Documentos de Académico
Documentos de Profesional
Documentos de Cultura
"Metodología para El Aseguramiento de Entornos Informatizados" - MAEI PDF
"Metodología para El Aseguramiento de Entornos Informatizados" - MAEI PDF
FACULTAD DE INGENIERA
Ingeniera en informtica
Tesis de grado:
Metodologa para el
Aseguramiento de Entornos
Informatizados MAEI.
I.
NDICE:
I.
ndice:..................................................................................................... 1
II.
Prefacio...................................................................................... 6
1. Propsito de la tesis.................................................................................. 6
2. Estado del Arte de la Seguridad Informtica. ................................................ 8
3. Motivacin para la realizacin de este trabajo ............................................. 10
4. Alcance de la tesis .................................................................................. 11
5. Organizacin del documento .................................................................... 12
III.
Introduccin. ............................................................................ 13
1. La metodologa. ..................................................................................... 13
1.1 El estudio del entorno......................................................................... 13
1.2 La implantacin de la solucin. ............................................................ 13
2. Descripcin de las fases. ......................................................................... 15
IV.
Conclusin.............................................................................. 214
VI.
VII.
VIII.
II.
PREFACIO
1. Propsito de la tesis
La Seguridad Informtica es una disciplina cuya importancia crece da a da.
Aunque la seguridad es un concepto difcil de medir, su influencia afecta
directamente a todas las actividades de cualquier entorno informatizado en los que
interviene el Ingeniero en Informtica, por lo que es considerada de vital
importancia.
[Huerta2000] define la seguridad como una caracterstica de cualquier sistema
(informtico o no) que nos indica que ese sistema est libre de todo peligro, dao o
riesgo, y que es, en cierta manera, infalible... para el caso de sistemas
informticos, es muy difcil de conseguir (segn la mayora de los expertos,
imposible) por lo que se pasa a hablar de confiabilidad.
[IRAM/ISO/IEC17799] sostiene que la seguridad de la informacin protege a sta de
una amplia gama de amenazas, a fin de garantizar la continuidad comercial,
minimizar el dao al negocio y maximizar el retorno sobre las inversiones y las
oportunidades.
En cualquier entorno informatizado es necesario estar protegido de las mltiples (y
hasta desconocidas) amenazas, garantizando, fundamentalmente, la preservacin de
tres caractersticas:
Descubrimiento de informacin;
Invasin a la privacidad;
Denegacin de servicios;
Etc.
enormemente en los ltimos aos, al punto en que somos capaces de afirmar que es
posible lograr una completa enumeracin de las fallas de seguridad de los sistemas y
los entornos en los que viven.
Estas fallas de seguridad son las que se convierten en amenazas susceptibles de ser
aprovechadas por usuarios malintencionados para causar dao o algn tipo de
invasin a la confidencialidad.
Protegerse contra accesos no autorizados es el problema ms sencillo a resolver, ya
que durante aos se han desarrollado y perfeccionado algoritmos matemticos para
la encripcin de datos, para el intercambio seguro de informacin, para garantizar el
correcto funcionamiento del software, que se ha traducido en herramientas capaces
de proporcionar soluciones rpidas y sencillas a problemas tcnicos de seguridad.
Desafortunadamente, no es suficiente simplemente arreglar los errores o eliminar las
fallas tcnicas de seguridad. El problema va mucho ms all.
La Seguridad Informtica es un problema cultural, en el que el usuario juega un rol
protagnico.
La responsabilidad sobre la seguridad de los datos y equipos ya no recae solamente
en el personal tcnico especializado encargado de resguardar los bienes y servicios
brindados por el entorno, sino que es el usuario el que debe velar por la seguridad de
los bienes fsicos y lgicos que maneja.
Para ello debe existir una conciencia de trabajo seguro, de resguardo de la
confidencialidad y de proteccin de los activos utilizados a diario en el trabajo de
cada individuo.
Por esta razn la seguridad Informtica debe estar incorporada desde el principio de
todo proceso, desde el diseo para garantizar la evaluacin de todos los factores
funcionales (y no solamente los tcnicos) a tener en cuenta para el uso seguro del
entorno. Si esto sucede, el objetivo inicial de la seguridad habr sido logrado.
La seguridad, entonces, debe nacer en el diseo seguro de los sistemas, de la
correcta formacin de la estructura de la organizacin, de la adecuada distribucin de
tareas y contraposicin de intereses en los roles de control y ejecucin de tareas.
Luego de lograr eso se deben implantar medidas de ndole tcnica que garanticen el
adecuado uso de los recursos y servicios solamente a los usuarios autorizados, y la
disponibilidad de los mismos.
Pero lo importante es ver que la Seguridad Informtica ya no es un problema de la
gente especializada en sistemas, sino que ha salido de los laboratorios y los centros
de cmputo para instalarse en el escritorio del usuario, en donde nacen los
problemas de Seguridad.
10
4. Alcance de la tesis
En esta tesis se desarrollar una metodologa de trabajo.
Se describirn las tareas y subtareas a realizar para obtener resultados especficos,
se indicar un orden para realizarlas, se servir de documentacin a desarrollar para
completar informes y relevamientos, se dar un marco general para el desarrollo del
proyecto de aseguramiento del entorno en estudio, pero no se entrar en detalle en
los siguientes temas:
11
ndice
II.
Prefacio
III.
Introduccin
IV.
V.
Conclusin
VI.
Bibliografa
VII.
VIII.
IX.
2.
Relevamiento.
3.
Planificacin.
4.
Implantacin.
5.
Estabilizacin.
6.
Mantenimiento.
12
III. INTRODUCCIN.
1. La metodologa.
La metodologa propuesta se compone de seis fases que agrupan etapas. Estas fases,
a su vez, desde un aspecto macroscpico se pueden generalizar en dos grandes
grupos: el estudio del entorno y la implantacin de la solucin.
El Relevamiento;
La Planificacin.
13
La Implantacin de la solucin;
14
Plan de
aseguramiento
aprobado?
No
Implantacin de
la solucin
Planificacin
Relevamiento
Definicin del
Alcance
Implantacin
Estabilizacin
Estudio del
Entorno
Entorno
inseguro
Entorno
protegido
Mantenimiento
1.2
1.3
15
1.5
2. Relevamiento
En esta etapa el ES comienza a familiarizarse con el entorno a proteger, mediante
la identificacin de los elementos que lo componen.
Comprende las siguientes etapas:
2.1
2.2
2.3
Anlisis de vulnerabilidades
Determinacin de las amenazas presentes en la organizacin respecto de la
seguridad.
2.4
Anlisis de riesgos
Se analiza el impacto y la probabilidad de ocurrencia de las vulnerabilidades
detectadas en la etapa anterior, el riesgo que implican y los potenciales
nuevos riesgos a los que est expuesto el entorno.
3. Planificacin
Esta fase comprende el anlisis detallado de los puntos a proteger estudiando el
entorno en distintos aspectos: el fsico, el lgico y el de la organizacin.
3.1
4. Implantacin
En esta fase se llevar a cabo el Plan de Aseguramiento antes propuesto (y
aprobado) y las etapas de ajuste poltico y organizativo que el ES considere
necesarias.
Vemos a continuacin las etapas de esta fase:
4.1
4.2
Clasificacin de la Informacin
A partir del anlisis de criticidad de los activos, se procede a clasificar la
informacin segn su grado de criticidad en cuanto a la disponibilidad,
confidencialidad e integridad. Esto permitir determinar las medidas
necesarias de seguridad a fijar en el marco normativo de la empresa.
4.3
4.4
17
4.5
4.6
5. Estabilizacin
En este perodo se pretende estabilizar el entorno ya que a esta altura del
proyecto, seguramente ha sufrido numerosos cambios.
Se hace una observacin y evaluacin de la implantacin en las siguientes
etapas:
5.1
Anlisis de resultados
En esta etapa se cotejan los resultados obtenidos con el Alcance planteado
en la fase 1 de esta metodologa y se evalan los resultados obtenidos: los
objetivos logrados y los puntos postergados o descartados con su respectiva
justificacin.
5.2
Ajuste
Esta subfase de estabilizacin est dedicada a realizar ajustes sobre el Plan
de Aseguramiento segn los resultados obtenidos y analizados en la etapa
anterior de esta misma fase y los inconvenientes o nuevos requerimientos
que pudieran surgir en la etapa de implantacin.
18
Los puntos de control que necesiten cambios, mejoras o los que surjan
durante el proyecto se tomarn en cuenta para completar y adaptar el Plan
de aseguramiento para una segunda implementacin, delimitando
nuevamente su Alcance, que podr reducirse a aplicar solamente los
cambios surgidos en esta etapa para lograr un completo aseguramiento del
entorno.
5.3
Cierre de la implantacin
El cierre de la implantacin se realiza cuando se concluyeron los ltimos
controles que constituyen el Plan de Aseguramiento y concluidas las etapas
de concientizacin y capacitacin de usuarios de la fase 4 de esta
metodologa.
5.4
Capacitacin de usuarios
Se les explica a los usuarios los cambios efectuados, los nuevos procesos y
formas de proceder ante incidencias, y la manera en que deben administrar
la seguridad para mantener el entorno protegido.
6. Mantenimiento
Esta fase comienza posteriormente a la implantacin del Plan de Aseguramiento,
luego de la estabilizacin del entorno y se mantiene durante toda su vida.
Durante la vida del entorno ocurrirn incidencias y cambios que debern ser
analizados y documentados, as como tambin se debern llevar a cabo controles
peridicos y aplicar las correspondientes actualizaciones para mantener un nivel
confiable de seguridad en el entorno, en las siguientes subfases:
6.1
Control de incidencias
Esta fase se ocupa de analizar y documentar las incidencias ocurridas del
uso diario de los recursos, tales como:
Fallas en procesos;
Avero de documentacin;
Prdida de bienes;
Etc.
19
Control de cambios
Durante la vida del sistema se producirn cambios en el aspecto lgico como
fsico, que debern ser detalladamente registrados. Se deber documentar
cada Alta, Baja o Modificacin de activos en un archivo especfico que
llamaremos ABM Activos, y que est directamente relacionado con el
Inventario de Activos.
Esta etapa incluye la peridica actualizacin de software antivirus y de
deteccin de intrusos, la revisin peridica del archivo de los registros de log
del sistema, el mantenimiento de las dems herramientas de las que se
hace uso durante la implantacin, etc.
El ES establecer los perodos con que se realizan los controles establecidos
en el plan de aseguramiento, segn l lo crea conveniente para el caso en
estudio.
A continuacin se muestra una tabla con las fases y etapas de esta metodologa y la
documentacin propuesta para su implantacin:
FASE / ETAPA
ACTOR
ENTREGABLE
ES, cliente
Documento
Usuario
ES, cliente
Alcance
cliente
de
Requerimientos
de
ES
ES
Plan de Trabajo
2 Relevamiento
2.1 Elaboracin del Relevamiento General
2.2 Elaboracin del Relevamiento de Usuario
ES,
usuarios
ES
Relevamiento General
Relevamiento de Usuario
20
FASE / ETAPA
ACTOR
ENTREGABLE
ES
Mapa de Vulnerabilidades
ES
Informe de Riesgos
3 Planificacin
ES
ES
Plan de Aseguramiento
ES
Plan de Aseguramiento,
Elementos de Red
ES
Plan de Aseguramiento
ES
Plan de Aseguramiento,
Elementos de Red
ES
ES
Plan de Aseguramiento
3.1.2.2
Proteccin
Operativos
de
los
Sistemas
Mapa
de
Mapa
de
ES
ES
Plan de Aseguramiento
cliente
4 Implantacin
4.1 Elaboracin del Relevamiento de Activos
ES
ES
Inventario de Activos
ES
Inventario de Activos
ES
ES
cliente
4.3.2
Elaboracin/adaptacin
Normativa de Seguridad
de
la
ES
Manual de Seguridad
Organigrama,
documentacin
proceso comercial, etc.
del
Manual de Seguridad
de
la
Normativa
de
Comunicados,
Documentacin,
Presentaciones,
Presentaciones,
Documentacin,
Manual de Seguridad
ES
ES
4.5.3
Implantacin
nivel
de
la
21
FASE / ETAPA
ACTOR
ENTREGABLE
organizacin
4.6 Elaboracin del Plan de Recuperacin
del Entorno ante Desastres
5 Estabilizacin
5.1 Anlisis de resultados
ES
Informe de Implantacin
ES
ES
ES, cliente
ES, cliente
5.2 Ajuste
6 Mantenimiento
22
2.
Relevamiento
3.
Planificacin
4.
Implantacin
5.
Estabilizacin
6.
Mantenimiento
23
24
Contenido:
1.1 Anlisis de Requerimientos de Usuario
1.1.1 Documento de Requerimientos de Usuario
1.1.2 Ejemplo - Documento de Requerimientos de Usuario
1.2 Elaboracin del Alcance
1.2.1 Alcance
1.2.2 Ejemplo - Alcance
1.3 Aprobacin del Alcance
1.4 Estimacin de tiempos y costos
1.4.1 Costos capitales
1.4.2 Costos recurrentes
1.4.3 Costos No recurrentes
1.5 Elaboracin del Plan de Trabajo
25
Nivel fsico;
Nivel lgico;
Nivel de la Organizacin.
26
Nivel fsico:
o
Nivel lgico:
o
Nivel de la organizacin:
o
Niveles a asegurar:
Nivel fsico;
Nivel lgico.
Nivel fsico:
o
Nivel lgico:
o
En esta etapa se determinan claramente todos los puntos sobre los que se elaborar
el Plan de Aseguramiento y se registran en un documento elaborado para tal fin. Este
documento se llamar Alcance.
Cabe mencionar que el Alcance es elaborado por el ES con una adecuada
colaboracin del cliente, que deber asumir responsabilidad sobre los temas que se
decida dejar fuera del proyecto. ste deber reflejar objetivos claros y puntuales que
se debern cumplir en el proceso de aseguramiento.
1.2.1 Alcance
El Alcance deber contener la siguiente informacin:
Objetivo
Se define claramente lo que se pretende lograr en el proyecto.
Los objetivos deben responder al acrnimo SMART, que enmarca las prcticas
fundamentales necesarias para alcanzar alta motivacin y mejora para conseguir el
objetivo propuesto:
S : Simple, especfico con un significado preciso.
M: Meaningful (con significado), motivante, mensurable.
A: Aceptable, alcanzable orientado a la accin, acordado, activable, asignable.
R: Realstico, susceptible a revision, relative, compensatorio, razonable, orientado a
resultados, relevante a una misin.
T: Timelines (lneas de tiempo), con registro de fecha, relacionado con el tiempo,
tangible, basado en tiempo, especfico en el tiempo, limitado por el tiempo,
relacionado con el tiempo, verdadero.
Nivel fsico;
Nivel lgico;
Nivel de la organizacin.
29
Definicin de las etapas o fases en que se desarrollar el proyecto, a nivel macro, sin
entrar en detalle.
Entregables de cada etapa
El cliente debe ver el avance del proyecto a medida que transcurre el tiempo. Para
eso se define una serie de documentos o entregables de cada etapa del proyecto que
reflejarn el trabajo hecho.
Consideraciones adicionales
Consideraciones que el ES crea necesarias para el proyecto.
31
32
Test de viabilidad.
Etapa 3:
Polticas
de
Seguridad,
Normas,
Procedimientos,
Estndares
Tcnicos,
Manuales de Procedimiento;
Inventario de Activos;
ABM de Activos;
Presentaciones y comunicados a usuarios como medio de capacitacin.
Etapa 4:
Informe de Implantacin;
Informe de cierre de la implantacin.
Etapa 5:
Registro de Incidencias.
33
del apoyo del nivel gerencial y la seriedad con que tomen el proyecto (pues
muchas decisiones surgirn a ese nivel, como la aprobacin de la poltica de
seguridad).
Es por eso que la experiencia le dar al ES la capacidad para medir el tiempo que le
llevar hacer cada tarea segn los parmetros antes mencionados.
La estimacin de costos, por otro lado, es una variable fundamental a determinar, en
la que la experiencia del ES se utiliza para la asignacin de recursos, a partir de la
cual se calculan los costos.
Para ello existen mtodos, pero no es el fin de este trabajo entrar en detalle al
respecto.
En esta seccin mencionaremos los costos que se debern tener en cuenta a nivel
general. Como en todo este trabajo, se deja la responsabilidad al ES de bajar el nivel
de anlisis, para que, siguiendo esta Metodologa para el Aseguramiento de Entornos
Informatizados, llegue al punto de reflejar el caso en el que est trabajando.
Los costos que genera un proyecto de IT como ste se pueden categorizar en 3
clases:
costos capitales;
costos recurrentes;
costos no recurrentes.
CPUs;
Workstations;
Laptops;
Monitores;
Impresoras;
Scanners.
Equipos de telecomunicaciones:
o
Routers;
Switches;
Hubs;
Modems;
Servidores;
Cableado de red.
Software:
o
Sistemas operativos;
Aplicaciones;
Software de comunicaciones;
Utilitarios;
Firewalls;
IDSs.
Otros:
o
UPSs o SAIs;
Mueblera.
35
En contraste con los costos capitales, los costos recurrentes deben ser tratados como
si fueran a ser pagados completamente al ser facturados.
Los costos recurrentes en general son costos operativos, en muchos casos fciles de
definir como alquileres de equipos y salarios. Otros son ms difciles de distinguir de
los costos capitales, como por ejemplo la compra de hardware y software, que
pueden ser tratados como costos capitales o recurrentes.
En el entorno de IT, los costos recurrentes son los siguientes:
Salarios
Incluye los costos por todos los empleados involucrados directa o indirectamente
con el proyecto, encargados del manejo, el soporte y la administracin del
proyecto en todas sus fases.
Contratos
Contratos a ser pagados regularmente durante la vida del entorno, como por
ejemplo:
o Contratos de mantenimiento de hardware;
Hardware:
o
Alquiler de equipos;
Actualizacin de equipos;
Mantenimiento interno.
Software:
o
Actualizacin de software;
Licencias de software;
Mantenimiento interno.
Telecomunicaciones:
o
Alquileres;
Transmisin de datos;
Mantenimiento.
Recursos humanos:
36
Salarios;
Seguros;
Capacitacin;
Provisiones;
Viajes.
Salarios;
Contratos;
Estudios
Conversin de costos;
Provisin de datos;
Testing;
Auditoras internas;
Costos incidentales;
Entrenamiento;
Viajes;
Documentacin.
Una vez estimados los tiempos y los costos a invertir en el proyecto, el ES est en
condiciones de elaborar la propuesta de trabajo que contendr el Plan de trabajo que
especifique las tareas y los recursos necesarios para desarrollarlas.
37
El paso siguiente a la elaboracin del Alcance, y una vez aprobado por los
responsables, es la elaboracin del Plan de Trabajo.
Este Plan de Trabajo no es ms que la organizacin de las tareas a desarrollar
durante la duracin estimada del proyecto.
En todo plan se fijan objetivos o hitos a cumplir. Estos hitos estn asociados a una
serie de tareas necesarias para lograr el objetivo, que tendrn un perodo asignado.
Una buena prctica es fijar las fechas de inicio y fin de la tarea para que los perodos
no se extiendan demasiado.
Cada subetapa del proyecto tendr (o no) entregables, documentos o resultados para
los que se trabaja en el perodo asignado.
A su vez, el comienzo de una tarea puede depender del resultado de otras tareas,
por lo que no podr comenzar hasta que todas las tareas de las que depende hayan
finalizado.
Puede haber tareas que se solapen, cuyo resultado alimente otra tarea, etc.
Las posibilidades de dependencia son mltiples, por lo que es importante organizarlas
con anticipacin previendo posibles retrasos o inconvenientes.
El Plan de Trabajo deber incluir, como mnimo:
Perodos laborales;
Hitos;
Tareas;
Fases;
Solapamiento de tareas;
Ejemplo
Como ejemplo incluimos una imagen de un Plan de Trabajo de un proyecto de
normativa de seguridad.
Este proyecto se desarrolla en dos semanas, y est compuesto de 17 tareas.
Id Task Name
Duracin
ay '04
23 may '04
30 may '04
M M J V S D L M M J V S D L M M
10 das
Sondeo General
2 das
Responsabilidades de seguridad
2 das
2 das
2 das
2 das
3 das
1 da
2 das
10
Proteccin fsica
2 das
11
2 das
12
Ambientes de procesamiento
2 das
13
Continuidad de procesamiento
2 das
2 das
14
15
Sondeo en planta
1 da
16
Revisin documentacin
1 da
17
1 da
18
3 das
19
Actualizacin de la documentacin
3 das
20
1 da
39
RELEVAMIENTO
Contenido:
2.1 Elaboracin del Relevamiento General
2.1.1 Relevamiento General
2.2 Elaboracin del Relevamiento de Usuario
2.2.1 Relevamiento de Usuario
2.2.2 Asignacin de puntaje
2.2.3 Aclaracin sobre las preguntas
2.2.4 Resultados de la evaluacin
2.2.5 Evaluacin del entorno
2.2.5.1 Referencias al puntaje obtenido en el test por nivel
2.2.5.2 Configuraciones de resultados
2.3 Anlisis de vulnerabilidades
2.3.1 Conocer al enemigo
2.3.2 Ejemplo Atacantes
2.3.3 Las amenazas
2.3.4 Anlisis de Vulnerabilidades
2.3.4.1 Aspectos funcionales
2.3.4.2 Anlisis de la documentacin
2.3.4.3 Anlisis de las aplicaciones y equipos
2.3.4.3.1 Intento de Penetracin
2.3.4.3.2 Herramientas de anlisis de vulnerabilidades
2.3.5 Mapa de Vulnerabilidades
2.3.5.1 Vulnerabilidades a nivel fsico
2.3.5.2 Vulnerabilidades a nivel lgico
2.3.5.3 Vulnerabilidades a nivel de la organizacin
2.4 Anlisis de Riesgos
2.4.1 Informe de Riesgos
2.4.2 Ejemplo Informe de Riesgos
40
La arquitectura de la red;
Para verificar estos puntos de control el ES puede realizar las siguientes tareas:
Entrevistar a los responsables del nivel gerencial para obtener informacin sobre
el manejo del negocio y sobre los aspectos crticos del mismo;
Entrevistar a los responsables del nivel gerencial para obtener informacin sobre
el manejo del negocio y los activos de informacin que los soportan;
42
Rubro de la empresa
Calidad de la sede
o
Negocio
o
Descripcin;
Procesos de negocio;
Productos;
Servicios;
Actividades rutinarias;
Actividades extraordinarias;
Actividades excepcionales.
Dependencia:
o
Si es multinacional:
o
Informacin edilicia:
43
Cantidad de edificios;
Red
o
Arquitectura fsica;
Arquitectura lgica;
Protocolos;
Cableado.
Hardware
o
Cantidad de telfonos;
Software
o
Sistemas Operativos;
Utilitarios;
Bases de datos;
Software de gestin;
Otros;
Cantidad de licencias.
Personal
o
Jerarqua;
Cantidad de reas;
Cantidad de sectores;
44
Administracin
o
Que los equipos informticos sean utilizados slo con fines autorizados y
siguiendo los procedimientos establecidos;
45
Que exista un marco normativo que defina la poltica de la empresa, y siente las
bases para el desarrollo de procedimientos y estndares tcnicos;
Para verificar estos puntos de control el ES y su equipo de trabajo puede realizar las
siguientes tareas:
Fsico;
Lgico;
De la organizacin.
46
de
Una vez recompilada como mnimo esta informacin, la Metodologa AEI prev la
intervencin del usuario como fuente de conocimiento del ES.
A continuacin se especifica el documento formal que materializa la intervencin
directa del usuario como referente de las caractersticas del entorno en estudio.
47
NIVEL
NO
PUNTOS
NIVEL FSICO
1
10
11
12
13
14
15
16
48
NIVEL
NO
PUNTOS
18
Posee IP fija?
19
20
21
22
23
24
Usa un SO monousuario?
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
49
1: Amenaza leve;
Amenaza leve:
Si existen eventos que tengan el potencial de otorgar acceso o permitir ejecucin
de cdigo por medio de procedimientos largos o complejos, o elementos de bajo
riesgo aplicados a componentes importantes.
Por ejemplo:
o Ataques de hombre en el medio (ver Man in the middle attack en
[Stallings1999]);
o Negacin de servicio de elementos no crticos;
o Descubrimiento de informacin privada (pero no confidencial, por ejemplo
informacin de uso interno).
50
o Backdors;
o Contraseas por default o contraseas en blanco;
o Salteo de la seguridad en firewalls y otros componentes de red.
51
52
Por ejemplo DOS o Windows 95, Windows 98, Windows Millenium, etc.
25- Es usuario experto de su SO?
Apunta a verificar si el usuario es capaz de realizar tareas de administracin del
sistema, por ejemplo, configurar un firewall, verificar opciones de seguridad, y
manejar el file system en forma adecuada.
26- Usa la misma contrasea para ms de un sistema?
Por ejemplo, si el usuario utiliza la misma contrasea para ingresar al sistema
operativo y para el programa de correo.
27- Cambia las contraseas con regularidad?
REGULARIDAD se podra llegar a considerar hasta un mes.
28- Realiza copias de respaldo de su informacin personal sensible?
La realizacin de las copias de respaldo o backup es responsabilidad del
administrador de la red y del operador responsable. Sin embargo, La informacin
personal guardada localmente en las estaciones de trabajo no es resguardada, siendo
sta responsabilidad del usuario.
29- Posee carpetas compartidas en esta PC?
Se refiere a las carpetas que pueden ser accedidas por otros usuarios desde otras
workstations.
30- Usa el antivirus regularmente para revisar archivos peligrosos?
Se consideran ARCHIVOS PELIGROSOS los de origen incierto, o los transportados en
medios magnticos como diskettes, cintas, etc.
Esta pregunta apunta a ver si el usuario realiza controles especiales en situaciones
particulares, por ejemplo cuando trabaja con dispositivos extrables, en los que no se
realiza un anlisis de antivirus automtico.
54
De 0 a 6 puntos: Seguro/protegido;
Nivel lgico:
De 0 a 10 puntos: Seguro/protegido;
Nivel de la organizacin:
De 0 a 4 puntos: Seguro/protegido;
0: Seguro/protegido;
1: Medianamente vulnerable;
2: Altamente vulnerable;
x: 0 o 1.
001, 010, 001, 011, 110, 101, 111: Entorno medianamente vulnerable.
Asegurable a corto plazo;
completa a largo
57
Los entornos personales suelen ser atacados por intrusos desconocidos al azar
(no se hacen ataques personales) que simplemente sienten satisfaccin tomando
control de mquinas ajenas o provocando daos, pero en general estos ataques
no apuntan a una obtencin de informacin, sino a la negacin de servicios o
prdida de informacin;
El diseo inseguro:
En el diseo de las aplicaciones, de las redes, de los CPDs. se subestima la
implantacin de medidas de control de acceso, de separacin de funciones y
tareas.
59
Las personas:
El acceso de personas no autorizadas implica la vulnerabilidad del sistema ante
hurtos, acceso indebido, prdida de confidencialidad de los datos y todo tipo de
escucha no autorizada de informacin, con sus respectivas consecuencias.
Estos factores y muchos otros ms, hacen que muchas vulnerabilidades de los
entornos informatizados tengan origen en el mal uso del sistema por parte de los
usuarios.
Es fundamental detectar y conocer las vulnerabilidades del entorno informatizado en
el que se est trabajando para poder establecer el camino a seguir que lleve a un
aseguramiento efectivo.
60
Que existan licencias de uso del producto para cada recurso / usuario;
Que los equipos informticos sean utilizados slo con fines autorizados y
siguiendo los procedimientos establecidos;
62
Este anlisis permitir visualizar el nivel de adhesin que tiene la estructura del
proceso a los estndares metodolgicos que se tengan establecidos para el desarrollo
y mantenimiento, as como para la documentacin de las etapas del proceso. Adems
se podrn establecer los criterios que fueron utilizados para definir y establecer las
caractersticas de los controles internos y las validaciones. El anlisis funcional
permite visualizar las distintas etapas que se suceden en el proceso, as como
tambin identificar etapas de alto, medio y bajo riesgo.
Para verificar estos puntos de control el ES y su equipo de trabajo puede realizar las
siguientes tareas:
Entrevistar
a
los
analistas/programadores/tcnicos
responsables
del
mantenimiento de las aplicaciones y equipos y comparar el procedimiento que
cada uno est aplicando;
Entrevistar
a
los
analistas/programadores
responsables
del
desarrollo/mantenimiento de las aplicaciones as como al personal usuario, a
efectos de obtener una visin global del mismo, tanto en su fase manual como
automtica;
Entrevistar
a
los
analistas/programadores/tcnicos
responsables
del
desarrollo/mantenimiento de las aplicaciones y equipos para validar la adecuada
concientizacin del personal a fin de cumplir con la documentacin vigente;
63
Solicitar (en caso de existir) y analizar el log utilizado para priorizar y monitorizar
la recepcin y progreso de los cambios de sistemas;
Documentos que demuestren que los usuarios finales han aprobado los
desarrollos/modificaciones efectuados antes de migrar los nuevos programas
al rea de produccin;
64
Que exista un marco normativo que defina la poltica de la empresa, y siente las
bases para el desarrollo de procedimientos y estndares tcnicos;
Que los procesos tecnolgicos estn alineados con las normas establecidas, y
sean adecuados;
Para analizar si el entorno objetivo cumple con estos objetivos, se pueden llevar a
cabo las siguientes tareas:
65
66
Que las aplicaciones gestionen los errores de forma estndar, y que se realicen
las validaciones adecuadas en la entrada y salida de datos;
Para cumplir con estos objetivos, el ES puede llevar a cabo las siguientes tareas:
67
Documentar los modelos de acceso lgico que representa los caminos por los que
se accede a los datos crticos de las aplicaciones;
Comprender los controles que existen para realizar las pruebas de cumplimiento
sobre esos controles;
Captura de pantallas;
Generacin de listados.
Realizar pruebas de cumplimiento para verificar que los accesos a los diferentes
recursos informticos estn adecuadamente otorgados y/o restringidos
El ES determinar el Alcance de estas pruebas segn el grado de criticidad de las
aplicaciones, equipos y de las funciones comprendidas. Las tareas de revisin
podrn incluir:
68
Equipos de comunicaciones;
Servidores;
Estaciones de trabajo;
Aplicaciones;
Bases de Datos;
Servicios Informticos;
Portales de Internet;
Intranet corporativa;
Identificacin
automticas;
de
las
vulnerabilidades
existentes
mediante
herramientas
Contraseas triviales;
Usuarios default;
69
Configuraciones default;
Nivel fsico;
Nivel lgico;
Nivel de la organizacin.
70
71
72
Terminales abandonadas:
Las terminales encendidas en desuso son un riesgo alto, ya que cualquier persona
puede hacer uso de sus recursos, sin siquiera la necesidad loguearse;
Falta de higiene:
La falta de higiene en oficinas puede provocar dao en los documentos impresos
y en los equipos por acumulacin de polvo, grasa, etc;
M
A
Figura 1
En el medio del viaje del origen al destino, el mensaje puede sufrir de ataques de
intrusos para su lectura, modificacin, o eliminacin. A continuacin detallamos las
amenazas ms comunes que puede sufrir un mensaje:
Tipos de amenazas
73
Figura 2
M
A
Figura 3
M
A
B
M
I
Figura 4
74
N
I
Figura 5
Factores de riesgo
Cables al descubierto:
Pueden ser daados con facilidad provocando una negacin deservicio;
Virus:
Son porciones de cdigo que son insertadas dentro de un archivo (generalmente
ejecutable) llamado host, de manera que cuando el archivo es ejecutado, se
ejecuta tambin la porcin de cdigo insertada, la cual puede efectuar distintas
acciones malintencionadas, destructivas, y hasta copiarse en otros archivos;
Gusanos (Worms):
75
Troyanos:
Son programas que tienen una porcin de cdigo oculta, que dicen hacer una
cosa y en realidad hacen otra (desconocida por el usuario) o simplemente hacen
lo que dicen hacer y adems ejecutan instrucciones no autorizadas;
Conejos:
Son programas que no daan directamente al sistema por alguna accin
destructiva, sino que tienen la facilidad de reproducirse exponencialmente de
manera de provocar en poco tiempo una negacin de servicio al consumir los
recursos (memoria, disco, procesador, etc);
Bombas lgicas:
Son un conjunto de instrucciones que se ejecutan bajo condiciones especiales
(una fecha, etc);
Backdors y trapdors:
76
Timeouts:
Son programas
determinado;
que
se
pueden
utilizar
durante
un
perodo
de
tiempo
Herramientas de seguridad:
Son utilitarios que sirven para identificar vulnerabilidades en un sistema. Pueden
ser una amenaza si un intruso las utiliza en el sistema y detecta fallas en la
seguridad de las que el administrador no est enterado.
Eaves dropping:
Es la escucha no autorizada de conversaciones, claves, datos, etc;
Ingeniera social:
Consiste en la manipulacin de las personas para que voluntariamente realicen
actos que normalmente no haran, como revelar su contrasea o cambiarla;
Shoulder Surfing:
Consiste en espiar fsicamente a los usuarios para obtener claves de acceso al
sistema, nmeros vlidos de tarjetas de crdito, etc;
Masquerading:
Un intruso puede usar la identidad de un usuario autorizado que no le pertenece
simplemente apoderndose de un nombre de usuario y contrasea vlidos;
Piggy backing:
Ocurre cuando un usuario no autorizado accede a una zona restringida gracias al
permiso otorgado a otra persona que s est autorizada;
Basurero:
La informacin de los desperdicios dejados alrededor de un sistema puede ser
aprovechada por intrusos provocar un hurto o dao.
77
78
Las pistas de auditora o logs sirven para dejar registro de las acciones de los
usuarios y los procesos. No llevar un adecuado registro de las pistas de auditora
dificulta la tarea de deteccin de intrusos y recuperacin de informacin.
Falta de documentacin:
La ausencia de documentacin dificulta la capacitacin de los usuarios y el
seguimiento de los proyectos y procesos, provocando incoherencias en el trabajo,
por ejemplo entre los requerimientos de usuario y los cambios realizados en el
software afectado;
Planificacin deficiente;
79
Prestaciones limitadas;
Aspectos lgicos:
80
Falta de backups:
Sin copias de respaldo la recuperacin de la informacin y la restauracin del
sistema luego de un incidente es imposible;
Documentacin desprotegida;
Un intruso o espa puede hacer mal u:o de la documentacin para distintos fines:
espionaje, sabotaje, hurto, o para obtener informacin que le sirva como puerta
al sistema objetivo;
82
Etc.
83
Todos los entornos estn expuestos a amenazas. Todos los entornos tienen
vulnerabilidades, algunas conocidas, otras no, pero estn presentes, esperando ser
usadas por un atacante para penetrar las barreras de seguridad y apoderarse de
informacin, denegar servicios, o provocar toda clase de dao.
No importa la plataforma tecnolgica, no importa la marca de software que se usa.
Tampoco importa la infraestructura edilicia, los equipos, el cableado. Siempre existen
riesgos.
Existe una relacin entre tipo de desastre y sus efectos, y, por supuesto, su
probabilidad de ocurrencia. Los riegos reales y potenciales son variables en el tiempo
y en el lugar.
En el Anlisis de vulnerabilidades se vieron los distintos tipos de amenazas que
pueden presentarse a nivel lgico, fsico y de la organizacin.
No es posible eliminar todos los riesgos sino que se pueden mitigar (empleando
medidas para reducirlos), transferir (ceder su responsabilidad a otra persona) o
asumir (cuando se decide correr el riesgo con sus posibles consecuencias).
Sin embargo, siempre existen riesgos remanentes y desconocidos.
Es ms, cada da surgen nuevos riesgos a medida que la tecnologa avanza y los
sistemas cambian. Los entornos informatizados suelen acompaar estos cambios
adaptndose a los requerimientos tecnolgicos del momento. Es por eso que surgen
nuevos riesgos da a da.
Es tarea del ES en esta parte de la metodologa examinar las vulnerabilidades
halladas y evaluar su riesgo asociado, determinar su probabilidad de ocurrencia y
medir su impacto en el entorno.
Los riesgos observados que presentan una probabilidad de ocurrencia no
despreciable en funcin de las caractersticas del entorno varan desde los factores
climticos y meteorolgicos que afectan a la regin hasta el factor humano de los
recursos de la empresa.
Para la evaluacin de riesgos es posible utilizar mtodos muy variados en
composicin y complejidad, pero para todos ellos es necesario realizar un diagnstico
de la situacin.
Un mtodo comnmente utilizado es el diagrama:
84
Alto
Mayor
Probabilidad
de ocurrencia
Bajo
importancia
Impacto
Alto
Este anlisis de riesgos permite al ES ofrecer un informe de los riesgos entorno, los
peligros que corre e identificar los requerimientos de seguridad del sistema objetivo y
su prioridad, de manera de poder encarar la elaboracin del Plan de Aseguramiento
del proyecto junto a los requerimientos planteados por el usuario.
El anlisis de riesgos se realiza en cada rea de la empresa, mediante mtodos de
adquisicin de informacin como entrevistas con los usuarios.
Alto;
Medio;
85
Bajo.
VULNERABILIDAD
RIESGO
CRITICIDAD
P(ocurrencia)
IMPACTO
1: Amenaza leve;
86
VULNERABILIDAD
RIESGO
CRITICIDAD
P(ocurrencia)
IMPACTO
Existencia de material
inflamable en el CPD
(Centro de
Procesamiento de
Datos)
Fuego en el
Data Center
0.5
Destruccin de equipos
y espacio fsico
Existencia de material
inflamable en el CPD y
en las oficinas
aledaas
Fuego en
lugares
cercanos
0.45
Destruccin de
documentacin
impresa y posibilidad
de afeccin del centro
de cmputos
Ubicacin fsica en
zona inundable
Inundacin
0.1
Posibles cortocircuitos,
equipos quemados,
incendios
Fallas en el
aire
acondiciona
do
0.4
Mal funcionamiento
por recalentamiento de
equipos
Falta de
mantenimiento de los
equipos de
procesamiento de
datos.
Fallas en
equipos
0.5
Indisponibilidad de los
servicios
Existencia de cables de
red al descubierto
atravesando los
pasillos
Fallas en
comunicacio
nes
0.3
Indisponibilidad de los
servicios
Corte de
suministro
elctrico
0.6
Indisponibilidad de los
servicios, prdida de
datos.
10
Acto de
vandalismo
0.1
Prdida de equipos,
negacin de servicios,
prdida de
informacin, mala
imagen en clientes,
prida de confiabilidad.
Exposicin de los
equipos a terceros.
Acto de
sabotaje o
robo
0.45
Prdida de
confiabilidad, prdida
de informacin.
Administracin de los
equipos por personal
no especializado.
Errores
humanos no
intencionale
s
0.5
Indisponibilidad de los
servicios, prdida de
datos.
Exposicin de los
equipos a personal no
autorizado.
Diagrama de riesgos:
El diagrama de riesgos esquematiza el impacto de los riesgos en funcin de su
probabilidad de ocurrencia.
Cuanto mayor sea el impacto y la probabilidad de ocurrencia, ms fuertes debern
ser los controles a aplicar para mitigar el riesgo asociado.
87
Los riesgos ms altos, por ende, se ubicarn en el cuadrante derecho superior del
siguiente diagrama:
Probabilidad de Ocurrencia
Fuego en el C PD
Fuego en lugares
cercanos
Inundacin
Fallas en el aire
acondicionado
Fallas en equipos
0,5
Fallas en comunicaciones
C orte de suministro
elctrico
Acto de vandalismo
0
0
0,5
Impacto
88
PLANIFICACIN
Contenido:
3.1 Elaboracin del Plan de Aseguramiento.
3.1.1 Proteccin fsica.
3.1.1.1 Proteccin de las Instalaciones.
3.1.1.2 Proteccin de los equipos.
3.1.2 Proteccin lgica.
3.1.2.1 Proteccin de la informacin.
3.1.2.2 Proteccin del Sistema Operativo.
3.1.2.3 Proteccin de los datos.
3.1.3 Proteccin a nivel de la organizacin.
3.2 Aprobacin del Plan de Aseguramiento.
89
90
92
Disear el rea de depsito de manera tal que los suministros puedan ser
descargados sin que el personal que realiza la entrega acceda a otros sectores
del edificio;
comprenden todas las puertas exteriores y ventanas accesibles. Las reas vacas
deben tener alarmas activadas en todo momento. Tambin se considera la
proteccin de otras reas, como la sala de cmputos o las salas de
comunicaciones;
Para ello se presenta una tabla que registra estos datos: el Mapa de elementos de
red.
94
SUBNET
ELEMENTO
SECTOR
IP
CPU;
Router;
Switch;
Mantener el
equipamiento de acuerdo con los intervalos de servicio y
especificaciones recomendados por el proveedor;
Prevencin de catstrofes:
95
Incendios:
Provocados por rayos, por fallas elctricas o descuido de los usuarios
(cigarrillos, hornallas). Colocar extinguidotes automticos en los techos, y
extinguidotes manuales en todo el edificio;
Humo:
Provocado por incendios y por el cigarrillo. El humo ataca los discos
magnticos y pticos y provoca trastornos en la ventilacin de los artefactos
elctricos. Se considera prohibir fumar en las oficinas y colocar detectores de
humo en los techos;
Temperaturas extremas:
Los artefactos elctricos y electrnicos funcionan correctamente dentro de un
rango determinado de temperaturas, en general entre los 0 y los 70 grados
centgrados. Si se exceden estos extremos se corre el riesgo de que los
materiales dejen de ser ferromagnticos. Consultar los manuales de los
fabricantes y mantener la temperatura dentro de los rangos sugeridos. Se
aconseja la utilizacin de equipos de aire acondicionado en todas las salas;
Polvo:
El polvo se deposita sobre los artefactos removibles y entra por los
ventiladores de las CPU y daa los circuitos. Es necesario tener una rutina de
limpieza y aspiracin de los ambientes;
Explosiones;
Vibraciones:
Ciertos objetos presentes en oficinas provocan vibraciones indeseadas.
Impresoras, mquinas expendedoras de bebidas, provocan estas vibraciones.
Instalar plataformas antivibracin;
Electricidad:
Trastornos o fallas en la lnea elctrica pueden provocar cortocircuitos, subidas
de tensin, cortes en el flujo elctrico y hasta incendios. Instalar cables a
tierra y estabilizadores de tensin. Tambin se sugiere la utilizacin de
bateras o unidades de alimentacin ininterrumpida;
Tormentas elctricas:
Las tormentas elctricas pueden provocar altsimas subidas de tensin que
quemen los equipos. Para evitar esto se colocan pararrayos, guardar los
backups lejos de columnas metlicas para que no se desmagneticen, y
desconectar los equipos de la lnea elctrica cada vez que se desata una
tormenta;
96
Ruido elctrico:
El ruido elctrico es generado por motores, equipos elctricos y celulares.
Colocar filtros en la lnea de alimentacin y alejar los equipos de otros
artefactos;
Humedad:
El exceso de humedad en equipos elctricos provoca cortocircuitos y la
escasez de humedad provoca esttica. Se recomienda instalar alarmas
antihumedad y mantener la misma al 20%;
Inundaciones:
Colocar los equipos alejados del piso, instalar un falso suelo o ubicar censores
en el piso que corten el suministro de energa elctrica al detectar agua;
Terremotos:
Para proteger los equipos ms crticos de los terremotos se fijan stos de
manera que no se puedan desplazar y se trata de ubicar todo equipo alejado
de las ventanas;
Insectos;
Comida y bebidas:
La organizacin debe analizar su poltica respecto de comer, beber y fumar
cerca de las instalaciones de procesamiento de informacin. Se recomienda
prohibir estas actividades para proteger los equipos e instalaciones;
Terminales abandonadas:
Las terminales encendidas en desuso son un riesgo alto. Utilizar un sistema
automtico de deteccin y apagado de terminales encendidas en desuso;
Vandalismo;
Hurto;
97
98
de
la
Controlar los equipos que se den de baja para evitar la utilizacin indebida de
la informacin que transporten;
99
Eaves dropping:
Es la escucha no autorizada de conversaciones, claves, datos, etc.
Se asegura que no haya cables atravesando zonas pblicas, se cierran todas
las salidas de red no utilizadas, proteger el cableado con caos metlicos o
cablear al vaco con aire comprimido;
Ingeniera social:
La Ingeniera social consiste en la manipulacin de las personas para que
voluntariamente realicen actos que normalmente no haran, como revelar su
contrasea o cambiarla. Se capacita a los usuarios para prevenirlos de estos
ataques y se los informa del procedimiento formalizado en la Poltica de
seguridad sobre el cambio de contraseas;
Shoulder Surfing:
Consiste en espiar fsicamente a los usuarios para obtener claves de acceso al
sistema, nmeros vlidos de tarjetas de crdito, etc. Se recomienda prevenir
a los usuarios sobre estos temas a fin de concientizarlos para que tomen los
cuidados necesarios;
Masquerading:
Un intruso puede usar la identidad de un usuario autorizado que no le
pertenece simplemente apoderndose de un nombre de usuario y contrasea
vlidos. Se capacita a los usuarios para que mantengan en secreto tanto su
nombre de usuario como su contrasea para que nadie ms los pueda usar en
su nombre;
Piggy backing:
Se lo llama as al ataque en que un usuario no autorizado accede a una zona
restringida gracias al permiso otorgado a otra persona que s est autorizada.
100
Basurero:
Basurero es la obtencin de informacin de los desperdicios dejados alrededor
de un sistema:
documentacin antigua;
listados viejos;
buffers reimpresoras;
memoria liberada por procesos;
bloques libres de disco;
tachos de basura dentro y fuera del edificio;
diskettes desechados.
Es de vital importancia destruir toda documentacin que ya no se utilice, con
una mquina trituradora de papel y borrar los documentos en forma segura,
segn el sistema operativo que se use.
[IRAM/ISO/IEC17799] indica: Los medios que contienen informacin sensible
deben ser eliminados de manera segura, por ej. incinerndolos o
rompindolos en pequeos trozos, o eliminando los datos y utilizando los
medios en otra aplicacin dentro de la organizacin.
Se debe prestar especial atencin a la eliminacin segura de:
documentos en papel;
grabaciones (audio, video, otros);
papel carbnico;
informes y estadsticas;
cintas de impresora de un slo uso;
cintas magnticas;
discos, zips o casetes removibles;
medios de almacenamiento ptico;
listados de programas;
datos de prueba;
documentacin del sistema.
Clasificacin de la informacin:
La informacin se debe clasificar en cuanto a su acceso (qu perfiles de usuarios
tienen acceso a lectura, ejecucin o modificacin de los datos) y en cuanto a su
criticidad. Para clasificarla segn su acceso, se hace uso de la Tabla de Accesos
101
ms
all
de
las
en
Entrega/Traslado:
Realizar toda entrega de documentacin que contenga informacin
secreta/confidencial en sobre cerrado. Asimismo, establecer mecanismos
que permitan asegurarle al remitente de la documentacin que sta fue
recibida por el destinatario correspondiente;
Divulgacin a terceros:
Instrumentar convenios de confidencialidad con los terceros que deben
acceder a informacin de la empresa.
No trasmitir informacin en forma verbal o escrita a personas externas a la
empresa, sin la expresa autorizacin del Dueo de los Datos.
Destruccin:
Destruir toda informacin secreta y sus correspondientes soportes fsicos
cuando se considere no vigente y se discontine su utilizacin y/o
conservacin.
103
Aplicar los parches (hot fixes, service packs) que publican los proveedores de
software en todos los equipos. Para ello se recomienda el uso de algn
software de distribucin segn la cantidad de mquinas a actualizar;
Estandarizacin de servidores:
La configuracin de seguridad de los equipos
necesaria.
Limpieza de la memoria:
Cada vez que el sistema se cierra se deben limpiar las pginas de memoria
virtual;
Apagado seguro:
105
Cuentas de servicios:
Son cuentas de usuarios no personales que se crean con fines especficos:
107
En el caso de las cuentas de servicios debe figurar la funcin para la que fue
creada;
Debe crearse una cuenta para cada servicio individual con los mnimos
privilegios posibles, y no utilizar una misma cuenta para varios servicios;
Todo usuario se debe comprometer a:
Vida mxima (para obligar a los usuarios a realizar el cambio de clave cada
cierto perodo, por ejemplo de 45 das);
108
Tiempo mnimo que debe transcurrir antes de reutilizar una password (por
ejemplo, un ao);
Administracin de Usuarios:
Garantizar que todos los usuarios posean los privilegios mnimos necesarios para
la realizacin de su tarea.
Las prcticas recomendadas para las cunetas de usuarios son las siguientes:
Nunca usar cuentas grupales (de uso masivo). Las cuentas deben ser de uso
individual exclusivo;
Mapa de Usuarios
El siguiente documento presenta una alternativa para visualizar, documentar y
administrar los grupos de usuarios:
GRUPO
USUARIOS
NOMBRE DE INICIO
DE SESIN
Realizar una peridica revisin de los permisos otorgados sobre le file system y
sobre los recursos.
Un control bsico consiste en restringir los permisos para los grupos genricos, e
ir otorgndolos individualmente o por grupo segn la necesidad.
En los sistemas operativos de la lnea Microsoft Windows el grupo genrico ms
abarcativo es el llamado Everyone. En la lnea de Linux, es Others (el ltimo
octeto de los permisos).
111
Toda cuenta de usuario que haya intentado cuatro (4) veces el acceso al
sistema en forma fallida y consecutiva, debe ser automticamente bloqueada;
Trazas generales
comunicaciones:
activar
en
sistema
operativos
equipos
de
Ejemplo:
A continuacin se muestra una porcin pequea de un archivo de log generado
por el sistema operativo Windows 2000 Server, en un entorno con 18 estaciones
de trabajo en un dominio de un archivo de log:
Tipo
Fecha
Hora Origen
Categora
Suceso
Usuario
Equipo
Aciertos
SYSTEM
Aciertos
EMUI_18$
Aciertos
gmarrollo
Aciertos
plopez
681
EMUI_5$
SYSTEM
Aciertos
EMUI_3$
lkien
Aciertos
EMUI_18$
EMUI_18$
113
Ser completos (deben registrar toda la informacin que se considere til para
el caso);
Para ello se debe establecer una serie de controles sobre la lgica de los logs, y
sobre la tecnologa que los soporta.
A continuacin se detallan controles y medidas recomendadas para obtener un
registro de auditora confiable:
114
Definicin de eventos:
Para aquellos entornos que gestionen informacin sensible se debern definir
los eventos de seguridad que requieren monitoreo;
Control de logs:
El Oficial de Seguridad debe controlar peridicamente las pistas de auditora,
con el objetivo de detectar alertas e informar la ocurrencia de las mismas a
los responsables de la administracin de la seguridad de la informacin, con el
propsito de definir e implantar las acciones correctivas necesarias para evitar
o limitar la repeticin del hecho.
Adems se deber informar al Dueo de los Datos involucrado la ocurrencia
de eventos crticos de seguridad que puedan interferir en el correcto
desempeo la empresa.
Estadsticas de eventos:
El Oficial de Seguridad deber generar informes con las estadsticas de los
eventos crticos detectados, a fin de tomar las acciones correctivas
correspondientes, cuando la frecuencia de repeticin o el impacto lo
justifiquen;
Para este fin se propone la elaboracin de una tabla que refleje la asignacin de
permisos sobre los activos lgicos por perfil y por usuario.
Este documento llamado Tabla de Permisos sobre Activos Lgicos se exhibe a
continuacin:
CDIGO
DESCRIPCIN
PERFILES
AUTORIZADOS
USUARIOS
AUTORIZADOS
PERMISOS
CRITICIDAD
L: lectura;
E: escritura;
X: ejecucin.
0 (cero): No crtico;
116
Una actualizacin;
Un cambio de plataforma;
Agregados de funcionalidad.
117
SOFTWARE
Antivirus
Sdat4299.exe
Win2k
Kb823182
Win2k
Kb824141
Win2k
Kb825119
DESCRIPCIN
Fecha
CPU
Ok
Ok
Ok
Ok
Ok
Ok
Hotfix para
Windows 2000
21/10
Ok
Ok
Ok
Ok
Ok
Ok
Hotfix para
Windows 2000
23/10
Ok
Ok
Ok
Ok
Ok
Ok
Hotfix para
Windows 2000
23/10
Ok
Ok
Ok
Ok
Ok
Ok
Instalacin y continua
antivirus:
118
Guardar en forma segura (ver 4.1.1.2 Proteccin de los equipos) los datos
crticos, informacin de recuperacin de sistemas y registros exactos de las
aplicaciones en forma peridica;
El perodo de realizacin de copias y la vida de cada una estn definidos en el
Manual de Procedimientos de realizacin de copias de seguridad (backups);
Aqu se presenta un registro para llevar ese control de forma ordenada: el Inventario
de Backup.
Inventario de Backup
El ES determinar la tcnica ms conveniente para realizar el Backup en su sistema
objetivo.
Para la aplicacin de cualquier tcnica el ES deber documentar el resguardo de
datos que hizo y proteger ese documento con claves u otros mtodos para prohibir
su acceso a extraos. Este documento deber contener como mnimo la siguiente
informacin:
CDIGO
FECHA
TIPO
A/S
MEDIO
PASSWORD
BKP0001
24/10/2003
Incremental
Cinta#
******
119
Incremental;
Normal;
Diferencial;
Diaria;
Copia.
A/S:
Archivos;
Bases de datos;
Aplicaciones;
Servicios.
Firma digital;
Cifrado de paquetes;
Autenticacin Kerberos;
Mtodos de hash.
121
Las Normas;
Los procedimientos;
122
Mnimo privilegio:
A cada usuario se le debe otorgar el mnimo privilegio que necesita para
realizar su actividad;
Conocimiento parcial:
Las actividades crticas de la organizacin deben ser conocidas y realizadas
por varias personas competentes para que puedan respaldarse en caso de
incidencias como accidentes o viajes. No centralizar el conocimiento de datos
crticos en una sola persona, por ejemplo el conocimiento de la contrasea del
administrador debe ser compartido con al menos 2 personas de confianza;
Rotacin de funciones:
Para evitar la complicidad de dos responsables, o evitar el mutuo sabotaje si
estn enemistados;
Separacin de funciones:
La separacin de funciones es un mtodo usado para reducir el riesgo de mal
uso, accidental o deliberado del sistema.
Separar la gestin o ejecucin de ciertas tareas o reas de
responsabilidad, a fin de reducir las oportunidades de modificacin no
autorizada o mal uso de la informacin o los servicios;
Evitar que una sola persona tenga la responsabilidad total de la seguridad
de la empresa;
personales,
terminales
desde los
127
Cierre de la transaccin;
128
Se deben controlar:
o
La
autorizacin
teleconferencias;
de
grabacin
de
comunicaciones
telefnicas
Tener especial cuidado al enviar mensajes por fax, ya que se puede enviar
documentacin a un nmero errneo;
130
El proceso de aprobacin variar segn las costumbres y polticas del cliente, pero en
todos los casos va acompaado de la asignacin de un presupuesto a invertir en los
recursos asignados en la planificacin.
131
IMPLANTACIN
Contenido:
4.1 Elaboracin del Relevamiento de Activos
4.1.1 Inventario de Activos
4.1.2 Ejemplo Inventario de Activos
4.1.3 Rotulacin de activos
4.1.4 Anlisis de Criticidades
4.2 Clasificacin de la Informacin
4.2.1 Identificacin de la informacin
4.2.2 Tipos de informacin
4.2.3 Beneficios de la clasificacin de la informacin
4.2.4 Riesgos de la informacin
4.3 Elaboracin/ adaptacin de la Normativa de Seguridad
4.3.1 Interiorizacin del experto con la poltica y negocio de la organizacin
4.3.2 Elaboracin/adaptacin de la Normativa de Seguridad
4.3.2.1 Poltica de Seguridad
4.3.2.1.1 Definicin
4.3.2.1.2 mbitos de aplicacin y personal afectado
4.3.2.2 Normas y Procedimientos
4.3.2.2.1 Definicin
4.3.2.2.2 Espectro de las Normas y los Procedimientos
4.3.2.2.3 Ejemplo - Normas y Procedimientos
4.3.2.3 Estndares, Esquemas y Manuales de usuarios
4.3.2.3.1 Definicin
4.3.2.4 Implantacin y uso de la Normativa de Seguridad
4.3.2.5 Convenio de Confidencialidad
4.3.3 Aprobacin de la Poltica de Seguridad
4.4 Publicacin de la Normativa de Seguridad
4.4.1 Implantacin de una campaa de concientizacin
4.4.2 Capacitacin de los usuarios
132
133
Cada una tiene un objetivo especfico e individual, que contribuye en parte a lograr el
objetivo de la fase, que es la implantacin de las medidas de seguridad planificadas.
El ES considerar la necesidad de implementar todas o alguna de las etapas
propuestas, pero de hacerlo, deber respetar el orden sugerido ya que las tareas que
se desarrollan alimentan muchas veces a otras que les siguen, aunque no
necesariamente deben estar todas presentes.
La Clasificacin de la Informacin no puede realizarse sin un relevamiento de los
activos fsicos y lgicos de la Organizacin, aunque no es estrictamente necesario
que se formalice esto en un inventario como se sugiere en la etapa 4.1.
Tambin, para la elaboracin del Manual de Seguridad, en particular de ciertos
procedimientos como los de manipulacin de equipos, el de transmisin de datos, el
de borrado seguro de informacin, es necesario clasificar la informacin., y a su vez,
para poder clasificar la informacin se debe contar con la Norma que establezca esa
clasificacin.
134
Elementos de hardware:
o
Se har una distincin especial sobre las CPUs para facilitar su identificacin.
aire
CPUs:
Se establece una distincin del resto de los elementos de hardware para su fcil
identificacin:
o
Elementos de software:
o
Sistemas operativos;
Software de aplicaciones;
Software de sistemas;
Herramientas de desarrollo;
Utilitarios.
Servicios:
o
Servicios informticos;
Servicios de comunicaciones;
Servicios generales
acondicionado).
(calefaccin,
iluminacin,
energa
elctrica,
aire
Datos:
o
bases de datos;
archivos;
informacin archivada.
Backups:
Se hace especial mencin de los elementos de recuperacin de informacin,
para su correcta administracin, actualizacin y control y como apoyo al
documento de Administracin de Backups [3.1.2.4]
136
CDIGO
DESCRIP.
UBICACIN
RESP.
FECHA
CREACIN
FECHA
EXPIRACIN
CRITICIDAD
ESTADO
Hardware
notado HDW
CPUs
notado CPU
Software
notado STW
Servicio
notado SRV
Datos
notado DAT
Backup
notado BKP
137
138
A: Significa que el activo ha sido dado de alta y efectivamente forma parte del
inventario actual de la organizacin;
CDIGO
DESCRIP.
UBICACIN
RESP.
FECHA
CREACIN
FECHA
EXPIRACIN
CRITICIDAD
ESTADO
HDW0001
12/2001
(011)
---
---
---
---
---
HDW0034
7/2003
(021)
---
---
---
---
---
---
---
---
---
---
---
---
---
---
---
---
---
---
---
---
---
---
---
CDIGO
DESCRIP.
UBICACIN
RESP.
FECHA
CREACIN
FECHA
EXPIRACIN
CRITICIDAD
ESTADO
BKP0102
Backup
de HW0024
Srv01/exter
no/proy5.m
bd
Juan
Perez
20/05/2003
20/06/2003
(233)
---
---
---
---
---
---
DAT0067
Notas
de CPU0002/d:/Lo
logstica en gstica/Notas/
formato .doc
Mara
Lpez
14/12/2002
14/12/2003
(121)
---
---
---
---
---
---
BKP0106
Backup
de HW0024
Srv01/exter
no/proy5.m
bd
Juan
Perez
20/06/2003
20/07/2003
(233)
---
---
---
---
---
---
---
---
---
139
140
La autenticidad;
La disponibilidad;
La integridad.
141
Cuanto mayor sea el nivel con que se clasifique la informacin, mayor ser el riesgo
de la misma y por ende los controles que se ejerzan sobre ella para protegerla.
Ejemplo: (0,1,3) implica que la informacin necesita garantizar una autenticidad
mnima, un nivel moderado de integridad, y un alto requerimiento de integridad, por
lo que se deber hacer hincapi en controles que garanticen este ltimo atributo.
informacin en
centralizados;
los
sistemas/equipos
de
procesamiento,
individuales
y/o
142
Uso Interno: relacionada con la operatoria diaria, como por ejemplo planes de
viajes y reuniones, iniciativas de proyectos, distribucin fsica de usuarios y
recursos, precios y demarcaciones.
Divulgacin no autorizada;
Modificacin indebida;
144
General
Poltica de Seguridad
Normas
Particular
145
Procedimientos
Estndares
146
4.3.2.1.1 Definicin
La Poltica de Seguridad es un documento que establece las pautas, segn el enfoque
de la organizacin, y su negocio, en cuanto a la gestin de la seguridad.
La poltica de Seguridad contiene los principios de seguridad sobre los cuales deben
basarse las normas, procedimientos y estndares detallados. Debe ser conocida y
acatada por todos y cada uno de los miembros de la organizacin, y debe ser
concebida bajo el total consentimiento y apoyo de la gerencia.
Entre estos principios se encuentran:
147
Autorizacin: Garantizar que todos los accesos a datos y/o transacciones que
los utilicen, cumplan con los niveles de autorizacin correspondientes para su
utilizacin y divulgacin;
148
Personal de mantenimiento;
Pasantes;
Consultores;
Clientes.
4.3.2.2.1 Definicin
Una Norma es toda definicin concreta sobre cada uno de los temas de seguridad que
luego sern adaptados a cada servicio informtico en forma especfica.
Un Procedimiento es toda especificacin de las pautas a seguir para el desarrollo de
una tarea en particular. Incluye el desarrollo de instrucciones operativas y
procedimientos apropiados de respuesta a incidencias y recuperacin de las
prestaciones frente a una catstrofe.
Ambos son independientes de la plataforma, y lo suficientemente genricos como
para poder ser aplicados en distintos entornos.
Las Normas y Procedimientos debern contener:
Declaracin del propsito de los responsables del nivel gerencial, apoyando los
objetivos y principios de la seguridad de la informacin;
149
Hardware;
CPUs;
Software;
Servicios;
Datos;
Backups;
Normativas internacionales.
A nivel fsico
150
Comunicaciones;
Correo electrnico;
uso de Internet;
Uso de antivirus;
Seguridad fsica;
Backup;
Destruccin de Informacin;
Utilizacin de equipos;
Utilizacin de celulares;
Reinicio de sistemas;
Para procesos crticos, de tiempo real o que poseen un lato nivel de
disponibilidad, los cuales deben ser reiniciados bajo condiciones especficas y
siguiendo procedimientos especiales.
A nivel lgico
Acceso a datos;
Administracin de usuarios;
Administracin de contraseas;
Desarrollo de software;
ABM Aplicaciones;
Uso de Software;
151
Conexiones a la LAN;
Conexiones de Terceros;
Accesos Remotos;
Concientizacin y Capacitacin;
Criptografa;
Acuerdo de Confidencialidad.
A nivel de la organizacin
Responsabilidades de Seguridad;
Auditoria de Sistemas;
Comunicaciones a usuarios;
152
Oficial de seguridad;
Operador Responsable;
Auditor de Sistemas;
Usuarios;
Restricciones;
Norma de Backup
Recupero de la informacin;
Procedimiento de Backups
154
Operatoria y periodicidad;
Separacin de
los ambientes de Desarrollo, Control de Calidad
Preproduccin y Produccin;
(QA),
Caractersticas ambientales;
155
4.3.2.3.1 Definicin
Los Estndares de Seguridad son documentos ms detallados para sistemas de
informacin particulares o equipos, que deban llevar a cabo los usuarios para el
desarrollo de tareas especficas, cuyo seguimiento depende de la plataforma. Definen
la parametrizacin de una aplicacin, sistema operativo o equipo. Su uso otorga el
beneficio de la homogenizacin del ambiente, y facilita la automatizacin de tareas
de instalacin y configuracin.
Por ejemplo, se desarrolla un Estndar de Seguridad para la elaboracin de scripts
que corran sobre bases de datos Oracle.
Los Esquemas tcnicos y Manuales de Usuario son documentos que especifican la
forma de llevar a cabo una tarea, la forma de implantacin de controles y procesos
segn la Poltica de Seguridad, Norma o Procedimiento en que se basan, a un nivel
ms bajo de detalle.
Los Esquemas, Instructivos y Manuales de usuario dependen de la plataforma, y en
general estn formados por una serie de pasos o instrucciones.
Clasificacin de la informacin;
Revisin del plan de copias de respaldo, medios fsicos y lugar en los que se
conservan los mismos;
156
157
Dado que un proyecto de esta clase puede tener una magnitud considerable en un
entorno amplio, se sugiere realizar las revisiones y pruebas necesarias luego de
finalizada cada subetapa, correspondiente a los niveles antes mencionados.
Establecimiento de criticidades:
o
Anlisis de riesgos:
o
Descripcin de la estrategia;
Roles y responsabilidades;
Asignacin de roles;
Declaracin de la emergencia;
162
Los servidores;
Equipo
Sistema
Operativo
Funcin
Tolerancia
Mxima
Impacto
#
1
Equipo
DBBA
Sistema
Operativo
Funcin
Bases
datos
Tolerancia
Mxima
de
Solares 9
1 da
Impacto
Perdida
de
imagen pblica
Reprocesamiento
de
formularios
cargados
manualmente
DBCH
DBCH2
Bases
datos
de
Bases
datos
de
Solares 9
Solares 9
1 semana
Prdida
/
inconsistencia de
informacin
2 semanas
Prdida
/
inconsistencia de
informacin
Criticidad
Perodo
crtico
Procedim.
Parada
Alternat.
Mxima
Plataf.
Usuarios
165
Criticidad
Perodo
crtico
Procedim.
Parada
Alternat.
Mxima
Plataf.
Usuarios
Servidor de
Archivos
Media
Cierre a fin
de mes
Guardar los
archivos en
las
PC
locales
1 semana
Novell
Netware
5.0
Todos
Correo
electrnico
Lotus
Domino
Server
Alta
Todos
das
Toma
de
pedidos
telefnicos
1-2 das
Windows
2000
Compras,
ventas,
despacho.
los
166
Aplicacin
Proveedor
Plataforma
Descripcin
Criticidad
Perodo
Crtico
Parada
Mxima
Proced.
Alternt
Interdependencias
Usuarios
Interdependencias
Usuarios
Aplicacin
Proveedor
Plataforma
Descripcin
Criticidad
Perodo
Crtico
Parada
Mxima
Proced.
Alternt
MANTEC
Datastream
Windows NT
para la
publicacin
de la
aplicacin de
la Base de
Datos Oracle.
Sistema de
mantenimient
o preventivo
de maquinas.
Media
Fin de mes
2 das
---
Almacn,
procesos,
Mantenimiento.
SUMTEC
Datastream
Windows NT
para la
publicacin
de la
aplicacin.n
de la
aplicacin.Ba
se de Datos
Oracle.
Sistema de
manejo de
repuestos de
almacn.
Media
1 da
Pedidos de
respuestos
manuales.
Almacn,
procesos,
Mantenimiento.
167
Ubicacin geogrfica;
Condiciones ambientales;
Equipamiento alojado;
Condiciones de acceso;
170
Recuperacin de equipos;
Reestablecimiento de servidores;
Reestablecimiento de Aplicativos;
172
ECU
ERC
EDEC
ERS
ERH
Dirigir y coordinar las actividades del resto de los equipos que conforman el
Equipo de Recuperacin del Entorno ante Desastres;
Identificar los elementos de hardware que hayan sido daados por una
contingencia;
173
Identificar los servicios, procesos, bases de datos y aplicaciones que hayan sido
afectados por una contingencia;
Instalar, configurar y ajustar todo el software que haya sido afectado por una
contingencia.
Detectar los problemas de conectividad de los equipos del CPD y determinar las
causas;
Coordinar
con el responsable los cambios que haya que realizar en las
comunicaciones que no sean internas del Centro de Cmputos para que los
usuarios puedan seguir utilizando las prestaciones ;
174
Abarca desde la deteccin del desastre hasta que el mismo es comunicado a los
afectados;
Notificacin de la emergencia.
Ajustes al plan.
175
176
ESTABILIZACIN
Contenido:
5.1 Anlisis de resultados
5.2 Ajuste
5.3 Cierre de la implantacin
5.4 Capacitacin de usuarios
5.4.1 Tcnicas para la capacitacin de usuarios
177
Informe de Riesgos;
Mapa de Usuarios;
Mapa de Red;
PRED.
178
5.2 Ajuste
La etapa de ajuste est dedicada a realizar ajustes sobre el Plan de Aseguramiento
segn los resultados obtenidos y analizados en la etapa anterior de esta misma fase
y los inconvenientes o nuevos requerimientos que pudieran surgir en la etapa de
implantacin.
Un proyecto como el que aqu se presenta puede tomar gran envergadura y
desarrollarse en un tiempo prolongado durante el cual el entorno sufrir
modificaciones inherentes a la vida de los sistemas, por lo que puede surgir la
necesidad de ajustes en ciertos aspectos de seguridad.
Tambin, a medida que se implantan los controles para asegurar el entorno, surgen
nuevos requerimientos susceptibles a ser considerados en una segunda etapa de
Aseguramiento.
Se debe considerar siempre en esta disciplina que los avances cientficos son muy
rpidos, y se deben considerar las nuevas soluciones tecnolgicas ofrecidas en el
mercado, que pueden traducirse, muchas veces, en cambios funcionales y en las
tcnicas procedimentales de implantacin.
Los puntos de control que necesiten cambios, mejoras o los que surjan durante el
proyecto se tomarn en cuenta para completar y adaptar el Plan de aseguramiento
para una segunda implementacin, delimitando nuevamente su Alcance, que podr
reducirse a aplicar solamente los cambios surgidos en esta etapa para lograr un
completo aseguramiento del entorno.
179
Presentaciones grupales;
Manuales y folletos;
Cursos;
Mesa de ayuda;
Teleconferencias;
Comunicados.
180
5.4.1.1 Temario
A continuacin se presenta un temario bsico de capacitacin general que deber
ser analizarlo para aplicar en detalle los temas que correspondan segn las Polticas
aplicadas en la empresa objetivo:
1. Qu es la informacin?
Explicar qu se entiende por informacin, sus diferentes formas, cmo se genera,
dnde y cmo se puede guardar, y su valor para la empresa. Esto ltimo se
relaciona directamente con el nivel de confidencialidad de informacin que se
maneje en el negocio dependiendo de sus caractersticas.
2. Qu es la Seguridad.
Presentar el concepto de Seguridad, sus implicancias y sus consecuencias.
3. Intrusos y amenazas.
Definir los intrusos externos e internos, sus amenazas y formas de presentacin.
4. Nivel de Seguridad de la Organizacin
Cul es el nivel de seguridad de la informacin de su empresa? Qu tan
vulnerable es el sistema informtico?
5. Plan de Aseguramiento del Entorno
Explicacin del proyecto de seguridad implementado, composicin del Plan de
Aseguramiento, su Alcance, implicancias, resultados esperados, responsabilidades
de los usuarios desprendidas de la aplicacin del Plan.
6. Medidas adicionales de proteccin. Buenas costumbres.
Los virus informticos son, dentro de la seguridad informtica, la fuente de
mayores prdidas econmicas en el mundo entero. Instalar un buen software
antivirus no es suficiente, ya que la variedad y cantidad de puertas de entrada de
virus, troyanos, etc., puede sorprender en cualquier momento a la mejor
herramienta, sin contar con otros inconvenientes como falsas alarmas, HOAX, etc.
Los usuarios deben estar consientes de este peligro y deben conocer su alcance e
implicancias.
Se les debe dar recomendaciones para el uso cotidiano de sus herramientas de
trabajo y la proteccin de los activos de la organizacin.
7. Diseo del Manual de Seguridad
La seguridad no depende solamente de la tecnologa. Las empresas establecen las
bases fundamentales para custodiar su informacin a travs del desarrollo de
Polticas, Normas y Procedimientos que una vez definidos.
181
Los usuarios deben conocer la diferencia entre los distintos elementos del Manual
de Seguridad como la Poltica General, las Normas y procedimientos y dems
documentos tcnicos, su responsabilidad y las posibles consecuencias sobre el
incumplimiento de las mismas.
8. Soluciones Tecnolgicas:
Firewalls;
Antivirus;
Sistemas de Backup;
9. Formacin en Seguridad
Evaluar la posibilidad de capacitacin en temas especficos de seguridad, tanto
tcnicos como funcionales para los distintos roles y niveles jerrquicos de la
empresa.
10. Responsabilidades:
Administradores de Seguridad y nuevas responsabilidades.
El rol de cada usuario.
182
MANTENIMIENTO
Contenido:
6.1 Control de incidencias
6.1.1 Incidencias de seguridad
6.1.2 Notificacin de incidencias
6.1.3 Documentacin
6.1.4 Reporte de Incidencias
6.1.4.1 Manual de Procedimientos sobre Reporte de Incidencias
6.1.5 Respuesta a incidencias
6.1.6 Recoleccin de incidencias
6.1.7 Registro de incidencias
6.1.8 Investigacin
6.1.9 Seguimiento de incidencias
6.1.10 Prevencin de incidencias
6.2 Control de cambios
6.2.1 Procedimiento de Control de Cambios
6.2 2 Diagrama de flujo
6.2.3 Formulario de Control de cambios
6.2.4 ABM Activos
6.2.5 Ejemplo - AMB Activos
6.2.6 Actualizaciones de Software
6.2.6.1 Documento de Actualizaciones de Software
183
Las incidencias pueden ser de muchos tipos. Entre ellos se encuentran los eventos
de mantenimiento, los pedidos de reparacin de hardware y servicios de los
usuarios, nuevos requerimientos de los usuarios, errores en los datos e incidencias
de seguridad.
184
Desaparicin de informacin;
Un ente informante que entregue el resultado del manejo del incidente al ente
denunciante.
186
Denunciante
(Usuario)
Denuncia
incidente
Receptor Derivador
(Help Desk
o Atencin
al Cliente)
Oficial de
Seguridad
Responsable
Abre caso de
Help Desk
Deriva
denuncia de
incidente
Registra el
incidente
Analiza el
incidente
Incidente
grave de
seguridad?
Analiza el
incidente
No
Toma medidas
para prevenir
el incidente en
el futuro
Tiene
solucin?
Cierra caso de
Help Desk
Se notifica del
cierre del caso
y de las
medidas a
tomar
Informa cierre
de caso
Cierra caso de
Help Desk
Se notifica del
cierre del caso
y de las
medidas a
tomar
Toma medidas
para prevenir
el incidente en
el futuro
No
Informa
medidas
preventivas
tomadas y
acciones a
tomar por el
usuario
Resuelve el
incidente
Informa
solucin del
incidente y
medidas a
tomar por el
usuario
Informa cierre
de caso
exitoso
187
6.1.3 Documentacin
Se deber conservar de manera segura un resumen de todas las incidencias y
acciones realizadas.
El acceso y conservacin de la informacin referente a incidencias que han afectado
a informacin clasificada deber ser limitado y controlado cuidadosamente a fin de
proteger la confidencialidad de los individuos y minimizar la exposicin de la
compaa y las obligaciones relacionadas con la privacidad.
Ubicacin fsica;
188
Todos estos datos deben ser completados con el mayor detalle posible por el
usuario afectado, salvo el campo correspondiente al nmero de incidente, que
deber ser completado por el responsable.
Los Reportes de Incidencias debern ser conservados con fines de anlisis y
reportes.
Formato del Reporte de Incidencias
189
REPORTE DE INCIDENCIAS
# INCIDENTE:
FECHA:
HORA:
SECTOR:
UBICACIN FSICA:
_____________________
FIRMA DEL DENUNCIANTE
_____________________
FIRMA DEL RESPONSABLE
ARCHIVOS ADJUNTOS:
ACCIN TOMADA:
190
192
FECHA
SECTOR
NOMBRE DEL
DENUNCIANTE
NOMBRE
RESPONSABLE
DESCRIPCIN /
MEDIDA TOMADA
193
6.1.8 Investigacin
Todas las reas de sistemas debern colaborar en la investigacin de las incidencias
de seguridad ocurridas a fin de asegurar que todas las posibles consecuencias del
mismo han sido consideradas.
A fin de incrementar la integridad del proceso de investigacin de incidencias,
deber existir un doble control y segregacin de funciones, lo que significa que ms
de una persona deber estar involucrada en el proceso. Esto incluye prevenir el
caso que un individuo potencialmente modifique o las pistas de auditora de un
sistema o aplicacin.
Durante el proceso de investigacin se deber tomar nota de hechos tales como
quin, qu, cmo y cundo, a fin de tener registro de todas las acciones realizadas
y la informacin no cubierta y evitar fraudes informticos.
194
Configuraciones de equipos;
Aplicaciones de escritorio;
Entre otros.
Los cambios deben pasar por un circuito de autorizaciones desde que nace el
requerimiento hasta que se implanta el cambio.
Desde un punto de vista macroscpico, se podra decir que un cambio pasa por
cuatro estados durante su vida:
1. Inicialmente surge como un requerimiento solicitado por un usuario.
2. Luego del anlisis de los responsables, se convierte en un requerimiento
aprobado.
3. El siguiente estado en el desarrollo de la solucin.
4. Finalmente, se concreta el cambio en la implantacin del cambio.
195
Planificar, priorizar, autorizar y coordinar las tareas a realizar por los distintos
involucrados ante la necesidad de realizacin de cambios de sistemas en
produccin;
196
Las siguientes son las responsabilidades de las personas que forman el comit de
cambios:
Usuario solicitante:
o
Analista de aplicaciones:
o
Oficial de Seguridad:
o
197
Paso Descripcin
Objetivo
Involucrados
Resultado
Fase de Anlisis
01
Usuario solicitante
Usuario solicitante
Documentacin detallada
del requerimiento de
cambio en el Formulario
de Control de cambios
198
Comit de cambios
(coordinacin)
Administrador de la
infraestructura tcnica
(responsable)
Administrador de base de datos
(responsable)
Analista de aplicaciones
(responsable)
Registro de la solicitud en
el Formulario de Control
de Cambios
Documentacin tcnica
del cambio a realizar junto
con todos los sistemas
afectados y el evaluacin
del impacto
04
Administrador de la
infraestructura tcnica
(responsable)
Administrador de base de
datos (responsable)
Analista de aplicaciones
(responsable)
Oficial De Seguridad
(implicado)
Comit de cambios
(coordinacin)
Administrador de la
infraestructura tcnica
(responsable)
Administrador de base de datos
(responsable)
Analista de aplicaciones
(responsable)
199
Comit de cambios
(coordinacin)
06
Administrador de la
infraestructura tcnica
(responsable)
Administrador de base de datos
(responsable)
Analista de aplicaciones
(responsable)
Fase de Pruebas
07
08
Administrador de la
infraestructura tcnica
(responsable)
Administrador de base de datos
(responsable)
Documentacin con el
detalle de las pruebas a
realizar junto su
planificacin
Analista de aplicaciones
(responsable)
Administrador de la
infraestructura tcnica
(responsable)
Identificar los problemas que
pueden ocasionar los cambios.
Documentacin con el
resultado de las pruebas
Analista de aplicaciones
(responsable)
Administrador de la
infraestructura tcnica
(responsable)
09
200
Comit de cambios
(coordinacin)
Otorgan la aceptacin formal a la realizacin de los
cambios planificados en el entorno de produccin.
10
En caso de ser necesario modifican las especificaciones
realizadas en la etapa de planificacin.
Infundir la toma de
responsabilidad en las decisiones
tomadas.
Administrador de la
infraestructura tcnica
(responsable)
Administrador de base de datos
(responsable)
Documentacin formal de
la aceptacin de la
implantacin del cambio
en produccin
Analista de aplicaciones
(responsable)
Fase de Implantacin
Identifican todas las actividades necesarias para realizar
el cambio y todas las precauciones a considerar antes
de realizarlo a fin de poder volver atrs sin mayores
inconvenientes.
11
Comit de cambios
(coordinacin)
12
Administrador de la
infraestructura tcnica
(responsable)
Administrador de base de datos
(responsable)
Analista de aplicaciones
(responsable)
Administrador de la
infraestructura tcnica
(responsable)
Administrador de base de datos
(responsable)
Analista de aplicaciones
(responsable)
Documentacin de las
configuraciones anteriores
del entorno y
documentacin de las
acciones para volver al
estado inicial.
201
13
Administrador de la
infraestructura tcnica
(responsable)
14
Administrador de la
infraestructura tcnica
(responsable)
Implantar los cambios en
produccin.
Configuracin implantada
en produccin
Analista de aplicaciones
(responsable)
15
Administrador de la
infraestructura tcnica
(responsable)
16
Administrador de la
infraestructura tcnica
(responsable)
Conservar el entorno productivo
en caso de contingencia.
Documentacin de las
acciones de vuelta atrs
realizadas
Analista de aplicaciones
(responsable)
202
Comit de cambios
(coordinacin)
17
Administrador de la
infraestructura tcnica
(responsable)
Administrador de base de datos
(responsable)
Documentacin formal de
la aceptacin de la
solucin realizada
Analista de aplicaciones
(responsable)
Administrador de la
infraestructura tcnica
(responsable)
18
Mantener vigente la
documentacin.
Documentacin
actualizada de las
configuracin de los
sistemas
Analista de aplicaciones
(responsable)
Registran los cambios de configuracin realizados en los
sistemas, incluyendo:
Fecha
Hora
19
Administrador de la
infraestructura tcnica
(responsable)
Administrador de base de datos
(responsable)
Documentacin
actualizada de la
configuracin realizada en
los sistemas
Analista de aplicaciones
(responsable)
Criticidad
20
203
Usuario Solicitante
Administrador de la
Infraestructura
Tcnica
Administrador de
Bases de Datos
Analista de
Aplicaciones
Oficial de Seguridad
Inicio
Anlisis
0
1
0
2
0
3
Identifica
necesidad de
cambio en
configuracin
0
4
No
Comunica
el cambio
a realizar
Se aplicar el cambio?
0
5
Planifican el cambio
0
6
Requiere pruebas?
No
S
0
7
Pruebas
0
8
Ejecutan pruebas
0
9
Pruebas OK?
No
1
0
1
1
Definen y planifican tareas para realizar el cambio
1
2 Ejecutan tareas previas para permitir una vuelta
atrs
1
3
Tareas previas OK?
No
Implantacin
1
4
S
Implantan el cambio
1
5
No
1
6
Cambio OK ?
S
2
0
1
9
Actualizan documentacin
Registran el cambio
Fin
204
FECHA:
205
4. PRUEBAS
Fecha de prueba programada:
Horario de prueba programado:
Requerimientos:
Duracin esperada (horas):
Resultados esperados:
Responsable:
Aprobacin:
5. CANCELACIN Y RECUPERACIN
Procedimientos de cancelacin de cambios:
Procedimientos de recuperacin:
Notificacin:
6. AUTORIZACIONES
_______________________
_________________________
Solicitante
departamento
206
7. AUTORIZACIONES ADICIONALES
_______________________
_________________________
Nombre
Firma
_______________________
_________________________
Nombre
Firma
_______________________
_________________________
Nombre
Firma
207
208
209
FECHA
CDIGO
ABM
CAUSA
ACTIVOS
RELACIONADOS
210
A: Alta;
B: Baja;
M: Modificacin;
CAUSA: es una descripcin de la razn por la que el elemento sufri el ABM en
cuestin.
ACTIVOS RELACIONADOS: En este campo se deben mencionar los activos que se
ven afectados por el cambio, por ejemplo unidades de hardware en que se ubicaba
un elemento de software al que se le da de baja.
FECHA
20/06/2003
CDIGO
BK0102
ABM
B
ACTIVOS
RELACIONADOS
CAUSA
Expiracin de validez los datos. Unidad
sobrescrita.
BK0174,
HW0243
En el Inventario de Activos:
CDIGO
HW0001
DESCRIPCIN
Mouse
UBICACIN
RESPONSABLE
FECHA
CREACIN
12/2001
FECHA
EXPIRACIN
CRI
TICID
AD
211
ESTADO
A
Logitech
QA,
HW0017
---
---
---
HW0034
---
---
BK0102
cpu:
---
---
---
7/2003
---
---
---
---
---
Backup
de HW0024
Srv01/externo/pro
y5.mbd
Juan Perez
20/05/2003
20/06/2003
---
---
---
---
---
---
BK0174
Backup
de HW0024
Srv01/externo/pro
y5.mbd
Juan Perez
20/06/2003
20/07/2003
---
---
212
Esta sirve no solo para ordenar y organizar la instalacin, sino para controlar el
comportamiento de las mquinas actualizadas.
Muchas veces las actualizaciones pueden dejar la mquina inestable o provocar
otros efectos que se pueden revertir llevando una completa y rigurosa
documentacin de los parches instalados.
SOFT
DESCRIPCIN
FECHA
CPU#
CPU#
CPU#
CPU#
213
V.
CONCLUSIN
214
Estabilizar el entorno
Aseguramiento;
realizando
los
ajustes
necesarios
al
Plan
de
Fsico;
Lgico;
De la organizacin.
A su vez este anlisis se puede reducir a un nivel o dos, segn el deseo del cliente y
su presupuesto.
Es importante recalcar que, como vimos en todo el desarrollo de la MAEI, no es
necesario aplicar todas las fases, ni en los tres niveles. Pueden saltearse fases,
cambiarlas de orden, investigarse aspectos netamente fsicos, netamente lgicos,
netamente de la organizacin o una combinacin de ellos.
Plan de Trabajo: ofrece una organizacin del proyecto con las tareas a realizar
con su duracin aproximada y los recursos destinamos a cada una;
215
Archivos de log: son registros (archivos de texto, bases de datos u otros) que
permiten el registro de las pistas de auditora que emite el sistema informtico;
Inventario de Activos: documento que sirve para llevar un control de los activos
lgicos y fsicos presentes en el entorno:
o
Inventario de Activos Fsicos: recompila todos los activos de tipo fsico y los
enumera y clasifica;
ABM Activos: es un registro de los cambios que sufren los activos, y su relacin
entre con otros activos;
Poltica general;
Normas;
Procedimientos;
Estndares tcnicos;
Manuales de usuario;
216
Instructivos;
Tabla de Criticidades por Equipo: documento que sirve para establecer las
criticidades de los equipos del entorno;
Tabla de Criticidades por Servicio: documento que sirve para establecer las
criticidades de los servicios del entorno;
Tabla de Criticidades por Aplicacin: documento que sirve para establecer las
criticidades de las aplicaciones del entorno;
PRED: Plan de Recuperacin del Entorno ante Desastres: establece las medidas
a tomar para prevenir catstrofes y recuperar el entorno una vez ocurridas,
preservando los objetivos del negocio:
o
Informe de Implantacin: documento con los detalles del avance del proyecto
de aseguramiento del entorno y de los cambios realizados;
218
VI. BIBLIOGRAFA
[Cobit] Cobit Standard- Objetivos de Control para la Informacin y Tecnologas 2000, emitido por el Comit directivo del Cobit y la Information Systems audit.
And Control Fundation.
http://www.hispasec.com
http://www.isecom.org
http://iss.net
http://xforce.iss.net/
http://www.bsi-global.com/index.xalter
http://microsoft.com/latam/technet/articulos/200011/art04
http://msn.com
.
[10laws-MS] Microsoft Technet. The Ten Immutable Laws of Security. 2003
o
http://microsoft.com/technet/colums/security/assays/10imlaws.asp
http://microsoft.com/technet
http://microsoft.com
http://www.isaca.org
http://www.isaca.org
http://www.instisec.com
220
http://www.isecom.org
http://www.robota.net
221
222
223
Cobit
Objetivos de Control para la Informacin y Tecnologas - 2000, emitido por
el Comit directivo del Cobit y la Information Systems audit. and Control
Fundation
224
Cobit es un estndar que pretende conciliar el negocio con los recursos (personas,
aplicaciones, datos, tecnologa, instalaciones) del ambiente de IT, haciendo nfasis
en la organizacin y en la planificacin.
Define 34 procesos de IT que considera como unidades controlables, sobre los que
establece objetivos de control. stos se agrupan en cuatro dominios:
Planificacin y organizacin
Adquisicin e implantacin
Entrega y soporte
Monitorizacin
Cobit define 318 objetivos detallados que involucran a todas las reas de la
empresa.
Estos objetivos permiten determinar la situacin actual, es decir, el nivel de
madurez, segn el modelo de madurez o Capability Maturity Model (MMC), y
permite fijar objetivos para subir el nivel mediante estos puntos de control.
Para la elaboracin de esta metodologa se consideraron los siguientes puntos de
control:
Planificacin y organizacin:
Adquisicin e implantacin:
225
Entrega y soporte:
Monitoreo:
MAGERIT
Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de
Informacin de las Administraciones Pblicas
MAGERIT, es una metodologa formal destinada a investigar los riesgos que
soportan los Sistemas de Informacin, y recomendar las medidas apropiadas que
deberan adoptarse para controlar estos riesgos.
Las recomendaciones de MAGERIT permiten conocer, prevenir, impedir, reducir o
controlar los riesgos investigados, mediante la gestin de riesgos.
En particular, se han considerado las presentes en la Gua Para Responsables Del
Dominio Protegible, entre las que se encuentran: Conocimiento de las Amenazas,
Estimacin de las Vulnerabilidades, Identificacin de Impactos, Estimacin de
Impactos, Riesgos
Segn MAGERIT, el anlisis de riegos identifica seis elementos:
Activos
Amenazas
Vulnerabilidades
Impactos
226
Riesgo
Salvaguardas
Estos seis elementos son estudiados durante todo el proceso que presentamos en
nuestra metodologa de revisin de aplicaciones, donde se realiza el relevamiento
que abarca, entre otras cosas, la evaluacin de la aplicacin a revisar como activo
lgico de la organizacin, y los elementos relacionados con sta como bases de
datos y otras aplicaciones, para pasar a la etapa donde se identifican las amenazas,
las vulnerabilidades y se estudia su riesgo asociado, para finalmente recomendar la
mejor salvaguarda que corresponda.
227
obtenidos
de
229
231
Computadora
de
gran
tamao
de
tipo
232
233