recuperacin del Entorno ante Desastres; Administracin de registros de eventos de auditora (logs); Conexiones a la LAN; Conexiones de Terceros; Accesos Remotos; Concientizacin y Capacitacin; Normas para usuarios; Criptografa; Seguridad en Bases de Datos; Administracin de la Seguridad de las Aplicaciones; Administracin de la Seguridad de la Red; Intercambio de archivos a travs de la red; Acuerdo de Confidencialidad.
A nivel de la organizacin Responsabilidades de Seguridad; Licencias legales de Software; Auditoria de Sistemas; Administracin y respuesta ante Incidencias; Denominacin de responsables sobre los activos de la empresa; Identificacin y registro de cambios en el sistema (ver 5.3 Control de Cambios); Procedimiento de aprobacin formal de los cambios propuestos; Comunicaciones a usuarios; Puestas Operativas: Reglas para la transferencia de software desde el ambiente de desarrollo hacia el ambiente de prueba y al de produccin; Procedimiento de ABM de usuarios.
4.3.2.2.3 Ejemplo Normas y Procedimientos Norma de Responsabilidades de Seguridad En un entorno informatizado donde se pretende implementar Normas y Procedimientos de a cuerdo a la Poltica de Seguridad vigente, es necesario definir el
152
equipo de recursos humanos responsable de hacer cumplir esto, de efectuar controles y capacitar a los usuarios en cuanto al uso y aplicacin de esta normativa. Los roles dentro de esta organizacin debern ser algunos de los siguientes: Dueo de los Datos; Oficial de seguridad; Administrador de seguridad, que puede estar dividido en: o o Administrador de Seguridad de Base; Administrador de Seguridad de Aplicaciones;
Operador Responsable; Auditor de Sistemas; Usuarios;
Norma de Administracin de Usuarios Una norma muy importante que jams debe faltar en ningn entorno informatizado es la que regula la administracin de usuarios. Esta norma es un marco para la creacin de nuevos usuarios, para la administracin de perfiles y la asignacin y modificacin de permisos y la baja de usuarios para establecer un adecuado control de acceso y as garantizar la autorizacin y confidencialidad de los datos. Establece, entre otras cosas, la administracin de: Usuarios de gestin, aplicacin y de servicios; Proceso de autenticacin por identificacin de usuario y contrasea; Caractersticas de las contraseas: o o o o o o o o o Cantidad mnima de caracteres; Cantidad mnima de caracteres distintos de la ltima contrasea; Cantidad mxima de caracteres repetidos; Cantidad mnima de caracteres alfabticos; Cantidad mnima de caracteres numricos; Cantidad mnima de caracteres especiales; Vida mnima de la contrasea; Vida mxima de la contrasea (expiracin); Cantidad de contraseas (o tiempo) que se deben utilizar antes de repetir una contrasea; 153
o o o
Cantidad de intentos fallidos de logueo antes de bloquearse la estacin de trabajo; Cantidad mxima de das de inactividad para el bloqueo del usuario; Cantidad mxima de das de inactividad para la baja definitiva del usuario;
Medidas de restriccin complementarias.
Procedimiento de ABM de Usuarios Requerimientos para dar de alta a una cuenta personal de usuario; Requerimientos para dar de alta a una cuenta no personal (para aplicaciones y servicios no se les permite tener logueo); Procedimientos para la modificacin de permisos de un usuario; Procedimientos para la eliminacin normal (por renuncia) de un usuario o o o Eliminacin de la entrada correspondiente en el archivo de contraseas; Eliminacin de la cuota de recursos en la Workstation utilizada; Restriccin de todos los permisos previamente otorgados en los sistemas operativos, en las bases de datos y en las aplicaciones;
Procedimientos para la eliminacin conflictiva (por despido) de un usuario.
Norma para Licencias legales de software Licencias a nombre de la compaa; Responsabilidades en la instalacin de software;
Norma de Comunicaciones/Correo electrnico y uso de Internet/ Antivirus Normas de buen uso; Utilizacin de herramientas exclusivamente para el desempeo de las funciones laborales; Restricciones; Responsabilidad del usuario sobre la informacin transmitida.
Norma de Backup Proteccin de los medios fsicos; Recupero de la informacin;
Procedimiento de Backups
154
Especificacin de la rotacin de los medios fsicos e inventario (uso del documento de administracin de backup); Operatoria y periodicidad; Autorizacin para recuperacin.
Norma de Ambientes de procesamiento Separacin de los ambientes de Desarrollo, Control de Calidad Preproduccin y Produccin; Segregacin funcional entre ambientes; Evaluacin de los controles y la seguridad. (QA),
Norma de Seguridad fsica Caractersticas mnimas de la estructura fsica; Caractersticas ambientales; Proteccin de la informacin guardada en soportes y equipos; Proteccin de los escritorios; Acceso restringido al CPD o Centro de Cmputos: o o o o o o o Verificacin de las condiciones fsicas del CPD; Registro de los incidencias ocurridos; Acompaados siempre de personal autorizado; Realizacin de sus tareas bajo supervisin; Registro de los motivos de la visita; Borrado de la informacin del equipamiento; Solicitud de autorizacin a los Responsables de Datos involucrados ante la imposibilidad de borrar la informacin.
Acceso al CPD por visitas:
Traslado de equipamiento fuera del CPD para mantenimiento:
Procedimiento de destruccin de Informacin Utilizacin de mquinas trituradoras de papeles; Destruccin definitiva de medios magnticos desechados (diskettes, CDs, etc); Borrado seguro de discos rgidos.
155
4.3.2.3 Estndares, Esquemas y Manuales de usuarios
4.3.2.3.1 Definicin Los Estndares de Seguridad son documentos ms detallados para sistemas de informacin particulares o equipos, que deban llevar a cabo los usuarios para el desarrollo de tareas especficas, cuyo seguimiento depende de la plataforma. Definen la parametrizacin de una aplicacin, sistema operativo o equipo. Su uso otorga el beneficio de la homogenizacin del ambiente, y facilita la automatizacin de tareas de instalacin y configuracin. Por ejemplo, se desarrolla un Estndar de Seguridad para la elaboracin de scripts que corran sobre bases de datos Oracle. Los Esquemas tcnicos y Manuales de Usuario son documentos que especifican la forma de llevar a cabo una tarea, la forma de implantacin de controles y procesos segn la Poltica de Seguridad, Norma o Procedimiento en que se basan, a un nivel ms bajo de detalle. Los Esquemas, Instructivos y Manuales de usuario dependen de la plataforma, y en general estn formados por una serie de pasos o instrucciones.
4.3.2.4 Implantacin y uso de la Normativa de Seguridad Para implantar el conjunto normativo de Seguridad Informtica se debe definir un plan de accin que contemple: Clasificacin de la informacin; Definicin de los dueos de la informacin; Definicin de los Responsables de Datos, Seguridad y Administradores; Publicacin de la Poltica, Normas, Procedimientos, Estndares, Esquemas y Manuales de usuario; Capacitacin de los usuarios finales e informticos en el tema; Adaptacin de sistemas operativos, servicios y aplicaciones; Creacin y actualizacin de inventarios, registros e informes (ver 4.2 Clasificacin de la informacin); Acondicionamiento fsico del Centro de cmputos y sitios donde se encuentren los equipamientos; Revisin del plan de copias de respaldo, medios fsicos y lugar en los que se conservan los mismos;
156
Creacin y/o adaptacin de los distintos ambientes de procesamiento.
4.3.2.5 Convenio de Confidencialidad Para las empresas que manejen informacin particularmente sensible para su negocio, se sugiere elaborar un documento que especifique las responsabilidades de los usuarios respecto del manejo y la publicacin de la informacin de la organizacin. Este documento deber detallar qu informacin es secreta y confidencial, el trato que se le debe dar, los requerimientos de control de acceso y las medidas a tomar si no se cumpliera con ellas. Los usuarios involucrados debern firmar este convenio cuando ingresan a la compaa, tanto los miembros de la nmina como los externos.
4.3.3 Aprobacin de la Poltica de Seguridad Luego de la elaboracin de la Poltica de Seguridad, sta debe ser validada con los responsables de referencia y aprobada por el nivel gerencial de la compaa. La aprobacin de los superiores de la empresa implica la autoridad para hacer cumplir lo dispuesto en el Manual de Seguridad, tanto en la Poltica como en las Normas Y Procedimientos. Como ya se explic anteriormente, el Manual de Seguridad est formado por la Poltica General de Seguridad con los lineamientos generales, las Normas con lineamientos ms especficos pero siempre a un nivel macroscpico, procedimientos a nivel de tarea y Manuales tcnicos, Estndares e instructivos que despliegan los procedimientos en detalle. De todos estos elementos es necesario realizar las correspondientes validaciones y consensos con los responsables que poseen en conocimiento de la tarea. La Poltica General debe ser aprobada, como bien antes se ha dicho, por el nivel gerencial de la organizacin. Las normas deben ser validadas por los responsables de las reas afectadas, pero no necesitan la aprobacin gerencial ya que stas se ajustan a los principios enunciados en la Poltica General, y conforman el instrumento por el cual se implementan tales lineamientos.
157
Los dems documentos normativos tcnicos, como Procedimientos, Estndares, Manuales de Usuario e Instructivos no necesitan validacin salvo la tcnica por parte de personal especializado. Toda la documentacin que conforma el Manual de Seguridad constituye una nica pieza normativa que debe ser consistente de arriba a abajo y debe cubrir todos los aspectos donde intervenga informacin computarizada del entorno en estudio.
4.4 Publicacin de la Normativa de Seguridad

Luego de la aprobacin correspondiente, se debe dar a conocer el Manual de Seguridad de la organizacin. En esta etapa se deben firmar los convenios de confidencialidad existentes y la confirmacin de lectura y conocimiento de las Normas por parte de los usuarios, si as se haya dispuesto. Es recomendable que esta etapa dispare el comienzo de la fase de concientizacin y capacitacin de usuarios como se sugiere en esta metodologa.
4.4.1 Implantacin de una campaa de concientizacin Para lograr el conocimiento del Manual de seguridad y su correcta interpretacin se debe realizar una campaa de concientizacin para que los usuarios adquieran los conceptos de Seguridad que se defienden a travs de la normativa, y comprendan la importancia de de su implantacin. La proteccin de la informacin debe convertirse en un factor cultural dentro de la empresa. Los usuarios deben incorporar los conceptos a su desenvolvimiento diario para realizar su trabajo cumpliendo con prcticas seguras de manera casi implcita. Para ello la campaa de concientizacin debe remachar en conceptos como la confidencialidad, la legalidad, la autorizacin, la informacin de incidencias, etc. Para lanzar una campaa de concientizacin se puede recurrir a herramientas de marketing, como publicacin de afiches, reparto de pines, elementos de escritorio y librera, mensajera masiva, publicacin de noticias, foros de discusin, cursos y seminarios, charlas informales y cafs inductivos que promuevan conceptos e 158
incentiven a la incorporacin de prcticas que lleven a la implantacin de la seguridad.
4.4.2 Capacitacin de los usuarios Adems de la concientizacin, se debe realizar una adecuada capacitacin de los usuarios que garantice que poseen los conocimientos mnimos para el manejo de la informacin y la implantacin de las medidas impuestas en las Normas de Seguridad vigentes. Es responsabilidad de la empresa y no de los usuarios en particular la capacitacin tcnica y administrativa correspondiente. El Manual de Seguridad de la organizacin, compuesto de la Poltica de Seguridad, las Normas y Procedimientos, Estndares tcnicos e Instructivos deben ser conocidos por todos los miembros de la empresa estn involucrados directamente con alguna de las responsabilidades de Seguridad o no. En particular, las personas que tienen asignados roles especficos de Seguridad, o que intervengan en el manejo de la informacin debern informarse de sus responsabilidades y derechos de la forma determinada en la Poltica, ya sea firmando un convenio de confidencialidad o firmando la lectura y aceptacin del marco Normativo de la Organizacin. En los casos en que sea preciso una capacitacin formal, como en los aspectos tcnicos, se debe garantizar la adquisicin de los conocimientos necesarios para poder implementar las Normas correspondientes, proveyendo a los usuarios de los medios educativos adecuados (cursos, manuales, bibliografa, etc)
4.5 Implantacin del Plan de Aseguramiento

En esta etapa se implantarn todas las medidas planificadas especialmente para el entorno objetivo, y especficamente en cada nivel estudiado: fsico, lgico y de la organizacin. Cada tarea desarrollada en esta etapa implica un perodo de pruebas o revisin de los controles efectuados. As, por ejemplo luego de efectuar una restriccin de permisos de usuarios se debe realizar una revisin sobre los accesos para verificar su correcta asignacin, y una prueba de acceso a los recursos para detectar excesos de autorizacin o restricciones que no permitan desarrollar el trabajo normal del usuario afectado. 159
Dado que un proyecto de esta clase puede tener una magnitud considerable en un entorno amplio, se sugiere realizar las revisiones y pruebas necesarias luego de finalizada cada subetapa, correspondiente a los niveles antes mencionados.
4.5.1 Implantacin a nivel fsico En el captulo 3 se estudiaron las soluciones posibles para los problemas de seguridad de los activos de nivel fsico, lgico y de la organizacin. La metodologa aqu propuesta invita a llevar a la prctica los controles seleccionados para obtener el nivel de seguridad deseado en el aspecto fsico. En esta parte se implanta la solucin correspondiente sobre los activos fsicos: Proteccin de las Instalaciones Se hacen efectivas las medidas planificadas sobre las instalaciones fsicas del entorno. Proteccin de los equipos Se implantan los procedimientos de proteccin sobre los equipos informticos. Revisiones y pruebas Luego de realizar los cambios o controles, se realizan las revisiones y pruebas pertinentes sobre equipos de procesamiento, equipos de comunicacin, dispositivos electrnicos, unidades de cinta, etc.
4.5.2 Implantacin a nivel lgico Aqu se implantan los controles sobre los activos lgicos de la organizacin: Proteccin de la informacin En esta parte se procede a proteger la informacin del entorno como activo fundamental del negocio. Proteccin del sistema operativo Se implantan medidas de proteccin en el software de base del sistema. 160
Proteccin de los datos Se establecen las medidas preventivas al menor nivel de granularidad de los activos lgicos: los datos. Revisiones y pruebas Una vez realizados los cambios o controles, se realizan las revisiones y pruebas sobre las aplicaciones, el software de base como sistemas operativos y bases de datos y los datos.
4.5.3 Implantacin a nivel de la organizacin Aqu se implantan los controles en la organizacin, en la estructura de la empresa, en las tareas y procesos, en los roles y responsabilidades asignadas. Proteccin de la organizacin Se realiza la implantacin de medidas correctivas y preventivas sobre la estructura de la organizacin, sobre los roles y responsabilidades de los individuos involucrados con el entorno, el comportamiento de los empleados en la oficina, etc. Revisiones y pruebas Siempre luego de realizar los cambios o controles, se realizan las revisiones y pruebas para asegurar un control interno adecuado, y que no surgieron incoherencias generadas por las medidas aplicadas.
4.6 Elaboracin del Plan de Recuperacin del Entorno ante Desastres (PRED)
El Plan de Recuperacin del Entorno ante Desastres, en adelante PRED, tiene como objetivo detectar los riesgos presentes en el entorno, analizar su probabilidad de ocurrencia, establecer su criticidad segn cmo afectan la continuidad del negocio, y finalmente proponer un plan que logre mitigar en cierta medida estos riesgos, y que permita la recuperacin de la disponibilidad de los recursos lgicos, fsicos y humanos para mantener la continuidad del proceso del negocio. Muchas veces desastres naturales o accidentes, como incendios, inundaciones, hasta cortes en el suministro de energa elctrica provocan prdidas enormes no slo a nivel de bienes, sino prdidas provocadas por la interrupcin del negocio. 161
Hoy en da el negocio es ms y ms dependiente de la informtica, ya que la mayora de las empresas tiene sus sistemas productivos y financieros automatizados y computarizados. De esta forma es crucial contar con un plan para sostener el flujo de los negocios ante emergencias que imposibiliten el uso de los recursos de computacin o del entorno completo. En esta tesis se utilizarn indistintamente los trminos emergencia, contingencia y desastre. Por lo tanto, el hecho de utilizar la palabra contingencia no indica menor gravedad que las situaciones en las que se referencia al hecho acontecido como un desastre. El PRED contiene las siguientes partes: Establecimiento del escenario considerado; Determinacin de los tipos de operacin en una contingencia; Establecimiento de criticidades: o o o Criticidades por equipo; Criticidades por servicios; Criticidades por aplicaciones;
Determinacin de las prestaciones mnimas; Anlisis de riesgos: o o Probabilidad de ocurrencia de desastres; Determinacin de los niveles de desastre;
Presentacin de las distintas estrategias posibles de recuperacin; Seleccin de la estrategia de recuperacin; Elaboracin de la estrategia de recuperacin: o o o o Mitigacin de riesgos Medidas preventivas; Descripcin de la estrategia; Requerimientos para llevar a cabo el Plan; Esquemas tcnicos con pasos a seguir; Roles y responsabilidades; Asignacin de roles; Declaracin de la emergencia; Recuperacin de las prestaciones;
Formacin del Equipo de Recuperacin del Entorno ante Desastres (ERED): o o
Establecimiento de los procedimientos: o o
162
Reestablecimiento de las condiciones normales.
A continuacin se detallar cada una de las partes que componen el PRED.
4.6.1 Determinacin del escenario considerado Se deber hacer un relevamiento de: Las condiciones fsicas del entorno; Los servicios y aplicaciones existentes; Los equipos presentes; o o o o Los servidores; Los elementos de backup; Los elementos de almacenamiento de datos; Los elementos de comunicaciones.
4.6.2 Determinacin de los tipos de operacin en una contingencia Los principales tipos contingencia son: de operaciones considerados ante una situacin de
Operacin normal inicial: es la operatoria que se registraba antes de ocurrir el desastre. Asimismo, define las condiciones que se deben alcanzar como objetivo final mediante la ejecucin del Plan De Recuperacin Del Entorno Ante Desastres; Operacin alternativa: mientras se trabaja en la recuperacin de las prestaciones afectadas por la contingencia, los usuarios debern utilizar una operatoria alternativa, constituida fundamentalmente por procesos manuales, durante la cual se genera informacin. A partir del momento en que los servicios y aplicaciones estn disponibles, existe un tiempo de catch up o actualizacin de la informacin del sistema, en el cual se ingresan las novedades ocurridas desde la ocurrencia de la emergencia; Operacin normal en desastre: mediante la ejecucin de los procedimientos que reciben el nombre de Recuperacin de las prestaciones, se llega a esta instancia en la cual todos los servicios y aplicaciones han sido recuperados, pero no se encuentran ejecutando en su lugar original o bajo las mismas condiciones en que se encontraba originalmente. Al finalizar el proceso de actualizacin de la informacin o catch up, se considera que se ha llegado a la operacin normal en desastre. El tiempo desde la declaracin de la emergencia hasta que se alcanza la operacin normal en desastre no debe ser superior a los tiempos mximos tolerables de suspensin definido para cada una de las prestaciones. 163
Operacin normal reestablecida: mediante la ejecucin de los procedimientos que reciben el nombre de Reestablecimiento de las condiciones normales se alcanza esta ltima instancia, en la cual todos los servicios y aplicaciones se encuentran ejecutando correctamente y bajo las mismas condiciones que presentaba antes de la contingencia. Para alcanzar este tipo de operacin, es posible que haya que considerar una suspensin programada de alcance total o parcial de las prestaciones, para lo cual es necesario acotar el tiempo de interrupcin al mnimo indispensable, y que preferentemente sea imperceptible por los usuarios.
Bajo este esquema y considerando a modo de ejemplo una contingencia producida por una falla tcnica en el disco local de un servidor de archivos, los eventos que definen cada una de las operaciones son: Operacin normal: es la operacin del servidor utilizando su disco local; Operacin alternativa: los usuarios almacenan los nuevos archivos en el disco local hasta tanto se habilite un lugar de almacenamiento central. En el momento en que se recupere las prestaciones del servidor de archivos, como parte del proceso de actualizacin de la informacin o catch up, los archivos distribuidos se copian en el sitio habilitado; Operacin normal en desastre: se considera desde el momento en que la informacin del disco local del servidor se encuentra copiada en un disco de la cabina, la unidad ha sido montada en el servidor y todos los archivos generados durante la operatoria alternativa ha sido copiado en el sitio central. Adicionalmente, a partir de la declaracin de la emergencia, se debe realizar el reclamo al servicio tcnico del proveedor del servidor, para que repare o reemplace el disco que ha fallado; Operacin normal reestablecida: se alcanza esta operatoria en el momento en que el servidor nuevamente utiliza su disco local;
4.6.3 Establecimiento de criticidades En funcin del impacto producido por la suspensin de las prestaciones del entorno informatizado, se determina la criticidad y el tiempo mximo de tolerancia de corte de las mismas. A continuacin se presenta el anlisis realizado desde la perspectiva de los equipos y desde el punto de vista de servicios y aplicaciones. Los documentos que registran las criticidades los organizamos en tablas llamadas: Tabla de Criticidades por Equipo, Tabla de Criticidades por Servicios y Tabla de Criticidades por Aplicaciones. 164
4.6.3.1 Tabla de Criticidades por Equipo.

Sistema Operativo Tolerancia Mxima
Equipo
Funcin
Impacto
4.6.3.2 Ejemplo - Tabla de Criticidades por Equipo.

Sistema Operativo de Solares 9 1 da Tolerancia Mxima
# 1
Equipo DBBA
Funcin Bases datos
Impacto Perdida de imagen pblica Reprocesamiento de formularios cargados manualmente
DBCH
Bases datos Bases datos
de Solares 9 de Solares 9 2 semanas 1 semana
Prdida / inconsistencia de informacin Prdida / inconsistencia de informacin
DBCH2
4.6.3.3 Tabla de Criticidades por Servicios.

# Servicio Criticidad Perodo crtico Procedim. Alternat. Parada Mxima Plataf. Usuarios
165
4.6.3.4 Ejemplo - Tabla de Criticidades por Servicios.

# Servicio 1 Servidor de Archivos Criticidad Media Perodo crtico Cierre a fin de mes Procedim. Alternat. Guardar los archivos en las PC locales Toma de pedidos telefnicos Parada Mxima 1 semana Plataf. Novell Netware 5.0 Windows 2000 Usuarios Todos
Correo electrnico Lotus Domino Server
Alta
Todos das
los
1-2 das
Compras, ventas, despacho.
166
4.6.3.5 Tabla de Criticidades por Aplicaciones

# Aplicacin Proveedor Plataforma Descripcin Criticidad Perodo Crtico Parada Mxima Proced. Alternt Interdependencias Usuarios
4.6.3.6 Ejemplo - Tabla de Criticidades por Aplicaciones.

# 1 Aplicacin MANTEC Proveedor Datastream Plataforma Windows NT para la publicacin de la aplicacin de la Base de Datos Oracle. Windows NT para la publicacin de la aplicacin.n de la aplicacin.Ba se de Datos Oracle. Descripcin Sistema de mantenimient o preventivo de maquinas. Criticidad Media Perodo Crtico Fin de mes Parada Mxima 2 das Proced. Alternt --Interdependencias Usuarios Almacn, procesos, Mantenimiento.
SUMTEC
Datastream
Sistema de manejo de repuestos de almacn.
Media
1 da
Pedidos de respuestos manuales.
Almacn, procesos, Mantenimiento.
167
4.6.4 Determinacin de las prestaciones mnimas Ante una situacin de desastre se debe tener en claro cul debe ser la prestacin mnima que debe recuperarse de manera prioritaria, para preservar la continuidad del negocio. Asimismo se debe estimar el tiempo mximo para recuperar esta prestacin.
4.6.5 Anlisis de riesgos En esta etapa se analizan los riesgos presentes en el entorno como se ha explicado en la fase 2 de esta metodologa, para determinar qu riesgos se pueden mitigar, cules se pueden transferir y cules se deben asumir.
4.6.5.1 Probabilidad de ocurrencia de desastres Los riesgos considerados para el plan de recuperacin ante desastres, son aquellos que presentan una probabilidad de ocurrencia no despreciable en funcin de las caractersticas del entorno: Ubicacin geogrfica; Caractersticas meteorolgicas de la regin; Caractersticas generales del edificio; Condiciones ambientales; Equipamiento alojado; Condiciones de acceso; Condiciones de las oficinas contiguas.
4.6.5.2 Determinacin de los niveles de desastre En funcin del impacto producido por una contingencia, se definen 3 grandes tipos de desastres: Total o Mayor: En el caso en que: o El lugar fsico no pueda disponerse por un perodo mximo tolerado para la interrupcin de las prestaciones mnimas. 168
El tiempo que demoran las tareas de reestablecimiento de todas o algunas de las prestaciones sea mayor al perodo mximo aceptable.
Parcial: En el caso en que: o Los equipos han sufrido daos menores que permiten su funcionamiento parcial o sus prestaciones pueden ser realizadas por otros equipos, y es necesaria la accin de alguien externo (proveedores, mantenimiento, etc.)
Menor: En el caso en que: o Los desperfectos se solucionan mediante la reinstalacin y/o reconfiguracin de los equipos, y por lo tanto no es necesaria la accin de alguien externo para superar la situacin de emergencia.
4.6.6 Presentacin de las distintas estrategias posibles de recuperacin En esta etapa el ES analiza las distintas alternativas que aporten solucin al problema, teniendo en cuneta todo el anlisis anterior.
4.6.7 Seleccin de la estrategia de recuperacin El ES presenta las distintas alternativas al cliente quin decide por cul opta.
4.6.8 Elaboracin de la estrategia de recuperacin La estrategia de recuperacin deber ofrecer medidas preventivas y de mitigacin de los riesgos existentes, adems de la estrategia de recuperacin de las prestaciones.
4.6.8.1 Mitigacin de riesgos Medidas preventivas La estrategia de recuperacin supone la realizacin de acciones de mitigacin de los riesgos considerados en el anlisis correspondiente, las cuales deben considerar las actuales condiciones de redundancia y tolerancia a fallas existentes, por ejemplo: Realizar pruebas peridicas de recuperacin de las cintas de backup; 169
Almacenamiento de cintas de backups adicionales en locaciones externas al edificio del entorno analizado; Generacin peridica de backups en medios de recuperacin universal (cintas DAT).
4.6.8.2 Descripcin de la estrategia En esta parte el ES describe detalladamente la estrategia seleccionada por el cliente, y especifica las medidas a tomar para la eficaz recuperacin del entorno, luego de un desastre. Cada estrategia depender pura y exclusivamente del entorno informatizado en estudio, y del Alcance del Plan. Muchas empresas suelen implementar el PRED en varias etapas, comenzando por ejemplo por los servidores de datos, continuando por las aplicaciones, luego las comunicaciones y el Centro de Cmputos (CC) o Centro de Procesamiento de Datos (CPD), o Data Center (DC). Otras, en cambio, deciden hacer un solo plan completo en una fase, que abarque todos sus bienes y activos fsicos y lgicos. Lgicamente esta es una decisin empresarial, influenciada fuertemente por el presupuesto de la empresa y los lmites de tiempo. El PRED suele ser requerido por auditoras, por lo que a veces el cliente se ve presionado por las fechas y se decide dejar ciertos elementos fuera del Alcance. En general, en la descripcin de la estrategia se definirn las medidas a tomar para la recuperacin del entorno, como por ejemplo: Creacin de un Equipo de Recuperacin del Entorno ante Desastres (ERED) con responsabilidades y conocimientos especficos que actuar ante las situaciones de contingencia; Recuperacin de las prestaciones de los elementos afectados por una contingencia utilizando la redundancia existente; Utilizacin de un CPD alternativo con un servidor de contingencia para la recuperacin de la aplicacin ms crtica en caso de un desastre mayor; Exigencia del cumplimiento de los tiempos de respuesta especificados en los contratos de soporte con proveedores de hardware.
4.6.8.3 Requerimientos para llevar a cabo el Plan
170
Los requerimientos conforman una gua de las principales caractersticas y condiciones que deben cumplir los elementos sobre los cuales versa el documento, a fin de ser utilizados en procedimientos de mantenimiento y auditora. Los documentos desarrollados establecen las condiciones de: Caractersticas fsicas del Centro de Cmputos alternativo, si la estrategia requiriera la instalacin de un CPD alternativo para la recuperacin; Caractersticas fsicas de los equipos de recuperacin, si la estrategia implicara la compra de equipos de contingencia; Miembros del Equipo de Recuperacin ante Desastres;
4.6.8.4 Esquemas tcnicos Los esquemas definen pasos generales a seguir de manera operativa para la ejecucin de una determinada tarea. La ejecucin de dichos pasos supone el conocimiento tcnico de la tarea que se est realizando y tiene por objetivo brindar un marco integral de rpida referencia. Algunos de los esquemas a desarrollar son: Activacin del CPD alternativo; Recuperacin de equipos; Reestablecimiento de servidores; Reestablecimiento de bases de datos; Reestablecimiento de Aplicativos; Ejemplos de notificacin de la emergencia.
4.6.8.5 Formacin del Equipo de Recuperacin del Entorno ante Desastres (ERED) El ERED tiene como fin determinar y asignar distintas responsabilidades para lograr una exitosa recuperacin del entorno ante una emergencia, segn el Plan (PRED) establecido. Para ello se establecen ciertas pautas que las personas que lo componen deben cumplir: 171
4.6.8.5.1 Roles y responsabilidades El Equipo de Recuperacin del Entorno ante Desastres tiene las siguientes responsabilidades: Definir las medidas preventivas necesarias y factibles de aplicar, a fin de disminuir la probabilidad de ocurrencia de desastres; Definir, probar, ajustar y mantener actualizado el Plan de Recuperacin del Entorno ante Desastres; Ante un desastre que afecte al Centro de Cmputos debe: Recuperar las prestaciones en el menor tiempo posible y dentro de los plazos mximos establecidos; Reestablecer las condiciones normales que se presentaban antes del desastre; Analizar las causas del desastre y la forma en que se ha procedido a fin de emitir un informe y modificar las medidas preventivas y plan de recuperacin en funcin de las conclusiones.
A su vez, el ERED est compuesto por sub-equipos con distintas obligaciones. Estos equipos son: Equipo de direccin estratgica y coordinacin [EDEC] Equipo de recuperacin de hardware [ERH] Equipo de recuperacin de software [ERS] Equipo de recuperacin de comunicaciones [ERC] Equipo de comunicaciones a usuarios [ECU]
Grficamente el Equipo de Recuperacin del Entorno ante Desastres se esquematiza de la siguiente forma:
172
ECU
ERC
EDEC
ERS
ERH
Equipo de direccin estratgica y coordinacin Las responsabilidades de este equipo son: Dirigir y coordinar las actividades del resto de los equipos que conforman el Equipo de Recuperacin del Entorno ante Desastres; Realizar las declaraciones de los distintos estados: emergencia, contingencia y reestablecimiento de las condiciones normales; Determinar el nivel de desastre producido por una contingencia: total o mayor, parcial, menor; Elaborar los planes de recuperacin de las prestaciones y reestablecimiento de las condiciones normales; Controlar la ejecucin de los planes, detectar desvos y realizar los ajustes de los planes en funcin de los inconvenientes, problemas y errores hallados durante la aplicacin de los mismos; Interactuar con personal de mantenimiento para la resolucin de contingencias fsicas del Centro de Cmputos.
Equipo de recuperacin de hardware Las responsabilidades de este equipo son: Identificar los elementos de hardware que hayan sido daados por una contingencia; Coordinar con los proveedores de hardware el cumplimiento de los contratos de mantenimiento, garantas y niveles de soporte; Participar en las instalaciones de sistemas operativos que realicen los proveedores;
173
Verificar el correcto funcionamiento de los elementos de hardware que hayan sido restaurados o reemplazados por los proveedores.
Equipo de recuperacin de software Las responsabilidades de este equipo son: Identificar los servicios, procesos, bases de datos y aplicaciones que hayan sido afectados por una contingencia; Instalar, configurar y ajustar todo el software que haya sido afectado por una contingencia.
Equipo de recuperacin de comunicaciones Las responsabilidades de este equipo son: Identificar los elementos de comunicaciones que hayan sido daados por la contingencia; Detectar los problemas de conectividad de los equipos del CPD y determinar las causas; Coordinar con el responsable los cambios que haya que realizar en las comunicaciones que no sean internas del Centro de Cmputos para que los usuarios puedan seguir utilizando las prestaciones ; Verificar el correcto funcionamiento de los elementos de comunicaciones y la conectividad general para que los usuarios puedan acceder a los recursos del CPD.
Equipo de comunicaciones a usuarios Las responsabilidades de este equipo son: Participar en la generacin de las comunicaciones oficiales a usuarios ante contingencias, recuperacin de prestaciones, demoras incurridas que invaliden o modifiquen lo comunicado anteriormente y el reestablecimiento de las condiciones normales; Realizar las comunicaciones a los usuarios internos.
4.6.8.5.2 Asignacin de roles
174
Luego de determinar las caractersticas de los quipos de recuperacin, el cliente debe designar recursos humanos para cubrir todos los roles, teniendo en cuenta que una persona no puede formar parte de ms de dos equipos.
4.6.8.6 Establecimiento de los procedimientos Ms all del alcance del PRED, se deben especificar procedimientos claros que ayuden a alcanzar el reestablecimiento de las condiciones normales del entorno informatizado. Los principales procedimientos a definir son:
4.6.8.6.1 Declaracin de la emergencia Abarca desde la deteccin del desastre hasta que el mismo es comunicado a los afectados; Durante el mismo no se procede a recuperar nada, simplemente se evala los daos causados; Se encuentra conformado por los siguientes sub-procedimientos: o o o Respuesta inicial ante la deteccin de un siniestro o contingencia; Evaluacin del nivel de desastre; Notificacin de la emergencia.
4.6.8.6.2 Recuperacin de las prestaciones Consta bsicamente del diseo y ejecucin del plan de recuperacin de las prestaciones, conforme a lo acontecido; Contempla la aparicin de imprevistos que puedan alterar o modificar el plan inicialmente armado; Se encuentra conformado por los siguientes sub-procedimientos: o o o Definicin del plan de recuperacin de las prestaciones; Ejecucin del plan; Ajustes al plan.
175
4.6.8.6.3 Reestablecimiento de las condiciones normales Consiste en el diseo y ejecucin del plan de reestablecimiento de las condiciones normales de operacin, finalizando con el anlisis de la situacin ocurrida a fin de ajustar el PRED en funcin de los errores, demoras e inconvenientes acontecidos, as como tambin la posible toma de nuevas medidas preventivas; Se encuentra conformado por los siguientes sub-procedimientos: o o o Definicin del plan de reestablecimiento de las condiciones normales; Ejecucin del plan; Evaluacin y anlisis de la contingencia.
176
ESTABILIZACIN
Contenido: 5.1 Anlisis de resultados 5.2 Ajuste 5.3 Cierre de la implantacin 5.4 Capacitacin de usuarios 5.4.1 Tcnicas para la capacitacin de usuarios
177
En el captulo anterior se describieron las medidas a implantar para asegurar el entorno, a partir del estudio del mismo y de la elaboracin del Plan de Aseguramiento. En esta fase se realiza un estudio con el objeto de verificar la obtencin de los resultados esperados de la implantacin anterior, y la realizacin de los ajustes necesarios para estabilizar el entorno. Todo cambio genera ms cambios, y en particular esta metodologa, al abarcar todos los niveles de estudio del entorno (fsico, lgico y organizacional) hace que todos los mbitos de la empresa objetivo se vean afectados por el proyecto en mayor o menor medida. Es por eso que en esta etapa uno de los objetivos es verificar la evolucin del entorno a partir de los cambios propuestos, y realizar los ajustes necesarios para corregir errores, adecuar los controles y minimizar las diferencias entre el Plan y la Implantacin de la solucin.
5.1 Anlisis de resultados.

Dentro del proyecto de Aseguramiento del entorno informatizado, el ES debe considerar un tiempo para realizar el balance respecto de la efectividad y adecuacin de los cambios implantados en el entorno y evaluar la necesidad de realizar ajustes. Todo Plan sufre cambios continuos a travs del tiempo, que deben acompaar la transformacin del entorno. Estos cambios deben ser considerados dentro del Plan de Aseguramiento, en los distintos modelos propuestos para cada etapa. En particular los modelos que debern revisarse al menos una vez por ao para su adaptacin a los cambios son: Informe de Riesgos; Mapa de Usuarios; Mapa de Red; PRED.
Requiriendo los dems modelos presentados en esta Tesis pero no mencionados en este apartado una contnua adaptacin a travs de la vida del Entorno.
178
5.2 Ajuste
La etapa de ajuste est dedicada a realizar ajustes sobre el Plan de Aseguramiento segn los resultados obtenidos y analizados en la etapa anterior de esta misma fase y los inconvenientes o nuevos requerimientos que pudieran surgir en la etapa de implantacin. Un proyecto como el que aqu se presenta puede tomar gran envergadura y desarrollarse en un tiempo prolongado durante el cual el entorno sufrir modificaciones inherentes a la vida de los sistemas, por lo que puede surgir la necesidad de ajustes en ciertos aspectos de seguridad. Tambin, a medida que se implantan los controles para asegurar el entorno, surgen nuevos requerimientos susceptibles a ser considerados en una segunda etapa de Aseguramiento. Se debe considerar siempre en esta disciplina que los avances cientficos son muy rpidos, y se deben considerar las nuevas soluciones tecnolgicas ofrecidas en el mercado, que pueden traducirse, muchas veces, en cambios funcionales y en las tcnicas procedimentales de implantacin. Los puntos de control que necesiten cambios, mejoras o los que surjan durante el proyecto se tomarn en cuenta para completar y adaptar el Plan de aseguramiento para una segunda implementacin, delimitando nuevamente su Alcance, que podr reducirse a aplicar solamente los cambios surgidos en esta etapa para lograr un completo aseguramiento del entorno.
5.3 Cierre de la implantacin.

El cierre de la implantacin se debe realizar cuando se concluyeron los ltimos controles que constituyen el Plan de Aseguramiento y concluidas las etapas de concientizacin y capacitacin de usuarios. Como todo cierre de proyectos, es recomendable realizar un balance del trabajo y presentar los resultados al sector responsables de la empresa objetivo. Un informe ejecutivo es un informe resumido los objetivos fijados al comienzo del proyecto y los objetivos logrados, de los conceptos manejados y la forma en que se obtuvieron los resultados.
179
5.4 Capacitacin de usuarios.

Se deber adaptacin sistema y comprenda capacitar a los usuarios para la correcta interpretacin y su natural a los cambios implementados en el entorno, para su insercin en el su normal desarrollo de actividades, y por sobre todo para que la importancia de los cambios realizados y de su mantenimiento.
Se debe convencer al usuario de la importancia de su colaboracin en el esfuerzo de mantener el entorno seguro. Asimismo, se le debe informar de las nuevas reglas y/o polticas de la organizacin, la forma de trabajar para que su labor no interfiera ni perjudique el esfuerzo implicado en el proyecto de aseguramiento, los procedimientos a usar para revertir situaciones o manejar catstrofes, etc. Se deber dejar constancia de que el usuario fue informado respecto de las Polticas de Seguridad, y su completa comprensin, y su conformidad respecto de su cumplimiento.
5.4.1 Tcnicas para la capacitacin de usuarios: Presentaciones grupales; Manuales y folletos; Cursos; Coaching (un usuario experimentado capacita a un usuario inexperto); Mesa de ayuda; Teleconferencias; Comunicados.
En todos los casos, se recomienda generar confianza de los usuarios en la persona encargada de la capacitacin. Se sugiere encargar esta tarea a un empleado carismtico y emprendedor, predispuesto y que tenga una buena relacin interpersonal con sus pares. Para todas las tcnicas de capacitacin aqu presentadas, y las que se escapan a este trabajo, se sugiere contar con una fuerte documentacin que pueda ser consultada por los usuarios, acompaada por grficos y todo tipo de material que colabore al rpido aprendizaje e incorporacin de los conceptos de seguridad.
180
5.4.1.1 Temario A continuacin se presenta un temario bsico de capacitacin general que deber ser analizarlo para aplicar en detalle los temas que correspondan segn las Polticas aplicadas en la empresa objetivo: 1. Qu es la informacin? Explicar qu se entiende por informacin, sus diferentes formas, cmo se genera, dnde y cmo se puede guardar, y su valor para la empresa. Esto ltimo se relaciona directamente con el nivel de confidencialidad de informacin que se maneje en el negocio dependiendo de sus caractersticas. 2. Qu es la Seguridad. Presentar el concepto de Seguridad, sus implicancias y sus consecuencias. 3. Intrusos y amenazas. Definir los intrusos externos e internos, sus amenazas y formas de presentacin. 4. Nivel de Seguridad de la Organizacin Cul es el nivel de seguridad de la informacin de su empresa? Qu tan vulnerable es el sistema informtico? 5. Plan de Aseguramiento del Entorno Explicacin del proyecto de seguridad implementado, composicin del Plan de Aseguramiento, su Alcance, implicancias, resultados esperados, responsabilidades de los usuarios desprendidas de la aplicacin del Plan. 6. Medidas adicionales de proteccin. Buenas costumbres. Los virus informticos son, dentro de la seguridad informtica, la fuente de mayores prdidas econmicas en el mundo entero. Instalar un buen software antivirus no es suficiente, ya que la variedad y cantidad de puertas de entrada de virus, troyanos, etc., puede sorprender en cualquier momento a la mejor herramienta, sin contar con otros inconvenientes como falsas alarmas, HOAX, etc. Los usuarios deben estar consientes de este peligro y deben conocer su alcance e implicancias. Se les debe dar recomendaciones para el uso cotidiano de sus herramientas de trabajo y la proteccin de los activos de la organizacin. 7. Diseo del Manual de Seguridad La seguridad no depende solamente de la tecnologa. Las empresas establecen las bases fundamentales para custodiar su informacin a travs del desarrollo de Polticas, Normas y Procedimientos que una vez definidos.
181
Los usuarios deben conocer la diferencia entre los distintos elementos del Manual de Seguridad como la Poltica General, las Normas y procedimientos y dems documentos tcnicos, su responsabilidad y las posibles consecuencias sobre el incumplimiento de las mismas. 8. Soluciones Tecnolgicas: Firewalls; Antivirus; Sistemas de Deteccin de Intrusos; Redes Virtuales (VPN); Sistemas de Backup; Plan de Recuperacin del Entorno ante Desastres (PRED).
9. Formacin en Seguridad Evaluar la posibilidad de capacitacin en temas especficos de seguridad, tanto tcnicos como funcionales para los distintos roles y niveles jerrquicos de la empresa. 10. Responsabilidades: Administradores de Seguridad y nuevas responsabilidades. El rol de cada usuario.
182
MANTENIMIENTO
Contenido: 6.1 Control de incidencias 6.1.1 Incidencias de seguridad 6.1.2 Notificacin de incidencias 6.1.3 Documentacin 6.1.4 Reporte de Incidencias 6.1.4.1 Manual de Procedimientos sobre Reporte de Incidencias 6.1.5 Respuesta a incidencias 6.1.6 Recoleccin de incidencias 6.1.7 Registro de incidencias 6.1.8 Investigacin 6.1.9 Seguimiento de incidencias 6.1.10 Prevencin de incidencias 6.2 Control de cambios 6.2.1 Procedimiento de Control de Cambios 6.2 2 Diagrama de flujo 6.2.3 Formulario de Control de cambios 6.2.4 ABM Activos 6.2.5 Ejemplo - AMB Activos 6.2.6 Actualizaciones de Software 6.2.6.1 Documento de Actualizaciones de Software
183
Esta es la ltima fase de la metodologa AEI. Comienza posteriormente a la implantacin del Plan de Aseguramiento, luego de la estabilizacin del entorno y se mantiene durante toda su vida. Durante la vida del entorno ocurren incidencias y cambios que deben ser analizados y documentados, as como tambin se deben llevar a cabo controles peridicos y aplicar las correspondientes actualizaciones para mantener un nivel confiable de seguridad en el entorno.
6.1 Control de incidencias.

El control de incidencias es una tcnica que permite controlar y registrar los eventos ocurridos que atentan contra la seguridad del entorno. Consiste en llevar un registro y un seguimiento de los eventos anormales que ocurran en el entorno objetivo en particular, y en la compaa en general. Se debe definir el alcance de los eventos o incidencias a registrar. El control de incidencias permite: Registrar cambios o prdida de informacin; Registrar y dar solucin a los requerimientos de los usuarios; Administrar los usuarios (dar de alta, baja y modificar permisos); Registrar nuevas vulnerabilidades manifiestas en el sistema y tomar medidas preventivas para el futuro; Dar informe del incidente a quien corresponda; Justificar posibles cambios; Crear una fuente de informacin para capacitar a los usuarios.
Las incidencias pueden ser de muchos tipos. Entre ellos se encuentran los eventos de mantenimiento, los pedidos de reparacin de hardware y servicios de los usuarios, nuevos requerimientos de los usuarios, errores en los datos e incidencias de seguridad.
6.1.1 Incidencias de seguridad
184
Los siguientes eventos son considerados incidencias de seguridad, entre otros: Violaciones a la confidencialidad de los datos; Violaciones a la integridad de los datos; Bloqueo de cuentas de usuarios; Anomalas en la disponibilidad de recursos; Negacin del servicios; Fallas en los sistemas de informacin; Anomalas en el funcionamiento de los sistemas de software; Desaparicin de informacin; Aparicin de datos no creados por el usuario.
6.1.2 Notificacin de incidencias El usuario que protagonice o presencie un evento que seguridad del entorno deber informar de lo ocurrido. pueda poner en riesgo la
El Procedimiento de Manejo de Incidencias del Manual de Seguridad de la empresa indicar los pasos a seguir o el circuito para el registro de incidencias. La informacin fluye en los distintos mbitos de las empresas. Para nuestro estudio nos concentraremos en el entorno informatizado que pretendemos asegurar. El ES debe analizar la forma de establecer un circuito de administracin de incidencias. Para esto deber pensar en: Un ente denunciante que presente el incidente e informa de la ocurrencia y efectos observados (por lo general son los usuarios); Un ente receptor-derivador de incidencias (un concentrador de pedidos como un Servicio de Atencin al Cliente (SAC) o Help Desk) encargado del asiento en registros apropiados; Un ente responsable encargado de la resolucin del incidente, entendindose por resolucin el manejo de la incidencia, su tratamiento y, si es posible, su solucin (personal tcnico especializado, el administrador de la red, etc); Un ente informante que entregue el resultado del manejo del incidente al ente denunciante.
En estructuras medianas y grandes suele dar soporte a este esquema el Servicio de Atencin al Cliente (SAC), o Help Desk. 185
El Help Desk es un ente concentrador y derivador de casos. En este esquema de Help Desk, un incidente se maneja de la siguiente forma: 1- El ente denunciante (usuario) informa de la ocurrencia de un incidente; 2- El receptor-derivador (Help Desk) registra el incidente; 3- El receptor-derivador (Help Desk) deriva el incidente al ente RESPONSABLE que corresponda para que lo maneje y le de solucin; 4- El ente responsable analiza el incidente; 5- Si se trata de un incidente grave de seguridad lo deriva al Oficial de Seguridad o figura equivalente (responsable de seguridad de control interno); 5.1- El Oficial de Seguridad analiza el incidente; 5.2- El Oficial de Seguridad toma medidas para prevenir el incidente en el futuro; 6- El ente responsable toma medidas para prevenir el incidente en el futuro; 7- Si tiene solucin el responsable resuelve el caso; 8- El responsable informa al receptor-derivador (Help Desk) las medidas tomadas y las medidas a tomar por el usuario; 6- El receptor-derivador (Help Desk) informa al denunciante (usuario) del estado de su caso, con detalle de la solucin dada e instrucciones de las acciones a tomar.
A continuacin se muestra un diagrama que ilustra el procedimiento:
186
Denunciante (Usuario)
Receptor Derivador (Help Desk o Atencin al Cliente )
Responsable
Oficial de Seguridad
Denuncia incidente
Abre caso de Help Desk
Deriva denuncia de incidente
Registra el incidente
Analiza el incidente
Incidente grave de seguridad? No Toma medidas para prevenir el incidente en el futuro
Analiza el incidente
Toma medidas para prevenir el incidente en el futuro
Tiene solucin? No Informa medidas preventivas tomadas y acciones a tomar por el usuario
Cierra caso de Help Desk
Se notifica del cierre del caso y de las medidas a tomar
Informa cierre de caso
Resuelve el incidente
Cierra caso de Help Desk
Informa solucin del incidente y medidas a tomar por el usuario
Se notifica del cierre del caso y de las medidas a tomar
Informa cierre de caso exitoso
187
Toda persona que detecte un incidente de seguridad deber informarlo de inmediato al ente receptor-derivador. El rea de Recursos Humanos debe intervenir en los casos en que se produzcan eventos que requieran medidas disciplinarias o correctivas. El Oficial de Seguridad debe mantener una lista de contactos actualizada sobre las personas que debern ser notificadas ante la ocurrencia de incidencias de seguridad.
6.1.3 Documentacin Se deber conservar de manera segura un resumen de todas las incidencias y acciones realizadas. El acceso y conservacin de la informacin referente a incidencias que han afectado a informacin clasificada deber ser limitado y controlado cuidadosamente a fin de proteger la confidencialidad de los individuos y minimizar la exposicin de la compaa y las obligaciones relacionadas con la privacidad.
6.1.4 Reporte de Incidencias Es un informe detallado que elabora el ente receptor-derivador del incidente inmediatamente de ocurrido ste, en el que debe especificar con el mayor detalle posible lo ocurrido, y envirselo al responsable asignado, junto al mail de notificacin. El Reporte de Incidencias contiene: Nmero de incidente (asignado por el responsable); Fecha del incidente; Hora del incidente; Nombre de la persona que reporta el incidente; Sector donde trabaja; Ubicacin fsica; PC afectada por el incidente;
188
Activo (software o hardware) afectado con path completo y/o nombre de la aplicacin; Nombre del responsable; Descripcin del incidente; Archivos adjuntos (imgenes, logs, etc); Accin/reaccin del usuario frente al incidente (por ejemplo: apagu la mquina, cerr la aplicacin, etc).
Todos estos datos deben ser completados con el mayor detalle posible por el usuario afectado, salvo el campo correspondiente al nmero de incidente, que deber ser completado por el responsable. Los Reportes de Incidencias debern ser conservados con fines de anlisis y reportes. Formato del Reporte de Incidencias
189
REPORTE DE INCIDENCIAS # INCIDENTE: FECHA: HORA: SECTOR:
UBICACIN FSICA:
NOMBRE DEL DENUNCIANTE:
_____________________ FIRMA DEL DENUNCIANTE
DESCRIPCIN DEL INCIDENTE:
NOMBRE DEL RESPONSABLE:
_____________________ FIRMA DEL RESPONSABLE
ARCHIVOS ADJUNTOS:
ACCIN TOMADA:
Descripcin de los campos Nmero de incidente: Nmero correlativo asignado por el responsable.
190
Fecha del incidente: Fecha en la que se produjo la incidencia. Hora del incidente: Hora en la que se produjo la incidencia. Sector: Sector donde ocurri el incidente. Ubicacin fsica: Lugar fsico donde se produjo el incidente (piso, oficina, etc). Nombre del denunciante: Nombre de la persona que reporta el incidente. Descripcin del incidente: Activo (software o hardware) afectado por el incidente. Nombre del responsable: Nombre completop de la persona responsable del manejo del incidente. Archivos adjuntos: imgenes, logs, etc. Accin tomada: Accin/reaccin del usuario ante la incidencia y accin tomada por el responsable del incidente.
6.1.4.1 Manual de Procedimientos sobre Reporte de Incidencias El Manual de Procedimientos sobre Reporte de Incidencias es un documento que deber confeccionarse para capacitar a los usuarios en el proceso de reporte de incidencias de seguridad en el entorno. Este documento debe explicar en forma sencilla y concisa el procedimiento de reporte de incidencias para se utilizado como gua por los usuarios al momento de declarar un incidente. Este Manual, como toda la documentacin referente a procedimientos de usuarios y Normas debe estar al alcance de todos los empleados, y se debe asegurar que los usuarios tengan conocimiento de la existencia del mismo, su fin y aplicacin.
6.1.5 Respuesta a incidencias El ente responsable encargado de analizar y resolver el incidente debe dar respuesta al usuario afectado por el evento, intentando dar indicaciones para que ste comprenda el origen del incidente y tome medidas correctivas cuando sea posible. Asimismo, el responsable deber informar al Oficial de Seguridad cuando ocurran incidencias graves de seguridad. Es su responsabilidad desarrollar soluciones en respuesta a las incidencias de seguridad crticos que hayan afectado a los servicios informticos o aquellos que tengan efectos globales, tales como ataques de virus 191
informticos, vulnerabilidades de parches de software o inconvenientes con los proveedores de servicios.
6.1.6 Recoleccin de incidencias Todas las evidencias debern ser recolectadas en una manera consistente utilizando tcnicas apropiadas que garanticen la autenticidad, integridad, exactitud y veracidad de las mismas. Las evidencias fsicas deben ser conservadas en una forma segura, tal como guardarlas en una caja fuerte. Se debe preservar la cadena de custodia de las evidencias recolectadas. El acceso se debe limitar al mnimo de personas necesarias para responder e investigar incidencias de seguridad. Es altamente recomendable mantener y auditar un log del acceso a las evidencias, incluyendo el nombre, fecha y hora en que se retir, fecha y hora en que se devolvi, el propsito del acceso y las acciones tomadas. Para las evidencias lgicas se ha desarrollado un documento llamado Registro de Incidencias, que recompila la informacin obtenida en cada incidente por el Reporte de Incidencias.
6.1.7 Registro de incidencias Es un documento donde se centraliza el registro de las incidencias, para fines estadsticos, educativos y de control. Es administrado por una persona responsable de la administracin de las incidencias, que suele ser el Oficial de seguridad. Al recibir un Reporte de Incidencias de un usuario, el responsable en cuestin agrega una fila en el registro de incidencias correspondiente al reporte recin recibido y guarda el reporte de Incidencias en una carpeta determinada para tal fin. Se mantiene un solo documento a fin de simplificar el mantenimiento, pero, en organizaciones que por su tamao lo necesiten, se podr llevar un documento por sector, cuyos responsables se encargarn de centralizar finalizado el perodo especificado en la Poltica de Seguridad.
192
Formato del Registro de Incidencias
FECHA
SECTOR
NOMBRE DEL DENUNCIANTE
NOMBRE RESPONSABLE
DESCRIPCIN / MEDIDA TOMADA
Descripcin de los campos NMERO: Nmero de Incidente (correlativo); FECHA: Fecha en que ocurri el incidente; SECTOR: Sector que lo report; NOMBRE DEL DENUNCIANTE: Nombre de la persona que lo report; NOMBRE DEL RESPONSABLE: Nombre del responsable del manejo del incidente; T: Tipo de Incidente: Es recomendable tener una lista con los tipos de incidentes predeterminados, por ejemplo: 1- Negacin de servicios; 2- Prdida de datos; 3- Afeccin de hardware; 4- Afeccin de la integridad de los datos; 5- Afeccin de la confidencialidad de los datos; 6- Virus Informtico; 7-Afeccin de soportes de informacin en papel; 8- Afeccin de soportes de informacin en medios magnticos; 9- Dao de activos. DESCRIPCIN/MEDIDA TOMADA: Descripcin de la incidencia; E: Estado: I- En investigacin; P- Pendiente; R- Resuelto.
193
6.1.8 Investigacin Todas las reas de sistemas debern colaborar en la investigacin de las incidencias de seguridad ocurridas a fin de asegurar que todas las posibles consecuencias del mismo han sido consideradas. A fin de incrementar la integridad del proceso de investigacin de incidencias, deber existir un doble control y segregacin de funciones, lo que significa que ms de una persona deber estar involucrada en el proceso. Esto incluye prevenir el caso que un individuo potencialmente modifique o las pistas de auditora de un sistema o aplicacin. Durante el proceso de investigacin se deber tomar nota de hechos tales como quin, qu, cmo y cundo, a fin de tener registro de todas las acciones realizadas y la informacin no cubierta y evitar fraudes informticos.
6.1.9 Seguimiento de incidencias El Oficial de Seguridad debe garantizar que todas las incidencias de seguridad sean analizadas en funcin de la causa de origen, a fin de prevenir la ocurrencia de incidencias similares en el futuro y de mejorar la metodologa de respuesta ante incidencias en funcin de lo aprendido durante la resolucin de los mismos.
6.1.10 Prevencin de incidencias Se deber contar con un plan de respuesta ante incidencias con un equipo de personas responsables, que puede estar considerado dentro del PRED (Plan de Recuperacin del Entorno ante Desastres) Se deber documentar los roles y responsabilidades del personal involucrado en el manejo de incidencias de seguridad. El Oficial de Seguridad deber asegurar que las tcnicas de prevencin incluyan la utilizacin de software antivirus, filtrado de contenido, y mecanismos de control de acceso de los usuarios y recursos que sean razonables y apropiados, mediante la utilizacin de firewalls y routers, que son administrados por la organizacin.
194
6.2 Control de cambios

En la fase de Mantenimiento, y durante toda la vida del entorno, se recomienda llevar un estricto control de cambios en el sistema y las instalaciones. Se deben considerar cambios que afecten cualquier elemento del entorno, como: Sistemas operativos de servidores; Sistemas operativos de estaciones de trabajo; Configuraciones de equipos; Sistemas aplicativos en general; Aplicaciones de escritorio; Motores de base de datos; Servicios de correo electrnico; Sistemas de proteccin contra virus informticos; Elementos de comunicaciones (routers, switches, etc,); Entre otros.
Este control tiene el fin de: Lograr una efectiva autorizacin de los cambios a implantar; Llevar un control de los cambios para evitar prdidas o deterioros de informacin; Tener un registro documentado de los cambios; Evitar incidencias y fallas en la seguridad.
Los cambios deben pasar por un circuito de autorizaciones desde que nace el requerimiento hasta que se implanta el cambio. Desde un punto de vista macroscpico, se podra decir que un cambio pasa por cuatro estados durante su vida: 1. Inicialmente surge como un requerimiento solicitado por un usuario. 2. Luego del anlisis de los responsables, se convierte en un requerimiento aprobado. 3. El siguiente estado en el desarrollo de la solucin. 4. Finalmente, se concreta el cambio en la implantacin del cambio.
195
El requerimiento de cambio puede surgir de cualquier rea, ms comnmente del rea usuaria. Una vez que un requerimiento nuevo o cambio es solicitado, deben existir varios niveles de aprobacin. Inicialmente, el jefe del sector o rea de trabajo del usuario solicitante, debe analizar la coherencia y factibilidad del cambio solicitado, para su aprobacin. A continuacin se debern realizar una serie de anlisis para determinar la influencia del cambio sobre el entorno, teniendo en cuenta los efectos sobre la tecnologa, sobre el software base y aplicativo, sobre la disponibilidad de los recursos. Asimismo, se analizar la cantidad de usuarios afectados por el cambio. Idealmente se recomienda crear un comit de cambios formado por especialistas en las distintas reas y disciplinas intervinientes: un administrador de la infraestructura tcnica, un administrador de la base de datos, un analista de aplicaciones y el Oficial de Seguridad. Lo siguiente es el desarrollo del cambio, la realizacin de las pruebas pertinentes para comprobar que el cambio ser se realizar correctamente, para luego implantarlo en el entorno productivo. En el momento de su implantacin se requiere la autorizacin del responsable del entorno vivo, o ambiente productivo, que en general es la persona a cargo del centro de cmputos. Estas son las responsabilidades del comit de cambios: Planificar, priorizar, autorizar y coordinar las tareas a realizar por los distintos involucrados ante la necesidad de realizacin de cambios de sistemas en produccin; Definir los criterios sobre los cuales se realiza la evaluacin de impacto y criticidad de los cambios; Liderar los procesos de cambio a realizar ante situaciones de emergencia; Evaluar peridicamente el registro de los cambios realizados en los sistemas de produccin, a fin de ajustar los criterios de evaluacin, planificacin y priorizacin de tareas.
196
Las siguientes son las responsabilidades de las personas que forman el comit de cambios: Usuario solicitante: o Detectar mejoras a implantar en el entorno, ya sean cambios de configuraciones, mejoras de performance, mejoras de operatoria, mejoras de esttica, etc;
Administrador de la infraestructura tcnica: o o Analizar que los cambios a realizar en el entorno no afecten la funcionalidad del mismo, evaluando no solo el impacto sino tambin la criticidad; Planificar e implantar el cambio, y en caso de ser necesario realizar las pruebas adecuadas y las acciones necesarias para volver a atrs en caso que se produzca alguna contingencia durante la implantacin en produccin; Mantener actualizada la documentacin de configuracin del entorno;
Administrador de bases de datos: o o Analizar que los cambios a realizar en el entorno no afecten la funcionalidad del mismo, evaluando no solo el impacto sino tambin la criticidad; Planificar e implantar el cambio, y en caso de ser necesario realizar las pruebas adecuadas y las acciones necesarios para volver a atrs en caso que se produzca alguna contingencia durante la implantacin en produccin; Mantener actualizada la documentacin de configuracin de los sistemas;
Analista de aplicaciones: o o Analizar que los cambios a realizar en el entorno no afecten la funcionalidad del mismo, evaluando no solo el impacto sino tambin la criticidad; Planificar e implantar el cambio, y en caso de ser necesario realizar las pruebas adecuadas y las acciones necesarios para volver a atrs en caso que se produzca alguna contingencia durante la implantacin en produccin; Mantener actualizada la documentacin de configuracin de los sistemas;
Oficial de Seguridad: o Evaluar el impacto de los cambios para que no se realicen cambios en configuraciones que estn en contra de la normativa de seguridad.
6.2.1 Procedimiento de Control de Cambios A continuacin se muestra el procedimiento de control de cambios en una tabla, donde las filas grisadas corresponden a pasos de cumplimiento obligatorio.
197
Paso Descripcin Fase de Anlisis
Objetivo
Involucrados
Resultado
01
Detecta la necesidad de realizar un cambio en la configuracin de los sistemas con los que esta vinculado Involucrar a las distintas personas en la ejecucin de su labor diaria. en la identificacin de cambios a realizar en los sistemas. Estos cambios pueden ser solicitados por cualquier persona que trabaja en la compaa. Comunica la necesidad de realizar un cambio en la configuracin de los sistemas.
Usuario solicitante
Los datos mnimos necesarios que se deben completar para realizar el requerimiento son: Tipo de cambio a realizar. 02 Sistema donde se aplica el cambio. Si se necesita o un la realizacin de una evaluacin detallada. Si afecta la funcionalidad de otros sistemas. Fecha lmite aceptable para la implantacin de la solicitud. Nombres y apellidos del solicitante. Fomentar el anlisis por parte del solicitante de los requerimientos que realiza. Usuario solicitante Documentacin detallada del requerimiento de cambio en el Formulario de Control de cambios
198
Reciben la solicitud de cambio de configuracin. Analizan todos los elementos del entorno que podran verse afectados por el cambio solicitado. 03 Una vez comprendidos todos los factores afectados por el cambio, se realiza una evaluacin del posible impacto y la criticidad que tendr el cambio solicitado. Identificar la necesidad real del cambio y las implicancias en el resto de los sistemas de la Compaa.
Comit de cambios (coordinacin) Administrador de la infraestructura tcnica (responsable) Administrador de base de datos (responsable) Analista de aplicaciones (responsable) Oficial de Seguridad (implicado)
Registro de la solicitud en el Formulario de Control de Cambios Documentacin tcnica del cambio a realizar junto con todos los sistemas afectados y el evaluacin del impacto
En funcin al anlisis realizado se determinada si el cambio podr ser aplicado o no. Algunos de los motivos por los cuales no se aplicar un cambio solicitado son: No recomendado por el proveedor. Costos no aceptados. Alto impacto y muy pocos beneficios. En caso que el cambio no se vaya a implantar, se contina en el paso # 20.
Comit de cambios (coordinacin) Administrador de la infraestructura tcnica (responsable) Administrador de base de datos (responsable) Analista de aplicaciones (responsable) Oficial De Seguridad (implicado) Comit de cambios (coordinacin) Administrador de la infraestructura tcnica (responsable) Administrador de base de datos (responsable) Analista de aplicaciones (responsable)
04
Documentacin con las conclusiones del anlisis realizado
Identifican todas las actividades necesarias para realizar el cambio, entre las que se encuentran: 05 Identificacin exacta de los cambios a realizar. Identificacin de los sectores involucrados en el cambio. Identificacin del momento ms adecuado para realizar el cambio. Determinar las tareas a realizar para realizar el requerimiento
Plan de implantacin del cambio
199
Comit de cambios (coordinacin) Luego de la planificacin de las actividades a realizar para implantar los cambios, se determina la necesidad de realizar pruebas previas en entornos no productivos antes de realizarlos en produccin. En caso de no ser necesarias las pruebas se contina en el paso # 11. Administrador de la infraestructura tcnica (responsable) Administrador de base de datos (responsable) Analista de aplicaciones (responsable) Fase de Pruebas Administrador de la infraestructura tcnica (responsable) Administrador de base de datos (responsable) Analista de aplicaciones (responsable) Administrador de la infraestructura tcnica (responsable) Identificar los problemas que pueden ocasionar los cambios. Administrador de base de datos (responsable) Analista de aplicaciones (responsable) Administrador de la infraestructura tcnica (responsable) 09 Si las pruebas no han sido satisfactorias, continan en el paso # 20. Administrador de base de datos (responsable) Analista de aplicaciones (responsable) Documentacin con el resultado de las pruebas
06
07
Definen las pruebas unitarias e integrales que se deben realizar para garantizar que los cambios realizados sean los adecuados y no generen inconvenientes a los sistemas vigentes. Planifican la realizacin de las pruebas identificadas.
Prever adecuadamente las actividades a realizar durante la ejecucin de las pruebas
Documentacin con el detalle de las pruebas a realizar junto su planificacin
08
Ejecutan las pruebas segn la planificacin realizada oportunamente, identificando los problemas que se suscitan y las posibles causas.
200
Comit de cambios (coordinacin) Otorgan la aceptacin formal a la realizacin de los cambios planificados en el entorno de produccin. 10 En caso de ser necesario modifican las especificaciones realizadas en la etapa de planificacin. Infundir la toma de responsabilidad en las decisiones tomadas. Administrador de la infraestructura tcnica (responsable) Administrador de base de datos (responsable) Analista de aplicaciones (responsable) Fase de Implantacin Identifican todas las actividades necesarias para realizar el cambio y todas las precauciones a considerar antes de realizarlo a fin de poder volver atrs sin mayores inconvenientes. 11 Adicionalmente se planificar con todos los Administradores y Analistas involucrados el momento ms adecuado de implantacin. Comit de cambios (coordinacin) Administrador de la infraestructura tcnica (responsable) Administrador de base de datos (responsable) Analista de aplicaciones (responsable) Administrador de la infraestructura tcnica (responsable) Administrador de base de datos (responsable) Analista de aplicaciones (responsable) Documentacin de las configuraciones anteriores del entorno y documentacin de las acciones para volver al estado inicial. Documentacin formal de la aceptacin de la implantacin del cambio en produccin
Coordinar las tareas entre todas las reas.
Plan de implantacin del cambio
12
Ejecutan todas las tareas identificadas en la planificacin para realizar la vuelta atrs en las modificaciones de configuracin en caso de existir algn inconveniente.
Concientizar a los administradores de la necesidad de contar con un plan de recuperacin ante una contingencia.
201
13
Si las tareas previas a la implantacin del cambio en produccin no se han podido realizar, no se realizar el cambio y se contina en el paso # 20.
Administrador de la infraestructura tcnica (responsable) Administrador de base de datos (responsable) Analista de aplicaciones (responsable) Administrador de la infraestructura tcnica (responsable) Implantar los cambios en produccin. Administrador de base de datos (responsable) Analista de aplicaciones (responsable) Administrador de la infraestructura tcnica (responsable) Administrador de base de datos (responsable) Analista de aplicaciones (responsable) Administrador de la infraestructura tcnica (responsable) Conservar el entorno productivo en caso de contingencia. Administrador de base de datos (responsable) Analista de aplicaciones (responsable) Configuracin implantada en produccin
14
Ejecutan las tareas acordadas en la planificacin, realizando previamente la notificacin a los usuarios afectados en caso de ser necesario.
15
Si los cambios de configuracin de los sistemas en produccin han sido satisfactorios se contina en el paso # 17.
16
Ejecutan todas las tareas planificadas para la vuelta a la configuracin inicial de los sistemas, y continan en el paso # 20.
Documentacin de las acciones de vuelta atrs realizadas
202
Comit de cambios (coordinacin) Asegurarse de que los sistemas continan funcionando correctamente Administrador de la infraestructura tcnica (responsable) Administrador de base de datos (responsable) Analista de aplicaciones (responsable) Administrador de la infraestructura tcnica (responsable) 18 Identifican y actualizan toda la documentacin de los sistemas involucrados en el cambio de configuracin. Mantener vigente la documentacin. Administrador de base de datos (responsable) Analista de aplicaciones (responsable) Registran los cambios de configuracin realizados en los sistemas, incluyendo: Fecha Hora 19 Responsable del cambio Tipo de cambio Impacto identificado Criticidad 20 Finalizacin del proceso. Identificar adecuadamente los cambios realizados en los sistemas Documentacin formal de la aceptacin de la solucin realizada
17
Aceptan formalmente la implantacin del cambio de configuracin realizado.
Documentacin actualizada de las configuracin de los sistemas
Administrador de la infraestructura tcnica (responsable) Administrador de base de datos (responsable) Analista de aplicaciones (responsable)
Documentacin actualizada de la configuracin realizada en los sistemas
203
6.2 2 Diagrama de flujo

Fase Usuario Solicitante Inicio 0 1 Identifica necesidad de cambio en configuracin Comunica el cambio a realizar 0 3 Administrador de la Infraestructura Tcnica Administrador de Bases de Datos Analista de Aplicaciones Oficial de Seguridad
Evalan el impacto del cambio
Anlisis
0 2
No
0 4
Se aplicar el cambio? S
0 5 Planifican el cambio 0 6
Requiere pruebas? S
No
0 7 Pruebas 0 8
Definen y planifican pruebas necesarias Ejecutan pruebas 0 9 Pruebas OK? S Autorizan realizacin del cambio
No
1 0
1 1 Definen y planifican tareas para realizar el cambio 1 2 Ejecutan tareas previas para permitir una vuelta atrs 1 3 Tareas previas OK? S Implantan el cambio 1 5
No 1 4 Implantacin
No 1 6
Cambio OK ? S
Ejecutan tareas de vuelta atras 1 7 Aceptan formalmente el cambio 1 8 1 9 Actualizan documentacin Registran el cambio
2 0
Fin
204
6.2.3 Formulario de Control de cambios Para realizar un efectivo control de cambios, a continuacin se presenta un formulario para documentar el seguimiento de los cambios, desde que surgen como un requerimiento de usuario hasta su implantacin en produccin. El objetivo de este registro es dejar asentados los datos de la persona que realiz el requerimiento (usuario solicitante), las autorizaciones correspondientes, los requisitos para su implantacin en el entorno productivo y la aceptacin del responsable del sitio vivo y el personal del rea usuaria.
FORMULARIO DE CONTROL DE CAMBIOS NMERO: 1. DATOS DEL USUARIO SOLICITANTE Nombre: Puesto: Departamento: Sede/Sucursal: Ubicacin (Ciudad/Pas): E-mail: Telfono: 2. DESCRIPCIN DEL CAMBIO: Tamao: Menor (menor de 50 usuarios afectados) Medio / grande (ms de 50 usuarios afectados) Motivo: Alta Modificacin Baja Descripcin: FECHA:
Fecha de implantacin programada: Horario de implantacin programado: Duracin esperada (horas): Resultados esperados:
Fecha de implantacin real:
205
Duracin real (horas): Impacto: Responsable: 3. SERVICIO(S) AFECTADO(s) Aplicacin(es): Infraestructura: Observaciones:
4. PRUEBAS Fecha de prueba programada: Horario de prueba programado: Requerimientos: Duracin esperada (horas): Resultados esperados:
Responsable: Aprobacin:
5. CANCELACIN Y RECUPERACIN Procedimientos de cancelacin de cambios: Procedimientos de recuperacin: Notificacin:
6. AUTORIZACIONES
_______________________ Firma del usuario Solicitante
_________________________ Firma del Jefe del departamento
206
7. AUTORIZACIONES ADICIONALES
_______________________ Nombre
_________________________ Firma
_______________________ Nombre
_________________________ Firma
8. CONFORMIDAD DEL SUPERVISOR DEL CPD Observaciones:
_______________________ Nombre
_________________________ Firma
Descripcin de los campos NMERO: Nmero de requerimiento de cambios. FECHA: Fecha del requerimiento. 1. DATOS DEL USUARIO SOLICITANTE: Este bloque de datos corresponden a datos personales del usuario que realiza el requerimiento. Nombre: Nombre del usuario solicitante. Puesto: Posicin que ocupa el usuario solicitante en la empresa. Departamento: Departamento o sector al que pertenece el usuario solicitante.
207
Sede/Sucursal: Sede o sucursal de la empresa en la que trabaja el solicitante. Ubicacin (Ciudad/Pas): Ciudad o pas donde trabaja el usuario solicitante, para el caso de empresas distribudas territorialmente. E-mail: Direccin de correo electrnico del usuario solicitante. Telfono: Interno o lnea directa del solicitante. 2. DESCRIPCIN DEL CAMBIO: Este bloque corresponde a informacin sobre el cambio solicitado. Tamao: Tamao del cambio medido en cantidad de usuarios afectados. Menor (menor de 50 usuarios afectados) Medio / grande (ms de 50 usuarios afectados) Motivo: Motivo de la solicitud del cambio Alta Modificacin Baja Descripcin: Breve descripcin del cambio. Fecha de implantacin programada: Fecha programada para la realizacin del cambio en el entorno de produccin. Horario de implantacin programado: Horario programada para la realizacin del cambio en el entorno de produccin. Duracin esperada (horas): Tiempo que se invertir en la implantacin del cambio. Resultados esperados: Efectos de la realizacin del cambio. Fecha de implantacin real: Fecha real en que se ha realizado el cambio en el entorno de produccin. Duracin real (horas): Duracin real de la implantacin del cambio en el entorno de produccin. Impacto: Efectos producidos por el cambio. Responsable: Nombre de la persona responsable de la realizacin del cambio. 3. SERVICIO(S) AFECTADO(s): Este bloque corresponde a informacin sobre el impacto del cambio solicitado. Aplicacin(es): Aplicaciones afectadas por el cambio. Infraestructura: Equipamiento tcnico afectado por el cambio. Observaciones: Aclaraciones. 4. PRUEBAS: Este bloque corresponde a informacin sobre las pruebas realizadas antes de implantar el cambio solicitado en el ambiente productivo.
208
Fecha de prueba programada: Fecha programada para la realizacin de las pruebas. Horario de prueba programado: Horario programado para la realizacin de las pruebas. Requerimientos: Requisitos para la realizacin de las pruebas. Duracin esperada (horas): Duracin esperada de las pruebas. Resultados esperados: Efecto esperado por los cambios a implantarse. Responsable: Nombre de la persona responsable de la realizacin de las pruebas. Aprobacin: Nombre de la persona que deber dar la aprobacin de las pruebas realizadas. 5. CANCELACIN Y RECUPERACIN: Este bloque corresponde a informacin sobre los procedimientos de cancelacin y vuelta atrs de la implantacin del cambio solicitado en el ambiente productivo. Procedimientos de cancelacin de cambios: Informacin sobre los procedimientos de cancelacin de la implantacin del cambio solicitado en el ambiente productivo. Procedimientos de recuperacin: Informacin sobre los procedimientos de vuelta atrs de la implantacin del cambio solicitado en el ambiente productivo. Notificacin: Lista de usuarios que deben ser notificados del cambio. 6. AUTORIZACIONES: Este bloque corresponde a informacin sobre las autorizaciones necesarias para el pasaje al entorno productivo de los cambios solicitados. Firma del usuario solicitante: Firma del usuario solicitante. Firma del Jefe del departamento: Firma del Jefe del departamento. 7. AUTORIZACIONES ADICIONALES: Este bloque corresponde a informacin sobre las autorizaciones adicionales necesarias para el pasaje al entorno productivo de los cambios solicitados. Nombre: Nombre de la persona de la que se le solicita aprobacin adicional. Firma: Firma de la persona de la que se le solicita aprobacin adicional. 8. CONFORMIDAD DEL SUPERVISOR DEL CPD: Este bloque corresponde a informacin sobre la aprobacin del pasaje al entorno productivo de los cambios por parte de la persona responsable del CPD. Observaciones: Aclaraciones. Nombre: Nombre de la persona responsable del Centro de Procesamiento de Datos de la que se le solicita aprobacin adicional. Firma: Firma de la persona responsable del Centro de Procesamiento de Datos de la que se le solicita aprobacin adicional.
209
6.2.4 ABM Activos Es un documento creado para implementar el Control de Cambios en los activos, que sirve para registrar todas las modificaciones inherentes a activos de la empresa. [IRAM/ISO/IEC17799] asegura: Se deben controlar los cambios en los sistemas e instalaciones de procesamiento de informacin. El control inadecuado de estos cambios es una causa comn de las fallas de seguridad y de sistemas Por lo que en este trabajo se ofrece una forma de llevar a cabo este control de cambios de activos mediante un documento con forma de tabla, donde se registra todo cambio realizado en el sistema ya sea a nivel fsico o lgico: ALTA: Agregar un nuevo activo; BAJA: Eliminar un activo del Inventario de Activos; MODIFICACIN: Registrar cambios sobre un bien.
Se realizar una ALTA cada vez que se agregue al patrimonio de la organizacin un activo, por ejemplo, cuando se adquiere un nuevo elemento de hardware como un dispositivo de red, o un scanner, cuando se adquiera nuevo software, por ejemplo en la actualizacin de utilitarios, o cuando se produzcan nuevos datos, por ejemplo al realizar un backup. Una BAJA de un activo corresponde a la eliminacin del catlogo o Inventario de Activos de un bien por distintas causas: fin de concesin de uso de bienes, caducidad de contrato de alquiler de equipos, terminacin de la vida til de datos, etc. Se registrar una MODIFICACIN en el caso en que un activo sufra cambios en sus caractersticas, por ejemplo en su tamao y ubicacin. Tiene directa relacin con el Inventario de Activos ya que ABM Activos hace referencia a los activos registrados de la compaa. Formato del ABM Activos
FECHA
CDIGO
ABM
CAUSA
ACTIVOS RELACIONADOS
210
Descripcin de los campos FECHA: Fecha en que se produjo el ABM. Se registrar con la siguiente codificacin: dd/mm/aaaa. CDIGO: Es el cdigo rotulador que se le asign a cada elemento en el Inventario de Activos que permitir identificar cada bien unvocamente, para su identificacin y seguimiento. NOTA: Ver detalles sobre la codificacin de activos en el apartado Inventario de Activos. ABM: En este campo se debe indicar el tipo de operacin que se est registrando: A: Alta; B: Baja;
M: Modificacin; CAUSA: es una descripcin de la razn por la que el elemento sufri el ABM en cuestin. ACTIVOS RELACIONADOS: En este campo se deben mencionar los activos que se ven afectados por el cambio, por ejemplo unidades de hardware en que se ubicaba un elemento de software al que se le da de baja.
6.2.5 Ejemplo - AMB Activos En el ABM Activos:
FECHA 20/06/2003
CDIGO BK0102
ABM B
CAUSA Expiracin de validez los datos. Unidad sobrescrita.
ACTIVOS RELACIONADOS BK0174, HW0243
En el Inventario de Activos:
CDIGO
DESCRIPCIN
UBICACIN
RESPONSABLE
FECHA CREACIN
FECHA EXPIRACIN
CRI TICID AD 0
ESTADO A
HW0001
Mouse
serie Piso 9, sector Mara Martinez
12/2001
211
Logitech --HW0034 --Router Cisco 8000
QA, HW0017 ---
cpu: ----7/2003 ----2 A
Piso 7, sector Manuel Belgrano comunicacione s ----Juan Perez
--BK0102
---
--20/05/2003
--20/06/2003
--2
Backup de HW0024 Srv01/externo/pro y5.mbd -----
--BK0174
--Juan Perez
--20/06/2003
--20/07/2003
--2
Backup de HW0024 Srv01/externo/pro y5.mbd
Este ejemplo se trata de un backup que, llegada su fecha de expiracin, de elimina sobrescribiendo la unidad fsica con el nuevo backup. En la tabla de ABM Activos est indicado con azul el cdigo del activo que ingres en el documento para registrar un cambio. En el campo ABM se indica la eliminacin del activo ingresando una B, se indica la causa de la baja y los activos relacionados: HW0024 (indicado en verde, la unidad de cinta que lo contena) y BK0174 (el nuevo backup que reemplaza al eliminado, indicado en rojo) En este caso se trata de una baja, lo que significa que el activo dejar el estado A (dado de Alta) para pasar al estado B (dado de Baja). Esto se debe ver reflejado en el Inventario de Activos. En la tabla Inventario de Activos se debe modificar el campo ESTADO del activo, ingresando Bde Baja. Tambin se deber insertar una nueva fila que dar de alta la nueva versin. Indicado con color rojo, se muestra el cdigo de la nueva copia de backup (nuevo activo) que ha sido dado de alta al reemplazar el backup anterior (vencido).
6.2.6 Actualizaciones de Software Cada vez que se realicen upgrades, o sea, actualizaciones de versiones de software se deber llevar un control estricto de las mquinas donde se instal y la fecha.
212
Esta sirve no solo para ordenar y organizar la instalacin, sino para controlar el comportamiento de las mquinas actualizadas. Muchas veces las actualizaciones pueden dejar la mquina inestable o provocar otros efectos que se pueden revertir llevando una completa y rigurosa documentacin de los parches instalados.
6.2.6.1 Documento de Actualizaciones de Software El documento de actualizaciones de software tiene como fin registrar la instalacin de todo upgradede software realizado en las mquinas del dominio. Tiene el siguiente formato:
SOFT
DESCRIPCIN
FECHA
CPU#
CPU#
CPU#
CPU#
Descripcin de los campos SOFT: nombre del archivo de actualizacin instalado. DESCRIPCIN: nombre de la aplicacin que se est instalando, versin, etc. FECHA: fecha de la actualizacin. CPU#: cdigo de la mquina donde se instala.
213
V.
CONCLUSIN
En la introduccin de este trabajo mencionamos la necesidad de una herramienta que les permita a los profesionales de Informtica descubrir y analizar las vulnerabilidades de los entornos informatizados e implantar tcnicas para asegurarlos. A la largo de esta tesis hemos analizado objetivos de control que llevan al ES a lograr el aseguramiento del entorno objetivo (que se pretende asegurar) basados en los principales estndares internacionales de seguridad, la normativa argentina vigente y las mejores prcticas profesionales del mundo. Con este anlisis logramos formalizar una metodologa prctica, y factible para convertir entornos informatizados inseguros en entornos protegidos, y lograr una clara evaluacin de los mismos. La metodologa fue desarrollada en la parte IV de este trabajo. A travs de los seis captulos que la componen, describimos las fases necesarias para lograr el completo y total aseguramiento del entorno. El Ingeniero que utilice esta metodologa, podr evaluar el contenido y alcance de las distintas fases y aplicar los controles que considere necesario para el objeto de su trabajo. Independientemente del tamao del entrono objetivo y de la clase de negocio que apoye, esta metodologa permitir conocer el entorno e implantar medidas para asegurarlo, basndose en las siguientes tareas: Elaborar un Plan de Trabajo evaluando tiempo, recursos y costos implicados; Realizar sondeo para descubrir vulnerabilidades; Analizar las vulnerabilidades para determinar su riesgo; Evaluar el impacto de los riesgos sobre el entrono, y sobre el negocio; Analizar la forma de mitigar los riesgos; Elaborar un Plan de Aseguramiento del entorno teniendo en cuenta aspectos fsicos, lgicos y de la organizacin, de manera de establecer objetivos de control que mitiguen los riesgos existentes; Confeccionar un Inventario de los Activos fsicos y lgicos de la empresa para identificar y rotular cada uno de los bienes; Clasificar la Informacin para determinar su criticidad; Elaborar o adaptar para conveniencia de la empresa la Normativa de Seguridad que apoye los procesos del negocio;
214
Confeccionar una campaa de concientizacin de los usuarios involucrados para lograr una efectiva implantacin de los controles de Seguridad, y una adecuada aplicacin de las medidas que componen el Manual de seguridad; Realizar una adecuada capacitacin de los usuarios para garantizar el conocimiento de las medidas de seguridad aplicadas y la continuidad de los controles en el tiempo; Implantar el Plan de Aseguramiento; Elaborar un Plan de Recuperacin del Entorno ante Desastres (PRED) para la prevencin de catstrofes y la planificacin de la recuperacin del entorno informatizado ante situaciones de emergencia, tratando de resguardar el negocio de la empresa objetivo; Estabilizar el entorno Aseguramiento; realizando los ajustes necesarios al Plan de
Mantener el nivel de seguridad logrado mediante el control de Incidencias y de cambios;
Todas estas tareas estarn documentadas, y se apoyarn en registros y tablas que las facilitarn y tambin guiarn al ES interviniente en su tarea. Estos son los documentos asociados a las distintas tareas que desarrollamos en esta metodologa: Documento de Requerimientos de Usuario: formaliza la voluntad del cliente y de los usuarios respecto de los requerimientos de seguridad del entorno; Alcance: establece es espectro que abarcar el proyecto. En este documento se define el entorno a asegurar, se delimita su extensin y se establecen los distintos niveles que se evaluarn. Este punto es muy importante porque la metodologa permite efectuar un aseguramiento a nivel: o o o Fsico; Lgico; De la organizacin.
A su vez este anlisis se puede reducir a un nivel o dos, segn el deseo del cliente y su presupuesto. Es importante recalcar que, como vimos en todo el desarrollo de la MAEI, no es necesario aplicar todas las fases, ni en los tres niveles. Pueden saltearse fases, cambiarlas de orden, investigarse aspectos netamente fsicos, netamente lgicos, netamente de la organizacin o una combinacin de ellos. Plan de Trabajo: ofrece una organizacin del proyecto con las tareas a realizar con su duracin aproximada y los recursos destinamos a cada una; 215
Relevamiento General: ofrece un marco de referencia para comenzar a trabajar. El objetivo de este documento es registrar el sondeo inicial que realiza el ES para conocer el entorno a asegurar; Relevamiento de Usuario: consiste en un test que tiene por objetivo determinar el grado de conocimiento y concientizacin respecto de la seguridad que poseen los usuarios finales; Mapa de Vulnerabilidades: es un registro que recompila las vulnerabilidades halladas; Informe de Riesgos: esta tabla ofrece una forma de documentar las vulnerabilidades halladas asocindoles su riesgo, su probabilidad de ocurrencia, el impacto en el entorno y en el negocio y su criticidad; Plan de Aseguramiento: recompila todas las medidas, controles y procedimientos que se llevarn a cabo para asegurar el entorno en estudio y mitigar los riesgos hallados en los distintos niveles (fsico, lgico y de la organizacin); Mapa de Elementos de Red: es una lista de los elementos fsicos presentes en la red de datos; Mapa de Usuarios: permite organizar los usuarios en grupos, y a su ver visualizar los distintos grupos a los que pertenece un usuario; Documento de Actualizacin de software: Permite llevar un control de las actualizaciones aplicadas a los distintos equipos de la red; Tabla de Permisos sobre Activos Lgicos: Permite documentar la relacin directa entre recursos y usuarios, asignando permisos a usuarios y perfiles sobre activos lgicos; Archivos de log: son registros (archivos de texto, bases de datos u otros) que permiten el registro de las pistas de auditora que emite el sistema informtico; Inventario de Activos: documento que sirve para llevar un control de los activos lgicos y fsicos presentes en el entorno: o o Inventario de Activos Fsicos: recompila todos los activos de tipo fsico y los enumera y clasifica; Inventario de Activos Lgicos: recompila todos los activos de tipo lgico y los enumera y clasifica;
Inventario de Backups: es un registro de las copias de respaldo de los datos que se realiza junto con la fecha, el medio fsico que los contiene y un cdigo identificatorio. Est directamente ligado al Inventario de Activos ya que el cdigo es el utilizado para identificar el activo lgico backup y el nmero de dispositivo identifica a la cinta o medio fsico; ABM Activos: es un registro de los cambios que sufren los activos, y su relacin entre con otros activos; Manual de Seguridad: compuesto por la normativa de la organizacin: o o o o o Poltica general; Normas; Procedimientos; Estndares tcnicos; Manuales de usuario; 216
Instructivos;
Comunicados: medios escritos por los cuales se informan los usuarios y empleados; Presentaciones: medios por los cuales se capacita a los usuarios y empleados; Documentacin de Capacitacin: documentos que sirven para la capacitacin de los usuarios y empleados; Tabla de Criticidades por Equipo: documento que sirve para establecer las criticidades de los equipos del entorno; Tabla de Criticidades por Servicio: documento que sirve para establecer las criticidades de los servicios del entorno; Tabla de Criticidades por Aplicacin: documento que sirve para establecer las criticidades de las aplicaciones del entorno; PRED: Plan de Recuperacin del Entorno ante Desastres: establece las medidas a tomar para prevenir catstrofes y recuperar el entorno una vez ocurridas, preservando los objetivos del negocio: o o Procedimiento de Declaracin de la Emergencia: conjunto de tareas a realizar ante un acontecimiento que afecte las prestaciones del entorno; Procedimiento de Recuperacin de las Prestaciones: tareas a realizar una vez declarada la emergencia, para recuperar el funcionamiento en emergencia de los equipos y servicios Procedimiento de Reestablecimiento de las Condiciones Normales: tareas a realizar una vez recuperadas las prestaciones en contingencia, para recuperar el funcionamiento normal de los equipos y servicios;
Informe de Implantacin: documento con los detalles del avance del proyecto de aseguramiento del entorno y de los cambios realizados; Informe de Cierre de Implantacin: es un documento que contiene los detalles de los resultados del proyecto de aseguramiento del entorno y de los cambios realizados; Manual de Procedimientos sobre Reporte de Incidencias: manual que capacita a los usuarios en el proceso de reporte de incidencias de seguridad en el entorno; Reportes de Incidencias: documento que se utiliza para registrar las incidencias ocurridas en el entorno; Registro de Incidencias: es un documento que recompila todas las incidencias ocurridas y las centraliza para su posterior anlisis y estudio estadstico; Formulario de Control de Cambios: es un documento que creamos con el fin de registrar todos los requerimientos de cambios surgidos en el entorno, y su prueba e implantacin;
La idea de este conjunto de herramientas es seleccionar las apropiadas para el entorno que se est estudiando, quizs combinarlas, y utilizarlas como constante fuente de control y auditora de la vida del entorno. Como fuente de control estos documentos sirven ya que su constante mantenimiento garantiza el conocimiento de los distintos aspectos que traten. Por ejemplo, mantener actualizado el Inventario de Activos Fsicos implica tener un 217
completo conocimiento de los bienes fsicos de la empresa, lo que permitira detectar hurtos que, de otra manera, pasaran desapercibidos. Como fuentes de auditora estos documentos tambin proporcionan pruebas de violaciones a las Normas de la compaa, actos ilcitos y falta de control interno en los procesos del negocio. Todos los sistemas informticos sufren cambios constantemente. El entorno cambia con ellos, y es por eso que considero fundamental registrar todos esos cambios, no solo especficamente utilizando los procedimientos recomendados en la fase de Control de Cambios, sino considerar todo el proyecto como una oportunidad para documentar el entorno para detectar fallas en los objetivos de control fijados por el Experto, para depurar los procesos no documentados y perfeccionarlos, para mejorar el flujo de la informacin y la comunicacin de los datos, para verificar que se tenga en cuenta la contraposicin de intereses en los roles de control y ejecucin de las tareas y procesos, para dejar pistas de auditora y para incrementar la base de conocimiento de todos los empleados de la compaa. Entonces, la Metodologa de Aseguramiento de Entornos Informatizados provee a los Ingenieros en Informtica y Licenciados en Anlisis de Sistemas de una herramienta con modelos estructurados para que, de forma ordenada y efectiva, les facilite y les gue en la tarea de dar informe de las vulnerabilidades presentes en el entorno en que trabajan, su criticidad e impacto, los riesgos tecnolgicos y funcionales asociados, determinar las posibles formas de mitigarlos, planificar la forma de implantar la solucin ms conveniente para el entorno en estudio y para el cliente, para luego implantarlas con xito y as lograr una efectiva proteccin y documentacin del entorno objetivo, que era el propsito de este trabajo.
218
VI. BIBLIOGRAFA
[IRAM/ISO/IEC17799] IRAM/ISO/IEC 17799 Julio 2002. Proyecto 1 de norma argentina. Cdigo de prctica para la gestin de la seguridad de la informacin. Basada en ISO/IEC Standard 17799: Information Technology Code of Practice for Information Security Management.
[BS7799] British Standard
- Information technology. Code of practice for
information security management. [Cobit] Cobit Standard- Objetivos de Control para la Informacin y Tecnologas 2000, emitido por el Comit directivo del Cobit y la Information Systems audit. And Control Fundation. [Huerta2000] Huerta, A. 2000. Seguridad en Unx y redes. 2da edicin. Espaa. [Tackett-Burnett2000] Tackett, j. y Burnett S. 2000. Linux. 4ta edicin. Prentice Hall Iberia. Espaa. [Scambray-McClure-Kurtz2001] Scambray, J., McClure, S. Y Kurtz, G. 2001. Hackers 2. McGraw-Hill/Interamericana de Espaa. [Stallings1999] Stallings, W. 1999. Cryptography and Network Security: Principles and Practice, 2da edicin, Prentice Hall, Inc. [Martorell] Martorell, M. Control de Accesos. Escola Universitaria Politecnica de Mataro. [hispasec] Hispasec Sistemas. o http://www.hispasec.com
[isecom] ISECOM - Institute for security and Open Methodologies. o http://www.isecom.org
[ iss.net] ISS- Internet Security Systems. o http://iss.net
[xforce.iss] Base de datos de vulnerabilidades y amenazas de ISS. 219
http://xforce.iss.net/
[bsi] British Standards Online. o http://www.bsi-global.com/index.xalter
[Benson] Microsoft Solutions Framework. Estrategias de Seguridad. Christopher Benson, Inobits Consulting (Pty) Ltd. o http://microsoft.com/latam/technet/articulos/200011/art04
[Consid-MS] Microsoft Solutions Framework. Consideraciones de seguridad para la autoridad administrativa. o . [10laws-MS] Microsoft Technet. The Ten Immutable Laws of Security. 2003 o http://microsoft.com/technet/colums/security/assays/10imlaws.asp http://msn.com
[Technet] Microsoft Technet. o http://microsoft.com/technet
[MMC] Conjunto de herramientas de configuracin de seguridad de MicrosoftMMC. 2003. o http://microsoft.com
[ISACA] ISACA (Information Systems Audit and Control Association). o http://www.isaca.org
[MRSA-ISACA]Metodologa de revisin de software aplicativo (Application Software Audit Methodology). ISACA (Information Systems Audit and Control Association). o http://www.isaca.org
[AAW-ISI] Auditora de aplicaciones web. Instituto Seguridad Internet (ISI). o http://www.instisec.com
220
[OSSTMM-ISECOM] Open Source Security Testing Methodology Manual OSSTMM. Pete Herzog. Isecom. o http://www.isecom.org
[AACF-ROBOTA] Auditora de aplicaciones y Cdigo fuente. Robota. o http://www.robota.net
221
VII. ANEXO I. MAEI RESUMEN DE FASES Y TAREAS

1 Definicin del Alcance. 1.1 Anlisis de Requerimientos de Usuario. 1.2 Elaboracin del Alcance. 1.3 Aprobacin del Alcance. 1.4 Estimacin de tiempos y costos. 1.5 Elaboracin del Plan de Trabajo. 2 Relevamiento. 2.1 Elaboracin del Relevamiento General. 2.2 Elaboracin del Relevamiento de Usuario. 2.3 Anlisis de vulnerabilidades. 2.4 Anlisis de Riesgos. 3 Planificacin .
3.1 Elaboracin del Plan de Aseguramiento. 3.2 Aprobacin del Plan de Aseguramiento. 4 Implantacin. 4.1 Elaboracin del Relevamiento de Activos. 4.2 Clasificacin de la Informacin. 4.3 Elaboracin/ adaptacin de la Normativa de Seguridad. 4.4 Publicacin de la Normativa de Seguridad. 4.5 Implantacin del Plan de Aseguramiento. 4.6 Elaboracin del Plan de Recuperacin del Entorno ante Desastres (PRED). 5 Estabilizacin. 5.1 Anlisis de resultados. 5.2 Ajuste. 5.3 Cierre de la implantacin. 5.4 Capacitacin de usuarios. 6 Mantenimiento. 6.1 Control de incidencias. 6.2 Control de cambios.
222
VIII. ANEXO II. ESTNDARES INTERNACIONALES. RESEA INTRODUCTORIA.
ISO/IEC estndar 17799 Information Technology Code of Practice for Information Security Management El ISO/IEC estndar 17799 es un marco que brinda recomendaciones para la gestin de la seguridad de la informacin. Su origen es el estndar britnico BS7799. Su objetivo es proveer de una base comn para el desarrollo de estndares de seguridad de la organizacin y una prctica efectiva de su administracin, brindando asimismo, confianza en las relaciones llevadas a cabo entre las organizaciones. Estas recomendaciones han de ser aplicadas por los responsables de iniciar, implantar o mantener la seguridad en sus organizaciones, entre las que se encuentran la definicin de seguridad de la informacin, la organizacin de la seguridad, controles en los distintos aspectos fsicos, lgicos, en el personal, en los activos de la compaa, control de accesos y gestin de comunicaciones, desarrollo y mantenimiento de sistemas, administracin de la continuidad del negocio, entre otros. En particular, este estndar trata el anlisis de Requerimientos de seguridad de los sistemas, que se ha tomado en esta metodologa como parte de los controles a realizar en la etapa de relevamiento y de anlisis de vulnerabilidades. Esta seccin describe cmo se deben tratar los datos de entrada: Los datos de entrada en sistemas de aplicacin deben ser validados para asegurar que son correctos y apropiados. Los controles deben ser aplicados a las entradas de las transacciones de negocios, datos permanentes (nombres y direcciones, lmites de crdito, nmeros de referencia al cliente) y tablas de parmetros (precios de venta, tasa de impuestos, ndice de conversin de dinero). Tambin especifica controles de procesamiento interno, asegurando que el diseo de aplicaciones debe asegurar que las restricciones se implementen para minimizar los riesgos de fallas de procesamiento, conducentes a una prdida de la integridad. Y controles en los datos de salida. Asimismo, encontramos la seccin Controles criptogrficos que establece criterios para aplicar controles criptogrficos, firma digital, servicios de no repudio, y la administracin de las claves criptogrficas, afirmando que Decidir si una solucin criptogrfica es apropiada, debe ser visto como parte de un proceso ms amplio de evaluacin de riesgos, para determinar el nivel de proteccin que debe darse a la
223
informacin. Se realiza este anlisis de riesgos en la etapa 2.4 de esta metodologa. La seccin Seguridad de los archivos del sistema trata el control del software operativo y la proteccin de los datos de prueba del sistema. Los relevamientos que forman parte de esta tesis se efectan segn lo dispuesto en la Ley Orgnica espaola 15/1999, de 13 de Diciembre, de Proteccin de datos de carcter personal, en adelante LOPD y Real Decreto 994/1999, de 11 de Junio, por el que se aprueba el Reglamento de Medidas de Seguridad (en adelante RMS) de los archivos automatizados que contengan datos de carcter personal. Finalmente, este trabajo se referencia en la verificacin de la seguridad de los procesos de desarrollo y soporte, y de los procedimientos de control de cambios en donde el estndar afirma que se debe imponer el cumplimiento de los procedimientos formales de control de cambios. Estos deben garantizar que no se comprometan los procedimientos de seguridad y control, que los programadores de soporte solo tengan acceso a aquellas partes del sistema necesarias para el desempeo de sus tareas, y que se obtenga un acuerdo y aprobacin formal para cualquier cambio. En el apartado Desarrollo y mantenimiento de sistemas del estndar se hace referencia a los controles considerados en la etapa de Anlisis de vulnerabilidades en las aplicaciones. Para validar la forma de realizacin de los cambios se han considerado los puntos referidos en la seccin Seguridad de los procesos de desarrollo y soporte. Para el registro y seguimiento de pistas de auditora se toma en cuenta la Monitorizacin del acceso y uso de los sistemas. Las secciones Validacin de los datos de entrada, Controles de procesamiento interno, y Validacin de los datos de salida se manifiestan como parte de la etapa 2.3.2. Para la ltima fase de esta metodologa (Mantenimiento) se han adaptado los controles y las recomendaciones de la seccin Respuesta a incidencias y anomalas en materia de seguridad.
Cobit Objetivos de Control para la Informacin y Tecnologas - 2000, emitido por el Comit directivo del Cobit y la Information Systems audit. and Control Fundation
224
Cobit es un estndar que pretende conciliar el negocio con los recursos (personas, aplicaciones, datos, tecnologa, instalaciones) del ambiente de IT, haciendo nfasis en la organizacin y en la planificacin. Define 34 procesos de IT que considera como unidades controlables, sobre los que establece objetivos de control. stos se agrupan en cuatro dominios: Planificacin y organizacin Adquisicin e implantacin Entrega y soporte Monitorizacin
Cobit define 318 objetivos detallados que involucran a todas las reas de la empresa. Estos objetivos permiten determinar la situacin actual, es decir, el nivel de madurez, segn el modelo de madurez o Capability Maturity Model (MMC), y permite fijar objetivos para subir el nivel mediante estos puntos de control. Para la elaboracin de esta metodologa se consideraron los siguientes puntos de control: Planificacin y organizacin:
Objetivos de Determinacin de la direccin tecnolgica para la verificacin de temas tcnicos de la aplicacin como la estrategia de recuperacin ante desastres. Objetivos de Definicin de la organizacin y las relaciones de IT para el anlisis del control interno y separacin de funciones. Los objetivos de Administracin de proyectos fueron considerados para los controles a realizar a nivel de metodologa de desarrollo de proyectos. Los de Administracin de calidad conforman la base para el estudio de la separacin de ambientes, el anlisis de los entornos y de las pruebas. Adquisicin e implantacin:
Para el anlisis de las interfases con los usuarios, el anlisis de la documentacin, aprobacin del diseo y de cambios como parte del control de cambios analizado en la etapa 2.3, se han analizado los objetivos de control de Adquisicin y mantenimiento del software de aplicacin, los de Desarrollo y mantenimiento de procedimientos y Administracin de cambios.
225
Entrega y soporte:
En el anlisis de la administracin de la seguridad informtica se estudiaron los objetivos de control de Garanta de la seguridad de los sistemas. Los objetivos de Administracin de problemas e incidenciasse consideran en la etapa de manejo de incidencias. El anlisis de manejo de datos es efectuado siguiendo los procedimientos presentados en Administracin de datos. El anlisis de las operaciones se basa en los objetivos de control de Administracin de operaciones. Monitoreo:
Los objetivos agrupados en Evaluacin de la idoneidad del control interno se consideran a la hora de evaluar la coherencia, efectividad y adecuacin del control interno.
MAGERIT Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin de las Administraciones Pblicas MAGERIT, es una metodologa formal destinada a investigar los riesgos que soportan los Sistemas de Informacin, y recomendar las medidas apropiadas que deberan adoptarse para controlar estos riesgos. Las recomendaciones de MAGERIT permiten conocer, prevenir, impedir, reducir o controlar los riesgos investigados, mediante la gestin de riesgos. En particular, se han considerado las presentes en la Gua Para Responsables Del Dominio Protegible, entre las que se encuentran: Conocimiento de las Amenazas, Estimacin de las Vulnerabilidades, Identificacin de Impactos, Estimacin de Impactos, Riesgos Segn MAGERIT, el anlisis de riegos identifica seis elementos: Activos Amenazas Vulnerabilidades Impactos 226
Riesgo Salvaguardas
Estos seis elementos son estudiados durante todo el proceso que presentamos en nuestra metodologa de revisin de aplicaciones, donde se realiza el relevamiento que abarca, entre otras cosas, la evaluacin de la aplicacin a revisar como activo lgico de la organizacin, y los elementos relacionados con sta como bases de datos y otras aplicaciones, para pasar a la etapa donde se identifican las amenazas, las vulnerabilidades y se estudia su riesgo asociado, para finalmente recomendar la mejor salvaguarda que corresponda.
227
IX. ANEXO III. GLOSARIO DE TRMINOS.

Los siguientes son trminos utilizados en este trabajo, [IRAM/ISO/IEC17799], [Huerta2000] , [Stallings1999], [Technet]: obtenidos de
Accesos autorizados: autorizaciones concedidas a un usuario para la utilizacin de los diversos recursos. Anlisis de riesgos: Evaluacin de las amenazas, impactos y vulnerabilidades relativos a la informacin y a las instalaciones de procesamiento de la misma, y a la probabilidad de que ocurran. Autenticacin: procedimiento de comprobacin de la identidad de un usuario. Autorizacin: Garantizar que todos los accesos a datos y/o transacciones que los utilicen, cumplan con los niveles de autorizacin correspondientes para su utilizacin y divulgacin. Backup: copia de los datos de un archivo automatizado en un soporte que posibilite su recuperacin. Basurero: La informacin de los desperdicios dejados alrededor de un sistema puede ser aprovechada por intrusos provocar un hurto o dao. Bombas lgicas: Programas que se activan al producirse un acontecimiento determinado. La condicin suele ser una fecha (Bombas de Tiempo), una combinacin de teclas, o un estilo tcnico Bombas Lgicas), etc. Si no se produce la condicin permanece oculto al usuario. Backdors y trapdors: Son instrucciones que permiten a un usuario acceder a otros procesos o a una lnea de comandos, y suelen ser aprovechados por intrusos malintencionados para tomar control sobre las computadoras. Challenge-response: Metodologa utilizada para la autenticacin de usuarios denominada usualmente desafo-respuesta. Se realiza un interrogante o una serie de ellos que slo el usuario autorizado puede conocer la respuesta. Chip-cards: Tarjetas que poseen integrado un circuito impreso, en el cual se almacenan datos que posibilitan la autenticacin del usuario. Cliente: toda entidad, empresa, organismo o persona que presente su entorno informatizado con el fin de que el ES lo analice y lo asegure. 228
Conejos: Programas que no daan directamente al sistema por alguna accin destructiva, sino que tienen la facilidad de reproducirse exponencialmente de manera de provocar en poco tiempo una negacin de servicio al consumir los recursos (memoria, disco, procesador, etc). Confiabilidad: Garantizar que los sistemas informticos brinden informacin correcta para ser utilizada en la operatoria de cada uno de los procesos. Confidencialidad: Garantizar que toda la informacin est protegida del uso no autorizado, revelaciones accidentales, espionaje industrial, violacin de la privacidad y otras acciones similares de accesos de terceros no permitidos. Contrasea: informacin confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticacin de un usuario. Control de acceso: mecanismo que en funcin de la identificacin ya autenticada permite acceder a datos o recursos. Copia del respaldo o resguardo: ver backup. Courier: Mensajero, correo. Persona o dispositivo mediante el cual se envan mensajes o elementos. Desktop environments: Configuraciones de escritorio. Dial-back: Metodologa de rellamado ante la recepcin de peticin para establecer una comunicacin con un servidor. Al recibir este dicho requerimiento produce el corte de la llamada y luego se comunica mediante una direccin preestablecida. Disponibilidad: Garantizar que la informacin y la capacidad de su tratamiento manual y automtico, sean resguardados y recuperados eventualmente cuando sea necesario, de manera tal que no se interrumpa significativamente la marcha de las actividades. Download: (descargar, bajar, bajarse) En Internet proceso de transferir informacin desde un servidor de informacin al propio ordenador personal. Eaves dropping: Es la escucha no autorizada de conversaciones, claves, datos, etc.
229
Eficacia: Garantizar que toda informacin que sea utilizada es necesaria y entregada de forma oportuna, correcta, consistente y til para el desarrollo de las actividades. Eficiencia: Asegurar que el tratamiento de la informacin se realice mediante una ptima utilizacin de los recursos humanos y materiales. Entorno: Se considera entorno un amplio espectro de ambientes, desde empresas multinacionales distribuidas fsicamente en el mundo hasta datos individuales, una empresa informatizada, puede definirse como el edificio que alberga a la empresa objetivo o como el Centro de Cmputos (CC) o Centro de Procesamiento de Datos (CPD) donde se encuentran los servidores, un sector informatizado de un negocio, una red de telecomunicaciones, un equipo de cmputos, una aplicacin, archivos lgicos o cualquier elemento susceptible a ataques informticos. ES: Experto en Seguridad. En este trabajo se lo considera el principal actor, que utiliza la metodologa AEI para asegurar un entorno informatizado. Exactitud: Asegurar que toda la informacin se encuentre libre de errores y/o irregularidades de cualquier tipo. Fallback: Metodologa de emergencia ante fallas que posibilitan la recuperacin de informacin perdida. Firewall (cortafuegos): Dispositivo que se coloca entre una red local e Internet y cuyo objetivo es asegurar que todas las comunicaciones entre los usuarios de dicha red e Internet se realicen conforme a las normas de seguridad de la organizacin que lo instala. Gateway (pasarela): Punto de una red que acta como punto de entrada a otra red. Gusanos (Worms): Son programas independientes (no necesitan insertarse en otros archivos) que se expanden a travs de la red realizando distintas acciones como instalar virus, o atacar una PC como un intruso. Hacker (pirata): Una persona que goza alcanzando un conocimiento profundo sobre el funcionamiento interno de un sistema, de un ordenador o de una red de ordenadores. Este trmino se suele utilizar indebidamente como peyorativo, cuando en este ltimo sentido sera ms correcto utilizar el trmino cracker. Los hackers proclaman tener una tica y unos principios contestatarios e inconformistas pero no delictivos. Hacking (pirateo): Accin de piratear sistemas informticos y redes de telecomunicacin. 230
Herramientas de seguridad: Son utilitarios que sirven para identificar vulnerabilidades en un sistema. Pueden ser una amenaza si un intruso las utiliza en el sistema y detecta fallas en la seguridad de las que el administrador no est enterado. Hoax: (camelo, bulo) Trmino utilizado para denominar a rumores falsos, especialmente sobre virus inexistentes, que se difunden por la red, a veces con mucho xito causando al final casi tanto dao como si se tratase de un virus real. Host system: (sistema anfitrin, sistema principal) Ordenador que, mediante la utilizacin de los protocolos TCP/IP, permite a los usuarios comunicarse con otros sistemas anfitriones de una red. Los usuarios se comunican utilizando programas de aplicacin, tales como el correo electrnico, Telnet, WWW y FTP. La acepcin verbal (to host) describe el hecho de almacenar algn tipo de informacin en un servidor ajeno. Identificacin: procedimiento de reconocimiento de la identidad de un usuario. ID: Nombre o identificacin de usuario. Incidencia o incidente: cualquier anomala que afecte o pudiera afectar a la seguridad del entorno. Ingeniera social: Consiste en la manipulacin de las personas para que voluntariamente realicen actos que normalmente no haran, como revelar su contrasea o cambiarla. Integridad: Asegurar que sea procesada toda la informacin necesaria y suficiente para la marcha de las actividades en cada uno de los sistemas informatizados y procesos transaccionales. Laptop: (computador porttil, ordenador porttil) Ordenador de tamao pequeomedio, que se puede transportar como un maletn y apoyar en el regazo (lap). Legalidad: Asegurar que toda la informacin y los medios fsicos que la contienen, procesen y/o transporten, cumplan con las regulaciones legales vigentes en cada mbito. Logged in: Conexin del equipamiento. Logged out: Desconexin de equipamiento.
231
Logging: Registro de actividades en un archivo informtico, de diferentes situaciones, se utiliza normalmente como evidencia de auditoria. Login: Conexin. Entrada en una red. Logon: Procedimiento de conexin o entrada al sistema por parte de un usuario. Logs: Registros de situaciones en un sistema informtico, tales como actividades de usuarios, control de contraseas, etc. Es el resultado de puesta en marcha del logging. Mainframe: Estructura principal. multiusuario, utilizada en empresas. Computadora de gran tamao de tipo
Masquerading: Un intruso puede usar la identidad de un usuario autorizado que no le pertenece simplemente apoderndose de un nombre de usuario y contrasea vlidos. No Repudio: Garantizar los medios necesarios para que el receptor de una comunicacin pueda corroborar fehacientemente la autenticidad del emisor. Notebook: Computador u ordenador porttil. Normativa de Seguridad: Conjunto de reglas, normas, procedimientos, estndares e instructivos que regulan los aspectos funcionales y tcnicos de la seguridad informtica en una organizacin. Outputs: Salida. Se refiere al producto del proceso de datos, con relacin a su presentacin, bien puede ser impresa o por pantalla u otro medio idneo. Over-classification: Clasificacin en exceso. Se refiere al proceso de clasificacin de la informacin con relacin a la categorizacin respecto a su publicidad o no. PABXs: Centralita privada automtica (Private Automatic Branch eXchange) (ramal de intercomunicacin telefnica privada). Son ramales de intercomunicacin digital interno que permiten manejar tanto la circulacin de voz como la de los datos, utiliza conmutacin de circuitos. Palmtop: (computador de palma, ordenador de palma) Ordenador de pequeo tamao, algo mayor que un paquete de cigarrillos, que se puede llevar en la palma de la mano (palm) y que, adems de otras funciones, permite la conexin con Internet.
232
Password: (palabra de paso, contrasea) Conjunto de caracteres alfanumricos que permite a un usuario el acceso a un determinado recurso o la utilizacin de un servicio dado. PC: Personal Computer. Computadora Personal.
Piggy backing: Ocurre cuando un usuario no autorizado accede a una zona restringida gracias al permiso otorgado a otra persona que s est autorizada. PIN: Personal Identification Number. Nmero de identificacin personal, clave utilizada para el acceso a cajeros automticos, asociada con una tarjeta de dbito o de credito. Proteccin Fsica: Garantizar que todos los medios de procesamiento y/o conservacin de informacin cuenten con medidas de proteccin fsica que eviten el acceso y/o utilizacin indebida por personal no autorizado. Propiedad: (derecho a propiedad) Asegurar que todos los derechos de propiedad sobre la informacin utilizada en el desarrollo de las tareas, estn adecuadamente establecidos a favor de sus propietarios. Recurso: cualquier parte componente de un entorno informatizado. Router: Sistema constituido por hardware y software para la transmisin de datos en una red. El emisor y el receptor deben utilizar el mismo protocolo de comunicaciones. Scanners: Software, a veces asociado a equipamiento que permite realizar la inspeccin de comunicaciones, usualmente mediante el barrido de frecuencias. Schedulling: Planificacin, se utiliza como requerimiento para el desarrollo de tareas, programacin, ejecucin de procesos, etc. Shoulder Surfing: Consiste en espiar fsicamente a los usuarios para obtener claves de acceso al sistema, nmeros vlidos de tarjetas de crdito, etc. Spooled data: Datos en cola de espera. Los mismos pueden hallarse en dicha situacin para su ingreso o su salida, impresin. Start-up: Inicio del sistema. Tanto de software, programa o aplicacin, como de hardware, equipamiento.
233
Stop: Cierre del sistema. Tanto de software, programa o aplicacin, como de hardware, equipamiento. Seguridad de la informacin: La preservacin de la confidencialidad, integridad y disponibilidad de la informacin. Sistemas de informacin: conjunto de archivos automatizados, programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos. Software malicioso: (malware) Es un trmino comn que se utiliza al referirse a cualquier programa malicioso o inesperado o a cdigos mviles como virus, troyanos, gusanos o programas de broma. Soporte: objeto fsico susceptible de ser tratado en un entorno informatizado y sobre el cual se pueden grabar o recuperar datos. Teleworking site: Sitio de trabajo remoto o a distancia. Timeouts: Son programas que se pueden utilizar durante un perodo de tiempo determinado; Tokens: Dispositivos de hardware que posibilitan la generacin aleatoria de claves de acceso. Troyanos: Similar al famoso Caballo de Troya, estos programas maliciosos ocultan sus intenciones reales bajo la apariencia de un juego, una animacin, etc. Algunos troyanos permiten el acceso al equipo infectado, otros borran archivos, introducen un virus o comprometen la seguridad del sistema atacado de diferentes maneras. Upgrading: Ascender de nivel, actualizar, modernizar. UPS: Usage Parameter Control. Parmetros de control de uso. Usuario: sujeto o proceso autorizado para acceder a datos o recursos. Web: World Wide Web, o simplemente Web, es el universo de informacin accesible a travs de Internet, una fuente inagotable del conocimiento humano. Worms: (Gusanos) Son programas que tratan de reproducirse a si mismo, no produciendo efectos destructivos sino el fin de dicho programa es el de colapsar el sistema o ancho de banda, replicndose a si mismo. 234

Bisogno Tesisdegradoingenieriainformatica

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Bisogno Tesisdegradoingenieriainformatica

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD DE BUENOS AIRES FACULTAD DE INGENIERA Ingeniera en informtica

Metodologa para el Aseguramiento de Entornos Informatizados MAEI.

Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.

Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.

Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.

Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.

Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.

Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.

Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.

Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.

2. Estado del Arte de la Seguridad Informtica.

Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.

Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.

3. Motivacin para la realizacin de este trabajo

Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.

Implantacin de las soluciones en plataformas tecnolgicas especficas:

Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.

5. Organizacin del documento

Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.

1.2 La implantacin de la solucin. Este segundo grupo de fases comprende:

Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.

Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.

Plan de aseguramiento aprobado?

Definicin del Alcance

Estudio del Entorno

Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.

Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.

Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.

Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.

Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.

ES, cliente ES, cliente cliente ES

Documento Usuario Alcance

Relevamiento General Relevamiento de Usuario

Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.

ENTREGABLE Mapa de Vulnerabilidades Informe de Riesgos

3.1.2.1 Proteccin de la informacin 3.1.2.2 Proteccin Operativos de los Sistemas

3.1.2.3 Proteccin de los datos

Inventario de Activos Inventario de Activos

Presentaciones, Documentacin, Manual de Seguridad

Inventario de Activos, ABM Activos Inventario de Activos, ABM Activos

Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.

Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.

IV. DESARROLLO DE LA METODOLOGA AEI

Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.

Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.

DEFINICIN DEL ALCANCE

Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.

1.1 Anlisis de Requerimientos de Usuario

Elementos a asegurar por nivel:

Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.

Nivel fsico: o Elementos a asegurar del nivel fsico.

Nivel lgico: o Elementos a asegurar del nivel lgico.

Nivel de la organizacin: o Elementos a asegurar del nivel de la organizacin.

1.1.2 Ejemplo - Requerimientos de Usuario

Niveles a asegurar: Nivel fsico; Nivel lgico.

1.2 Elaboracin del Alcance

Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.

Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.

Planificacin del trabajo

Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.

Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.

Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.

Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno.

1.3 Aprobacin del Alcance