Documentos de Académico
Documentos de Profesional
Documentos de Cultura
MODELOS DE ENCRIPTACIÓN DE
DATOS EN IT Y SU APLICACIÓN EN
EL DISEÑO DE SEGURIDAD DE
INFRAESTRUCTURAS
INFORMÁTICAS
RESUMEN
Los sistemas de información se basan en sistemas lógicos que están diseñados para ser
universales. Esa universalidad hace que cualquier persona esté en condiciones de
entender dichos sistemas. Cuando una organización adquiere un sistema de información
y lo integra en su sistema de negocio se está exponiendo a todo tipo de amenazas. Esto
sugiere un reto para la ciencia de la información, y es la de garantizar un sistema de
información seguro a través de medidas de protección.
I
Javier Ruiz-Canela López
ABSTRACT
Information systems are based in a logical system that is designed to be universal. That
universality means that any person is able to understand such systems. When an
organization acquires an information system and integrates into its business system is
exposed to all kinds of threats. This suggests a challenge to information science. And it
is ensuring a secure information system through protection measures.
The protection information systems through the use of encryption systems that can
make the information unreadable to any crackers (criminal hackers). Basic encryption
systems are based on the computational complexity of the factorization of prime
numbers. However these systems have become obsolete because new attacks targeting.
The new attacks targeting use the power of several computers to break the traditional
encryption systems. This produces the need for innovation in encryption systems. The
encryption systems based on elliptic curve (ECC) are the answer to the new challenges
of the targeting. These systems are safer and less computational burden for information
systems, which also translates into lower costs in the information system security.
However information science must integrate these systems to business needs. This
requires the design of information security architecture. The security architecture
proposed in this project and based on ECC, comprises a security information
management system and a security perimeter.
The management system for information security organization serves the needs of any
enterprise: corporate data system, programs and systems plan, inter-corporate and extra-
corporate communications, administrative structure and risk control. This series of plans
are designed with the recommendations of major organizations in the field of
information security (ISO, ISSA, SANS, ISSA, etc. ...).
II
Javier Ruiz-Canela López
ÍNDICE
1. Introducción ............................................................................................................................. 1
1.1. Estado del Arte................................................................................................................ 1
1.2. Justificación del Proyecto ............................................................................................... 1
2. Algoritmos Criptográficos ................................................................................................... 2
2.1. Algoritmos criptográficos de factorización discreta ....................................................... 3
2.2. Algoritmos criptográficos de Curva Elíptica (ECC) ....................................................... 5
2.3. Ventajas de los algoritmos de curva elíptica sobre los algoritmos clásicos .................. 9
2.4. Aplicaciones de los algoritmos de curva elíptica ......................................................... 10
3. Política de Seguridad ......................................................................................................... 11
3.1. Política basada en planes de seguridad ......................................................................... 11
3.2. Documento de política de seguridad de la información ................................................ 12
3.3. Revisión de la política de seguridad de la información ............................................... 14
4. Plan de Seguridad en Datos ............................................................................................... 16
4.1. Propósito, Objetivos y Alcance..................................................................................... 16
4.2. Cumplimiento de los requisitos legales ........................................................................ 17
5. Plan de Seguridad en Sistemas .......................................................................................... 29
5.1. Propósito, Objetivos y Alcance..................................................................................... 29
5.2. Requisitos de seguridad en los sistemas de información .............................................. 31
5.3. Tratamiento correcto de las aplicaciones ...................................................................... 32
5.4. Controles criptográficos ................................................................................................ 38
5.5. Seguridad de los archivos de sistemas .......................................................................... 39
5.6. Seguridad en los procesos de desarrollo y soporte ....................................................... 40
5.7. Gestión de la vulnerabilidad técnica ............................................................................. 44
6. Plan de Seguridad en Comunicaciones ............................................................................. 45
6.1. Propósito, Objetivos y Alcance..................................................................................... 45
6.2. Responsabilidades y procedimientos de operación....................................................... 46
6.3. Gestión de la provisión de servicios a terceros ............................................................. 51
6.4. Planificación y aceptación del sistema ......................................................................... 54
6.5. Protección contra código malicioso y descargable ....................................................... 56
6.6. Copias de seguridad ...................................................................................................... 60
6.7. Gestión de seguridad en redes....................................................................................... 61
6.8. Manipulación de soportes ............................................................................................. 64
6.9. Intercambio de información .......................................................................................... 66
7. Plan de Seguridad en Control de Acceso .......................................................................... 68
7.1. Propósito, Objetivos y Alcance..................................................................................... 68
7.2. Requisitos del negocio para el control de acceso .......................................................... 70
7.3. Gestión de acceso de usuario ........................................................................................ 71
7.4. Responsabilidades del usuario ...................................................................................... 74
7.5. Control de acceso a red ................................................................................................. 75
7.6. Control de acceso al sistema operativo ......................................................................... 82
7.7. Control de acceso a las aplicaciones y a la información ............................................... 87
7.8. Ordenadores portátiles y teletrabajo ............................................................................. 89
III
Javier Ruiz-Canela López
IV
Introducción Javier Ruiz-Canela López
1 INTRODUCCIÓN
Para ello se estudiarán los algoritmos de encriptación basados en curva elíptica dado las
ventajas que traen sobre los algoritmos de encriptación tradicionales. Y tomando como
base los mismos, se planteará una arquitectura de seguridad para sistemas de
información tomando como referencia la ISO 27002, la legislación española y los
procedimientos informáticos corporativos.
1
Algoritmos criptográficos Javier Ruiz-Canela López
2 ALGORITMOS CRIPTOGRÁFICOS
2
Algoritmos criptográficos Javier Ruiz-Canela López
2. n = 3 * 11 = 33.
3
Algoritmos criptográficos Javier Ruiz-Canela López
Sujeto A Sujeto B
.a,p son
Intercambio de Pretratamiento
enteros y
largos
HD
Pub A
PubA=aPrivA(modp) PubB=aPrivB(modp)
Pub B
Creación
Claves
Z=PubBPrivA(modp) Z’=PubAPrivB(modp)
Z=Z’
4
Algoritmos criptográficos Javier Ruiz-Canela López
Las curvas elípticas vienen dadas por una curva plana definida por la siguiente
ecuación:
2 3
1. y =x + xa + b donde y, x ∈ ℝ y a, b ∈ G
ECDSA
o Generación de claves
o Firma Digital
o Certificación
5
Algoritmos criptográficos Javier Ruiz-Canela López
Para la fase de generación de claves bajo parámetros GF (p) se tiene que realizar los
siguientes pasos:
Para la fase certificación con campo finito GF (p) se tiene que seguir los siguientes
pasos:
1. Generación valor hash: Calcular un valor hash e’=H (M’) usando la función
hash SHA-1* .Representar el valor mediante un entero de 160 bits.
2. Cálculos de la curva elíptica: Seleccione un único calor entero “k” en el
intervalo [1, n-1]. Calcular los puntos de la curva elíptica (x,y)=kG.
3. Moldeado de los cálculos: Convertir el valor “x” a entero, calcular r = x mod n.
Si r=0 entonces volver a paso 1, sino calcular s = k-1 (e + dr) mod n. Si s=0
entonces volver a paso 2.
4. La firma de M será los dos enteros “s” y “r”.
Para la fase certificación con campo finito GF (2m) se tiene que seguir los siguientes
pasos:
1. Generación valor hash: Calcular un valor hash e’=H (M’) usando la función
hash SHA-1* .Representar el valor mediante un entero de 160 bits.
2. Moldeado de los cálculos: Sea “r” y “s” enteros que no están en el intervalo
[1, n-1]. Calcular c = (s') -1 mod n y u1 = e'c y u2 mod n = r'c mod n.
Firma digital* como la firma ológrafa (autógrafa, manuscrita), puede vincularse a un documento para identificar al autor y asegurar
que el contenido del mismo no ha sido modificado.
SHA-1* es un algoritmos de funciones hash dado por el ANSI X9.30.
Exponenciación binaria* potenciación por cuadrados o elevar al cuadrado y multiplicar. Xa+b =XaXb
grupo abeliano* es un grupo (que se denota con (G, *) ), tal que: a*b=b*a para todos los elementos a, b ∈ G.
6
Algoritmos criptográficos Javier Ruiz-Canela López
MQV
HMQV
HMQV [Kraw05] esta variante del protocolo MQV utiliza una función hash para dar un
mayor rendimiento que su homólogo. Las ventajas que presenta con respecto a su
predecesor son las siguientes:
Para poder entender mejor las mejoras los protocolos MQV y HMQV se analizará como
se realiza una negociación de claves con MQV\HMQV. Para ayudar a la explicación se
apoyara en el siguiente esquema:
Entidad Agente
.a,g,p b
Pretratamiento
Y=yP X =xP
B
e=2 l + Y mod 2 l
HMVQ MVQ
d =2 l + X mod 2 l
e=H(Y , A ) y=H(X , B )
x + db
Creación
p a =(Y. B e )
y + ea p b =(X. A d )
Claves
K =H(p b )=H(p a )
7
Algoritmos criptográficos Javier Ruiz-Canela López
S se utiliza HMQV:
Sin embargo, el protocolo MQV es sensible a ataques activos del tipo "hombre en el
medio" (mitm, man-in-the-middle). Si la comunicación es interceptada por un tercero,
éste se puede hacer pasar por el emisor cara al destinatario y viceversa, ya que no se
dispone de ningún mecanismo para validar la identidad de los participantes en la
comunicación. Este problema se solventa con el uso de la entidad de certificación pues
da seguridad en la comunicación entre agentes. En el protocolo HMQV este problema
no se da ya que la identidad de cada individuo está asegurada mediante el cálculo de
función hash.
8
Algoritmos criptográficos Javier Ruiz-Canela López
-Los algoritmos de encriptación elíptica son más rápidos que los tradicionales. El
tiempo de respuesta de encriptación a 128 bit para un algoritmo clásico es de 670 ms y
para un ECDSA es de 7 ms.
-Los sistemas de encriptación ECC necesitan menos memoria que los algoritmos
tradicionales. El tamaño de una clave para un algoritmo hash SHA-1 con RSA es de
1024 bits mientras que para un ECC es de 192 bits.
-El ancho de banda consumido por los sistemas ECC es menor que los sistemas
tradicionales. Los bits payload reservados en las cabeceras IP son de 326 para RSA y
para MQV son de 41.
- Los servidores webs son 3.5 veces más seguros utilizando algoritmos ECC que
algoritmos de factorización discreta. El tiempo de respuesta entre cliente y servidor es
mucho menor tal y como se muestra en el gráfico siguiente:
9
Algoritmos criptográficos Javier Ruiz-Canela López
American National Standard* organismo estatal norteamericano para la homogeneización de estándares tecnológicos
10
Política de Seguridad Javier Ruiz-Canela
3 POLÍTICA DE SEGURIDAD
3.1 Política basada en planes de seguridad
La Organización Internacional para la Estandarización o ISO es una organización que se
dedica a la implantación de estándares o de normas de productos y seguridad. Están
destinadas a las empresas u organizaciones a nivel internacional. Para la ISO, la
información es un activo vital para el éxito y la continuidad en el mercado de cualquier
organización. La seguridad de dicha información y de los sistemas que la procesan es
por tanto un objetivo de primer nivel para la organización. Para llevar a cabo ese
objetivo plantean para la seguridad de la información la ISO 27002 [ISO07]. La ISO
27002 es una guía de buenas prácticas para la elaboración de una política de seguridad.
La norma propone un sistema de gestión de seguridad de la información que cubre
todos los aspectos jurídicos y técnicos en la creación, manejo y eliminación de la
información.
Para poder definir los planes de seguridad la norma se compone en 10 áreas ,36
objetivos y 127 controladores de seguridad. En estas 10 secciones cubre todos los
aspectos jurídicos y técnicos en la empresa. La apuesta de este proyecto es la de cubrir
todas esas secciones de forma que se plantea una política de seguridad (no se contempla
el comercio electrónico) para la empresa que cubre todas las necesidades de la empresa
para la seguridad de sus sistemas de información. Para ello la política se subdivide para
cada uno de estas secciones en planes de seguridad en cada uno de ellos se analizarán de
forma detallada los controles propuestos por la ISO. Para conseguir este objetivo se
tendrá como referencia los conocimientos adquiridos durante la licenciatura de
ingeniería en informática, la situación legal vigente en España y las recomendaciones de
buenas prácticas dadas por los principales organismos internacionales: ISSA, ISO,
SIA...etc. En el cuadro de abajo se presenta la relación planes y áreas:
Áreas Planes
Organización de la Seguridad Plan de Seguridad Interna
Clasificación y control de activos Plan de Seguridad Interna
Seguridad ligada al personal Plan de Seguridad para Personal
Plan de Seguridad Medioambiental y Seguridad
Seguridad física Física
Seguridad lógica Plan de Seguridad en Comunicaciones
Control de acceso Plan de Seguridad en Control de Acceso
Mantenimiento y desarrollo de los
sistemas Plan de Seguridad en Sistemas
Plan de Seguridad para Auditorias
Plan de Seguridad para Incidentes y
Continuidad de negocio Continuidad
Cumplimiento con la legislación
vigente Plan de Seguridad en Datos
11
Política de Seguridad Javier Ruiz-Canela
En toda corporación hay mecanismos de organización para poder realizar las tareas
productivas de forma eficiente. En el plan de seguridad interno se describe como tiene
que organizar la corporación para poder llevar sus tareas comunes con seguridad. Como
afecta la seguridad a la organización interna de la empresa, cual es la relación a tener
con las autoridades y cuales deben de ser los mecanismos para garantizar la seguridad a
los clientes. También quiere dejar constancia de los activos en la empresa, según una
escala de importancia en cuanto a seguridad y cuales serian las directrices a seguir en la
clasificación de la información.
12
Política de Seguridad Javier Ruiz-Canela
13
Política de Seguridad Javier Ruiz-Canela
PLAN
MONITORIZAR
Revisar el SGSI
Medir eficacia de los controles
Realizar auditorias internas de la SGSI
Registrar acciones y eventos
La ISO propone una serie cíclica de cuatro estados para la revisión continua de una
política de seguridad. Dicho plan se compone de cuatro estados: Plan, Hacer,
Monitorizar y Revisar.
Plan
El estado Plan se corresponde con la fase de control de redacción del documento de la
política de seguridad. Antes de la realización del mismo hay que tener el visto bueno de
la dirección de la empresa. También se tiene que realizar un inventario de activos y una
evaluación de riesgos que viene determinada por un estudio de la información sensible y
el manejo de la misma. Por información sensible se entiende aquella de afecte
considerablemente al ciclo productivo de la empresa. Después de ello se procederá a
elegir los controles de seguridad necesarios para la seguridad del sistema de
información de dicha organización.
14
Política de Seguridad Javier Ruiz-Canela
Hacer
El estado Hacer se corresponde con la implantación de la política de seguridad. Para
ello se tiene que tener en cuenta el impacto que puede provocar en la organización y
plantear mecanismos de seguridad en caso de fallo con la redacción de un plan de
impacto.
Monitorizar
Este fase se corresponde con la fase de monitorización en ella se quiere controlar el
correcto funcionamiento del sistema de gestión de la seguridad (SGSI). Para ello se
tendrá que medir la eficacia de los controles implantados, realizar auditorías internas y
registrar toda acción u evento acontecida en el sistema.
Revisar
En esta última fase se pretende realizar una re-edición de la política de seguridad con el
fin de poder mejorar los defectos o carencias de anteriores ediciones. Para ello se deben
de tomar acciones correctivas con la incorporación o eliminación de controles de
seguridad. Y acciones preventivas con cambios en aquellos controles con poca eficacia.
La nueva edición de la política de seguridad debe de contar con el respaldo de la
dirección de la empresa.
15
Plan de Seguridad en Datos Javier Ruiz-Canela López
Propósito
Alcance
Objetivos
El objetivo de este plan es cumplir con la norma 27002 más concretamente con el
capítulo 15. A continuación una lista se muestra los controles tratados en este plan:
15. Cumplimiento
15.1. Cumplimiento de los requisitos legales
15.1.1. Identificación de la legislación aplicable
15.1.2. Derechos de Propiedad intelectual (DPI)
15.1.3. Protección de documentos en la organización
15.1.4. Protección de datos y privacidad de la información personal
15.1.5. Prevención de uso indebido de los recursos de tratamiento de la
información
16
Plan de Seguridad en Datos Javier Ruiz-Canela López
Según el tipo de información que contengan los ficheros, se clasifican en tres niveles:
Esta organización de fichero se aplica a todos los documentos digitales en una empresa
española. Los ficheros tienen que dejar constancia de su existencia en la Agencia de
Protección de Datos. La Agencia de Protección de Datos es un organismo
administrativo que regula el cumplimiento de la LOPD en todo el territorio español.
Cada uno de los ficheros tiene un tratamiento específico que obliga a tomar una serie de
medidas a toda organización. [https://www.agpd.es/portalweb/canalresponsable/
inscripcion_ficheros/index-ides-idphp.php] Dichas medidas se detallan en el apartado
de protección de documentos en la organización.
17
Plan de Seguridad en Datos Javier Ruiz-Canela López
Las consecuencias del mal uso de las redes sociales son la vulnerabilidad de la
intimidad de las personas. En España, la ley Orgánica 1/1982 Protección Civil del
Derecho al Honor y la Intimidad Personal garantiza la dignidad de las personas y su
imagen. Del mismo modo, la Ley Orgánica de protección de Datos de Carácter Personal
[LOPD99) garantiza que el usuario tiene derecho al acceso, cancelación y modificación
de sus datos personales. La Ley de Propiedad Intelectual [LPI96] da derechos al autor
por su creación, por lo que las empresas tienen derecho con sus productos. Por lo tanto
las redes sociales que ofrezcan sus servicios en España deben de asegurarse de lo
siguiente:
18
Plan de Seguridad en Datos Javier Ruiz-Canela López
o LOPD y salud
El ámbito sanitario y los datos de carácter personal generan una seria de dudas que
afectan de forma considerable a los derechos de los trabajadores. Por ejemplo, se
considera datos de salud la estatura de una persona, o el reconocimiento médico anual o
una recete médica. Es lícito, despedir a una persona por motivos de salud. La respuesta
a estas preguntas no tiene fácil solución sin embargo la Ley Orgánica de Protección de
Datos de Carácter Personal [LOPD99] marca una serie de pautas de actuación en el
ámbito de los datos de salud.
Sin embargo la ley no especifica que son datos relativos a salud y remite la definición a
los acuerdos entre legislación estatal o autonómica sobre sanidad. Eso se traduce en que
en cada comunidad autónoma habrá unos datos que se considere de salud y otro que no
se consideren de salud.
Los datos de salud estarán en conocimiento del profesional a los cuales vaya destinado.
Sin embargo estos datos podrán ser cedidos en los casos que disponga la ley. Pero estos
datos solo podrán ser cedidos a las autoridades de las consejerías de sanidad o
Ministerio de Sanidad. Por ejemplo, en los casos de gripe A las autoridades sanitarias
tienen derecho a conocer los datos sanitarios de la población de riesgos, incluso de
obligar a una vacunación masiva si supone un riesgo de salud pública.
19
Plan de Seguridad en Datos Javier Ruiz-Canela López
La LPI afecta de forma directa en el proceso productivo de una organización. Pues las
fuentes de información pueden estar ligadas a los derechos recogidos por esta ley. En
este caso se plantea dos escenarios posibles: uso de una fuente de información recogida
con los derechos de autor, protección de un producto propio mediante esta ley.
Para el uso de una fuente información recogida con los derechos de autor, hay que tener
claro el uso que se da al mismo. Puede utilizarse como medio para conseguir apoyo a un
producto o como parte de dicho producto. En cualquiera de los casos si se trata de una
herramienta informática hay que ver el tipo de licencia para determinar la acción a
realizar. El tipo de licencia de un producto informático es de tres naturalezas: software
libre, software privativo y software de dominio público. Las licencias de software libre
son un tipo de licencias en el que el uso del software no requiere compensación
económica pero la modificación puede presentar una serie de restricciones. El software
privativo es aquel que está protegida por los derechos de autor el cual permite su uso
bajo compensación económica y restringe el número de copias del mismo, además son
de código no abierto por lo que no permiten su modificación. Y por último el software
de dominio público aquel cuyo uso, copia o modificación es libre ya sea con ánimo
lucrativo o no. Para los casos mencionados anteriormente se recomienda el uso de
software de software libre si es parte del producto y de dominio público si se utiliza
como medio para conseguir ese producto. Pero en caso de no tener más remedio que
utilizar software privativo se tiene que tener en cuenta la limitación de copias, el precio
y la duración de la licencia.
20
Plan de Seguridad en Datos Javier Ruiz-Canela López
En el caso de crear un producto propio que se desee que sea protegido mediante la LPI.
Se tiene que registrar en una oficina del Registro de Propiedad Intelectual, organismo
dependiente del ministerio de cultura, [http://www.mcu.es/propiedadInt/CE/
RegistroPropiedad/InscripcionDerechos.html] el registro es voluntario. También es
interesante remarcar que en España la licencia sobre un producto dura diez años según
esta recogido en la Ley de Marcas [LDM01]. En caso de un documento digital la mejor
manera de poder garantizar la propiedad de los datos es mediante la firma digital. La
firma digital es un método informático por el cual se garantiza la integridad de un
documento mediante el uso de un algoritmo criptográfico (véase plan de seguridad en
sistemas).
En un mundo cada vez más competitivo la información sobre las estrategias de mercado
o de organización empresarial puede considerarse su precio en oro. Por estos motivos se
propone dividir aun más la jerarquía de datos. La nueva jerarquía propuesta sería la
siguiente:
Nivel de
Requisitos
Seguridad
Ficheros que contengan datos de carácter personal (nombre
BASICO
y apellidos, DNI, teléfono, domicilio, etc.)
Ficheros que contengan datos de carácter empresarial (NIF
MEDIO-BAJO
de la empresa, dirección, organización…)
Ficheros que contengan datos de infracciones
MEDIO
administrativas y penales.
Ficheros con datos tributarios Ficheros con datos
MEDIO-ALTO
financieros , de solvencia y crédito
Ficheros que contengan datos socialmente sensibles no
ALTO
comerciales
EXTREMO Ficheros que contengan datos de estrategia de empresa
(12) Niveles de Seguridad
21
Plan de Seguridad en Datos Javier Ruiz-Canela López
El nivel medio-bajo contiene información sobre la empresa, esta información podría ser
utilizada por competidores para hacer daño a la empresa. Esto lleva a pensar que se
merece un tratamiento más delicado que la simple protección de un fichero básico. El
nivel medio conserva lo dicho en la ley en cuanto a los datos administrativos y penales.
No obstante de este nivel se crea otro nuevo el medio-alto, este contiene datos bancarios
sensibles de ser atacados por ello se merece un nivel mayor de seguridad. El nivel alto
referente a datos socialmente sensibles por la ley carece de valor empresarial en un
principio. Pero no obstante se tiene que considerar al estar reflejado en la ley. Sin
embargo se recomienda evitar la creación de este tipo de ficheros.
El último nivel es el más importante, no está sacado de la ley pero se considera de vital
importancia en el mundo empresarial. Se refiere a los datos empresariales referentes a
estrategias de mercado. Dicha información marca la actuación de una empresa para un
periodo de medio a largo plazo. En manos mal intencionadas podrían llevar a una
empresa a perder millones de euros. Por eso no se debe escatimar en gastos en cuanto a
su protección.
Medio-alto
los más abundantes y los que
formarían la base de esta pirámide. Medio
Según la LOPD las personas tienen que ser identificadas con uso de un nivel de acceso,
de ahí la necesidad de crear una jerarquía de privilegios. También resalta la importancia
de la integridad de los datos. La manipulación de los datos es un privilegio que debe de
ser contemplado; pues no se puede garantizar la integridad de los datos si en la jerarquía
de privilegios todos tienen la capacidad de modificar todos los ficheros. La cancelación
se considera la acción más importante debido a que en caso de buscar evidencias en
caso de delito dicha acción podría dificultar mucho la labor investigadora. Recopilando
estos tres consejos se propone la siguiente jerarquía de privilegios:
23
Plan de Seguridad en Datos Javier Ruiz-Canela López
24
Plan de Seguridad en Datos Javier Ruiz-Canela López
MEDIO- MEDIO-
TIPO DE FICHERO BASICO BAJO MEDIO ALTO ALTO EXTREMO
Fijar el Documento de Seguridad V V V V V V
Definir funciones y obligaciones del
personal V V V V V V
Crear un Registro de incidencias V V V V V V
Mecanismo de Identificación y
autenticación V V V V V V
Sistema de control de acceso lógico V V V V V V
Crear una gestión de soportes V V V V V V
Crear copias de respaldo y
recuperación V V V V V V
Designar un Responsable de Seguridad V V V V V
Crear un sistema de control de acceso
físico V V V V
Realizar auditoría bienal V V V V
No realizar pruebas con datos reales V V V V
Distribución de soportes V V V
Poseer un registro de accesos V V V
Cifrado de las telecomunicaciones V V
Doble cifrado de datos V
Identificación biométrica V
Como se puede apreciar las medidas a tomar son positivamente escalables para todos
los documentos. Con todo, en los ficheros extremos se sustituye el acceso lógico por
una identificación biométrica al considerar que da una mayor protección. Las medidas
de seguridad deben de ser iguales para todos los tipos de ficheros lo único que debe
variar es la cantidad de medidas a tomar. Para saber cómo implantar estas medidas se
analiza a continuación una a una de forma más exhaustiva.
25
Plan de Seguridad en Datos Javier Ruiz-Canela López
Dicho punto hace referencia a la necesidad de crear una política de seguridad para el
manejo de datos. Sin duda alguna este documento se ajusta a las demandas requeridas.
Cada puesto de trabajo debe de tener un acceso lógico, dicho acceso se realizará
mediante un proceso electrónico. En el cual, el usuario deberá introducir su tarjeta en un
mecanismo de tarjeta inteligente. La información contenida en el chip de la tarjeta será
contratada contra un servidor central de acceso.
26
Plan de Seguridad en Datos Javier Ruiz-Canela López
Está previsto que se cree un backup de todos los datos los cuales tiene que ser bienales.
El backup se debe de realizar en medios seguros tanto física como lógicamente. Al final
de cada backup el servidor de base de datos enviará un informe al servidor de
monitorización.
Se contemplan dos entornos de desarrollo para datos, uno real y otro de pruebas. El
entorno de pruebas será una copia lógica del real, pero con la diferencia que los datos
que se manejen allí no son reales. Dichos entornos deben de estar física y lógicamente
separados de las operaciones de pruebas, que no se realizarán en las mismas máquinas
que las operaciones reales.
Distribución de soportes
El sistema de ficheros debe de componerse de dos bases de datos, una para los ficheros
de nivel bajo hasta medio-alto y el otro para los ficheros de nivel alto a extremo dicha
separación es lógico y físico. Los datos están almacenados en máquinas diferentes y
transmitidos por cableado diferente (véase plan de seguridad en control de acceso).
Dicha medida es necesaria debido a que los ficheros altos y extremos deben ir en
transporte codificado.
27
Plan de Seguridad en Datos Javier Ruiz-Canela López
Los datos serán enviados a través de un medio seguro, es decir a través de una red
virtual privada (VPN). Cada usuario que se conecte a la VPN, tendrá que introducir una
clave especial para la misma dada por la autoridad certificadora de la empresa (véase
Anexo B). Dicho clave solo será conocida por la autoridad certificadora (AC) y por su
usuario. Las claves se crearán, renovarán y cancelarán de acuerdo con lo estipulado en
el plan de seguridad interna.
El doble cifrado es simplemente cifrar un texto dos veces, esto dificultará en gran
medida que el texto pueda ser descifrado por fuerza bruta. El cifrado doble ofrece el
doble de garantías que el cifrado simple ya que el tiempo de descifrado por fuerza bruta
tardaría el doble. Es necesario que las dos claves utiliza para cifrar sean distintas. Las
claves las proporcionara la autoridad certificadora (AC) de la empresa. El algoritmo a
utilizar es el MQV (véase algoritmos criptográficos) que se utilizará para cifrar dos
veces.
Identificación biométrica
La información protegida con esta medida solo podrá ser accedida mediante un
mecanismo con identificación biométrica. La máquina con identificación biométrica
pueden ser ordenadores portátiles con identificación por huella táctil o reconocimiento
facial. La comunicación entre estas máquinas con el servidor de base de datos será
segura mediante el uso de una red privada virtual (VPN).
28
Plan de Seguridad en Sistemas Javier Ruiz-Canela López
El propósito de este plan es crear unas normas de uso para las herramientas de
manipulación de la información en un entorno empresarial. Está previsto seguir como
referencia para ello el capítulo 12 de la ISO 27002, guía de buena práctica de
controladores recomendados para la seguridad. Para ello se tiene que definir el tipo de
herramientas usadas para la manipulación de la información, las medidas a adoptar
según el tipo de aplicación, los controles criptográficos, la seguridad en archivos, la
gestión de vulnerabilidades y los procesos de desarrollo y soporte.
Alcance
Objetivos
El objetivo de este plan es cumplir con la norma 27002 más concretamente con el
capítulo 12. A continuación una lista se muestra los controles tratados en este plan:
29
Plan de Seguridad en Sistemas Javier Ruiz-Canela López
30
Plan de Seguridad en Sistemas Javier Ruiz-Canela López
∑
INPUT OUTPUT
SISTEMAS
DE ARCHIVOS
31
Plan de Seguridad en Sistemas Javier Ruiz-Canela López
forma directa en la proceso de producción. Los procesos indirectos son aquellos que
intervienen de forma indirecta en el proceso de producción. Es decir, dicha información
no es necesaria para la fabricación pero si para la gestión. El factor computacional sin
duda alguna da mucho peso en este ciclo de vida la seguridad, que se tiene que aplicar
tanto en aplicaciones de bajo nivel: sistema operativo, como de alto nivel: software de
gestión, software de desarrollo… etc. Hay que comprobar que seguridad tienen,
mecanismos de acceso y monitorización, mecanismos de gestión de cambios y
actualizaciones, mecanismos contra código malicioso y espionaje y mecanismos de
corrección de errores.
El almacenamiento de la información es otra actividad más en el proceso productivo. Su
función es la de dar apoyo al procesamiento de la información proporcionándole
información. Dicha información está situada en lo que se llama un sistema de archivos,
que es una agrupación lógica de la información. El sistema de archivos está controlada
por lo que se llama un gestor de sistema de archivos. El tipo de operaciones que se
realiza contra el sistema de archivos son la de inserción o la de extracción de la
información dichas operaciones la controla el gestor de archivos. En términos de
seguridad es importante controlar el tipo de operaciones que se realizan contra el
sistema de archivos, identificar el origen y el destino, la finalidad y quien realiza dicha
operación. También es importante controlar el acceso al gestor de archivos y tener
mecanismos de corrección de errores, cambios y actualizaciones.
El último paso en el ciclo de vida de los sistemas de información es la salida de la
información, que se corresponde a la gestión de entrega del producto y otro tipo de
gestiones administrativas. En este proceso hay que tener en cuenta que tipo de
mecanismos de salida tenemos y cuál es su nivel de seguridad, además hay que
asegurarse que la información que salga del sistema llegue en perfectas condiciones a su
destino.
32
Plan de Seguridad en Sistemas Javier Ruiz-Canela López
Para poder hacer una valoración de los datos de entrada hay que clasificar por tipos
según su destino. A partir de dicha clasificación se podrán determinar medidas de
seguridad según su implicación en el modelo productivo. Para poder clasificar los datos
de entrada por grupos cogemos como referencia más que el tipo de formato: texto, foto,
web, su impacto en la cadena de valor de los procesos comerciales. La cadena de valor
[Puer03] es un modelo teórico que permite desarrollar las actividades de una
organización empresarial. En la siguiente figura podemos ver una cadena valor general
para una empresa.
A partir de la cadena de valor podemos clasificar los archivos de entrada en tres grandes
niveles: De soporte, operativos y corporativos. Dichos niveles configuran el nivel de
seguridad comercial de la empresa, desde los archivos menos importantes de soporte
aquellos que no están relacionados de forma directa con la empresa, hasta los
corporativos aquellos que afectan al desarrollo de la producción.
Los archivos de soporte tendrán que ser recibos por la organización a través de un
medio seguro. Si la fuente viene vía correo electrónico el proveedor deberá indicar con
claridad la persona de la organización. Si el proveedor es un agente externo a la empresa
este deberá identificarse así como a la empresa a la que pertenece. Dicha información
será contrastada mediante una consulta a una base de datos de proveedores y socios
comerciales. Si el proveedor es un agente interno deberá indicar su identificación
personal de la empresa. El receptor de la información deberá contrastar dicha
información contra la base de datos de personal en caso de no tener conocimiento de la
identidad de la persona.
33
Plan de Seguridad en Sistemas Javier Ruiz-Canela López
Si la fuente viene vía dispositivo de memoria externa volátil o no esta deberá estar
cifrada con la clave pública del proveedor de dicha información. Los datos de carácter
financiero solo podrán ser enviados mediante una conexión segura (ejemplo https, ipsec,
mpls..etc). Los archivos operativos tendrán todas las medidas que los archivos de
soporte pero la información deberá ir cifrada en caso de vía correo electrónico. Los
archivos corporativos no podrán ser enviados por correo electrónico, solo podrán ser
recibidos de forma directa desde ordenadores portátiles con identificación biométrica y
con los datos cifrados. Toda recepción de información debe de ser registrada en un
servidor de entrada dicha información debe identificar el tipo de archivo, la fuente de
entrada, el destinario y la fecha. Todo personal de la empresa debe también dejar
constancia de la recepción de la información mediante un acuse de recibo. Las
transacciones de información habituales deberán de ser registradas y no necesitarán
acuse de recibo.
Procesamientos Transaccionales
Hay dos formas de protección una pasiva y otra activa. La activa debe identificar el
destino a través de una lista de destinarios antes de realizar la transacción. Y la pasiva
envía un historial con todas las transacciones realizas a un gestor de transacciones, el
cual identificará mediante un proceso batch la corrección de las transacciones. Se
recomienda por efectividad utilizar el método pasivo de control de transacciones y solo
el proceso activo en caso especiales.
o Procesos Batch.
o Consultas a Base de Datos.
o Control de Usuario.
o Carga/Descarga de Ficheros.
o Procesamientos Operativos.
34
Plan de Seguridad en Sistemas Javier Ruiz-Canela López
Son aquellos que afectan de forma directa al desarrollo del producto. Todas las
aplicaciones deberán de ser protegidas con un control de acceso solo para personal que
intervenga en el desarrollo operacional. Los datos relacionados con los procesamientos
operativos deberán de ser almacenados de forma remota en una base de datos protegida
mediante un servidor de acceso o almacenada en el puesto de trabajo con control de
acceso; y siempre que esté bajo una partición de disco distinta a la del sistema
operativo.
Procesamientos Ofimáticos
o Gestión de nominas
o Procesos de Contabilidad
o Envíos a Clientes
o Pedidos a Proveedores
35
Plan de Seguridad en Sistemas Javier Ruiz-Canela López
Procesamientos Estratégicos
o Procesos de producción
o Procesos de toma de decisiones (DDS)
Lo que todo tipo de procesamientos tiene en común es que las aplicaciones que utilicen
deberán de estar apoyadas en un sistema operativo. Los sistemas operativos se
convierten en un riesgo si no poseen procesos automáticos de corrección de errores y
mecanismos de seguridad internos. Por eso es necesario que se configuren el sistema
operativo para que se actualice de forma automática. Será necesario tener un informe
con el tipo de sistemas operativos utilizados en la organización, su nivel de fiabilidad
dada por algún organismo internacional (ejemplo Common Criteria) y una planificación
de actualizaciones y revisiones de seguridad. El personal administrativo deberá tener el
sistema operativo con actuación restringida y no podrán instalar aplicaciones ni acceder
a la configuración del sistema operativo.
36
Plan de Seguridad en Sistemas Javier Ruiz-Canela López
RESUMEN RESUMEN
FUNCIÓN
MENSAJE A CIFRADO A
HASH
agente
B
37
Plan de Seguridad en Sistemas Javier Ruiz-Canela López
Los controladores criptográficos son una parte muy importante en toda organización.
Dichos controladores marcan la protección necesaria para la información. Según el
apartado de algoritmos criptográficos se contemplan varios algoritmos de encriptación
diferentes según la finalidad para la que se usen. Dichos algoritmos y su uso para la
protección de datos esta resumida en el siguiente cuadro:
Verificación de
Identidad e
Transporte Confidencialidad Autentificación Integridad de datos
Certificación digital
SSL MQV :ECDSA HMQV
(21) Controladores Criptográficos
Gestión de claves
38
Plan de Seguridad en Sistemas Javier Ruiz-Canela López
creación de CRL para los certificados revocados y la creación de una lista con todas las
claves públicas del personal de la empresa. Los certificados privados serán enviados a
través de conexión segura al equipo de trabajo de la persona, a la cual va destinada el
mensaje contiene la clave privada de la persona, la cual será actualizada en su tarjeta
inteligente. Los certificados empresariales tienen las claves públicas de todo el personal
de la empresa y serán enviados a todo el personal. Dichas claves se guardarán en forma
de lista por la Autoridad Reguladora.
Los datos de prueba no podrán utilizar datos reales deberán de estar en una base de
datos diferente a la de los datos reales y estará ubicada en una base de datos distinta. Las
pruebas se realizarán en estaciones de trabajo específicas para dicha tarea. Deberá
quedar constancia de dichas pruebas en un fichero de pruebas especificando: autor de
las pruebas, fecha de las pruebas, datos de las pruebas y entorno en el que se prueban.
39
Plan de Seguridad en Sistemas Javier Ruiz-Canela López
Creación de SI
Plan de ¿Procede?
Cambios
NO
Ejecución del
Plan de
Cambios
Registro de
FIN
Cambios
Análisis de requerimientos
Para plantear un cambio tecnológico hay que ver qué impacto va a tener en nuestro
sistema actual y el alcance de dicho cambio en nuestra organización. Para poder medir
dicho impacto se plantean las siguientes preguntas:
¿Cuántos equipos de mi corporación quedan afectados por este cambio?
¿Necesitamos implantar alguna tecnología hardware adicional para realizar el cambio?
¿Necesitamos implantar alguna tecnología software adicional para realizar el cambio?
¿Necesitamos crear un plan de formación para nuestro personal por el nuevo cambio?
¿Creará incompatibilidad de tecnologías?
¿Cómo afectará la instalación del cambio a mis proyectos actuales?
40
Plan de Seguridad en Sistemas Javier Ruiz-Canela López
Determinar el impacto
Para determinar el impacto de nuestro cambio hay que determinar el coste económico
de realizar dicho cambio a partir de las respuestas del análisis de requerimientos. Y
también debemos calcular el ROI de nuestra inversión.
¿Procede?
La decisión para realizar el cambio es sin duda una decisión bastante crítica pues un mal
cambio puede afectar negativamente a nuestro sistema de producción. Para poder ver si
procede o no realizar el cambio debemos comparar cual será el beneficio económico de
quedarse en una situación sin cambio; y cuál será el beneficio económico de realizar el
cambio. En caso de que el beneficio del cambio sea mayor se procederá a realizar el
cambio.
Si se toma una decisión positiva en la gestión de cambios hay que realizar un plan de
cambios. En dicho plan de cambios se especificará el equipo de trabajo encargado de
realizar dichos cambios, identificar todos los componentes nuevos y componentes
afectados por estos nuevos, un análisis de posibles riesgos de cambio, una planificación
de actividades, los cambios a realizar para el personal afectado por dicho cambio y un
seguro económico si el cambio es significativo.
El registro de los cambios tiene un gran valor estadístico con el fin de poder mejorar
cambios que se realicen en el futuro y evitar posibles riesgos superados en cambios
anteriores. Además sirve como evaluación para poder determinar si el cambio se ha
realizado con éxito.
41
Plan de Seguridad en Sistemas Javier Ruiz-Canela López
Fugas de información
Las fugas de información son un riego tangible en toda organización que puede afectar
negativamente a su competitividad en el mercado comercial. Sin duda alguna es
deseable evitarlos a toda costa para ello se contempla la creación de una política de
seguridad de la empresa (5.1 de la ISO 27002). Pero una vez detectada la fuga de
información es esencial un plan de actuación rápido para poder minimizar cambios
negativos. Para empezar hay que detectar cual ha sido la fuente desde donde se ha
producido la brecha de seguridad. Dicha fuente debe de ser aislada y sometida a una
autopsia informática (véase plan de seguridad en gestión de riesgos). En dicha autopsia
deben de quedar claro las causas por las cuales se ha producido dicha fuga así como las
medidas correctivas para evitar dicha fuga en el futuro. También tiene que determinar el
responsable de dicha fuga para poder determinar responsabilidades legales. En el caso
de que se vea afectada la estrategia empresarial la dirección de la empresa deberá de
tomar medidas de urgencia para su cambio inmediato.
42
Plan de Seguridad en Sistemas Javier Ruiz-Canela López
Corrección
El software debe de cumplir con los requisitos implícitos y explícitos aprobados por el
cliente en la fase de análisis de requisitos.
Fiabilidad
El software debe de ser fiable. El resultado de las operaciones debe de ser el mismo para
unos parámetros de entrada iguales.
Robustez
El software debe de ser robusto es decir debe tener poca probabilidad de fallos y
capacidad para la corrección de errores.
Rendimiento
El software debe orientar sus operaciones en una situación óptima en recursos y
tiempos. El código fuente debe de estar optimizado.
Usabilidad
El usuario debe de poder desenvolverse con el software de forma rápida y fácil. Para
ello prima de manera considerable realizar un buen diseño del interfaz gráfico de la
aplicación
Mantenibilidad
El software debe de soportar tolerante a cambios. El código fuente debe de ser claro y
accesible para las personas que tengan que mantener el software. El software siempre
irá acompañado de un manual técnico donde se especificará todos los diagramas,
variables, clases y cualquier elemento que haya intervenido en la programación.
Reusabilidad
El código fuente del software debe de poder ser reutilizable. Se debe de preservar la
generalidad de las operaciones con el fin de poder ser útiles para el desarrollo de otras
aplicaciones.
Portabilidad
El software debe de ser soportable en el mayor número de infraestructuras software
posible. Su diseño deberá de estar orientado hacia ese fin.
43
Plan de Seguridad en Sistemas Javier Ruiz-Canela López
Entendible
Todas las tareas que realice el software deben de cumplir con los requisitos del cliente.
Ninguna de las tareas que realice el software puede estar en desconocimiento del
cliente.
(23) Vulnerabilidades
44
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela López
Alcance
Objetivos
El objetivo de este plan es cumplir con la norma 27002 más concretamente con el
capítulo 10. A continuación una lista se muestra los controles tratados en este plan:
45
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela López
46
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela López
47
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela López
A estas reglas hay que añadir la regla de bloquear todos los demás puertos TCP y UDP
que no estén asignados. Dichas reglas se implantaran en un firewall central para el
control del tráfico en el perímetro de seguridad de la organización.
48
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela López
Gestión de Cambios
Cambio
infactible
NO
Informe de
¿Factible? denegación
Cambio
inviable
49
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela López
Seguridad de Tareas
Estaciones de trabajo varias*: El número de estaciones vendrá dada por las necesidades operativas
50
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela López
Los servicios provistos a cliente deben de realizarse con las mayores garantías de
integridad, confidencialidad y seguridad en la información. Antes de la provisión del
servicio debe de quedar constancia el tipo de servicio que se desea prestar entre un
servicio de desarrollo de producto o de un mantenimiento del producto. En el desarrollo
de productos el código de programas deberá ubicarse en un servidor central y solo se
podrá almacenar de forma temporal en las estaciones de trabajo. En el caso de
mantenimiento de producto se deberá de crear un entorno de pruebas y otro de
desarrollo (véase: separación de los recursos de desarrollo, pruebas y operación). El
tipo de provisión de servicios a terceros puede ser servicio en cliente o servicio remoto.
El servicio en cliente deberá llevar un contracto de buenas prácticas de seguridad
firmado por ambas partes en el que se estipule las medidas de seguridad a tomar. Dichas
medidas deberán de contemplar las medidas descritas en el plan de seguridad de
sistemas. Los servicios remotos se refieren a aquellos servicios que se dan a cliente
desde la organización de la empresa. En estos servicios el equipo de desarrollo se
encuentra ubicado dentro de la organización y se comunica con el cliente a través de
comunicación remota. En este caso hay que garantizar la seguridad del medio de
comunicación para ello se utilizará una red privada virtual.
Una VPN [JSH106] garantiza la integridad de los datos al enviar los datos cifrados desde
origen a destino, además puede garantizar la confidencialidad de los datos a través de la
utilización de una tabla IP fija. Según sea la necesidad de servicio se pueden dar tres
VPN* posibles:
o IPSEC
VPN* El tipo de controles criptográficos a utilizados viene dado en el Plan de Seguridad para Sistemas sección de controles
criptográficos.
51
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela López
o SSL
o MPLS
MPLS es un mecanismo para dirigir y transferir datos entre redes de áreas grandes
(WAN) con utilización de nodos de alto rendimiento con independencia del contenido
de los datos. La tecnología MPLS es utilizada para la creación de VPN debido a su
capacidad de crear vínculos virtuales independientes al protocolo de encapsulamiento de
datos. Su uso se recomienda para cuando hay un gran número de usuarios en el sistema
ya que utiliza un sistema centralizado de autentificación basado en tablas IP.
Sea cual sea la selección utilizada se debe contemplar la creación de un servidor que
provea servidor especifico para la creación de VPNs. Deberá de reservarse un puerto
especial en la tabla de tráfico para su uso y su ubicación física estará dentro de la
organización solo accesible para personal de seguridad.
52
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela López
o Errores del producto, fecha donde se encontraron, usuario que detecto el error y
localización en el código fuente.
o Medidas planteadas para la corrección del error y su efecto sobre el código
o Comparación de código sin modificación y con modificación debido a un error
encontrado.
o Pruebas realizadas en el entorno de pruebas para el nuevo código.
o Sugerencias y dudas registradas en ese mes
Todas las versiones de código que se produzcan deberán de ser guardas en un historial
como salvaguarda en caso de fallo u error instalado en un servidor central. No se
utilizarán datos reales en el entorno de pruebas bajo ningún concepto y se deberán de
utilizar los recursos aconsejados en la sección de Separación de los recursos de
desarrollo, pruebas y operación.
o Todo cambio sobre el producto llevará asociado un nuevo proyecto con una
nueva planificación, un nuevo jefe de proyecto y una lista de necesidades
firmada por el cliente.
o La factibilidad del cambio debe de ser negociada con el cliente.
o La implantación del cambio en el cliente debe de tener el consentimiento
expreso del cliente.
o El informe de cambio debe de ser aprobado por el cliente.
Help Desk * es un servicio de soporte informático para resolver problemas informáticos relacionados con un producto vía
comunicación remota.
HTTPS* (Hypertext Transfer Protocol Secure) es un protocolo de red basado en el protocolo HTTP, destinado a la
transferencia segura de datos de hipertexto
53
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela López
NO
CDB
o Monitorización de actividades
54
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela López
La gestión de cambio se inicia una vez finalizado la redacción del plan de capacidad en
el cual se seguirán los pasos descritos en la sección de gestión de cambios de este plan.
55
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela López
56
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela López
o IPS/IDS
Cuando se detecta un ataque ya sea de para sacar información de forma fraudulenta del
sistema o para conseguir que se caiga el sistema avisa de la intrusión. Un IPS es un
dispositivo de seguridad con las mismas cualidades que un IDS. Pero la diferencia de
este último es que el IPS bloquea los ataques dejando la posibilidad de que el resto del
tráfico continúe.
El uso del Filtro de Paquetes y Gateway se recomienda para uso general que abarque la
entrada y salida de conexión desde la organización a Internet y viceversa. El uso de
inspección de estados se recomienda para uso inter-departamental y con usuarios de
acceso remoto.
57
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela López
o Servidor de Acceso
La educación en seguridad es algo fundamental pues las malas prácticas representan una
vulnerabilidad para cualquier sistema de seguridad. El curso debe incluir los siguientes
temas: Uso correcto de contraseñas, navegación web segura, uso de certificados y
mecanismo de encriptación, seguridad en ficheros y uso correcto del correo corporativo.
Proxy* herramienta para controla el acceso a Internet para todos los equipos de una organización.
58
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela López
También se debe de controlar el código descargado para el cliente, el cual debe de ser
contrastado por el equipo de desarrollo. Cada vez que se necesite enviar código al
cliente se deberá de enviar primero un certificado de clave pública con una clave
pública para dicha transacción y los datos empresariales de la organización. El código
será enviado cifrado con la clave privada para la transacción. Después de la transacción
el cliente deberá enviar un acuse de recibo para indicar que la transacción se ha
realizado con éxito. Las claves serán proporcionadas por el servidor de certificados.
59
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela López
Las copias de seguridad son un activo más en la seguridad informático. Estas garantizan
una mayor fiabilidad para los datos en caso de pérdida o robo de información. La
respuesta empresarial para realizar copias de seguridad pasa por la utilización de
dispositivos remotos de almacenamiento. Dichos dispositivos están dotados con
máquinas con múltiples discos duros de alta capacidad y rendimiento configurados en lo
que se llama como RAID*.
Hay diferentes tipos de copias de seguridad [JGall01] dependiendo del tipo de uso que se
le quiera dar: Backup Completa, Backup Diferencial y Backup incremental. El Backup
completo es un procedimiento para la copia de seguridad de todos los archivos de
sistema de disco. Este tipo de copias se recomienda para ficheros de nivel de seguridad
alto (véase plan de seguridad de datos). Este tipo de Backups debe de ser implementada
en el servidor de base de datos de la empresa. Como una regla más se recomienda
realizar el procedimiento cada dos meses mediante un proceso batch. Los datos
copiados serán llevados a un RAID distinto del almacén original a ser posible en una
ubicación física distinta al archivo de datos original. El Backup diferencial es un sistema
para hacer copias solo de aquellos archivos que hayan sido modificados. Se recomienda
para el control de versiones dentro de un entorno de desarrollo. Este tipo de copias de
seguridad debe de realizarlo el equipo de desarrollo manualmente se recomienda el uso
de una jerarquía de ficheros por versiones en el directorio de trabajo del servidor de
datos de desarrollo. Esta práctica está más que recomendada en los procesos de
desarrollo sobre todo para evitar posibles fallos en cambios de código. Y por último el
Backup incremental se copia solo para aquellos archivos que hayan sido añadidos
nuevos su uso se puede utilizar para realizar copias de seguridad de configuración para
sistemas operativos. Dicho mecanismo se puede realizar a través de discos de seguridad
portátiles identificables (se desaconseja el uso de memorias flash extraíbles) con la
estación de trabajo donde se realiza la copia, el sistema operativo, la fecha y el
responsable de la copia. Se recomienda que dichos discos de seguridad estén bajo la
custodia del equipo de seguridad de la empresa.
Raid * es un sistema de almacenamiento que usa múltiples discos duros entre los que distribuye o replica los datos.
60
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela López
BORDER INTERNAL
FIREWALL FIREWALL
INTERNET
IPS
SERVIDOR SERVIDOR
WEB CORREO
DMZ
(28) DMZ
61
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela López
La parte pública del DMZ es aquella que se conecta con el exterior, su tarea es la de
controlar el tráfico que sale y entra del perímetro de seguridad y evitar ataques externos.
Está compuesto por el router y el border firewall. El objetivo del router es la de
comunicación entre el perímetro e Internet. Para ello proporcionan el sistema de
traducción NAT para el direccionamiento de paquetes IPs. Además proporciona
medidas de protección básicas al ocultar las direcciones IP privadas. El objetivo
principal del border firewall es evitar ataques externos. Las reglas [MiTe09] que debe de
tener un border firewall son:
-Denegar todo el tráfico a menos que este explícitamente permitido (Para ello tendrá
implementado una tabla de tráfico como la descrita en la sección de procedimientos de
operaciones)
-Bloquear los paquetes que afirmen pertenecer a un perímetro de red interna.
-Bloquear los paquetes salientes que afirmen tener una fuente externa con dirección IP.
(El servidor Web será el encargado de decir que direcciones externas serán las validas)
-Permitir la negociación de nombres DNS para la conexión hacía Internet y desde DNS
anunciante.
-Permitir el tráfico SMTP saliente y entrante desde el perímetro.
-Permitir el tráfico procedente de VPN y servidores externos VPN.
62
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela López
o Interfaz de Usuarios
Es la zona interna del perímetro de seguridad está compuesta por las distintas redes
privadas de la organización más el internal firewall. Las redes privadas están
compuestas por equipos de trabajo con IP privada estática interconectadas a través de un
switch con limitación de conexiones. El objetivo principal del internal firewall es el
encargado de evitar ataques internos desde la organización. Para ello debe incluir como
mínimo las siguientes reglas [MiTe09]:
63
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela López
o Memorias flash
Las memorias flash o memory stick poseen una conexión USB que permiten almacenar
datos en dispositivos realmente pequeños. Son medios volátiles es decir la información
no se queda almacenada de forma permanente. La desventaja de este tipo de
dispositivos es su sistema de montaje/desmontaje el cual implica en algunos casos el
uso de un software específico. Este hecho podría causar incompatibilidades con algunos
sistemas operativos. Al igual que el uso del formato de archivos también puede limitar
el entorno operativo. Otra de las desventajas es que si no realiza un desmontaje correcto
puede sufrir pérdidas de información. Aunque existen dispositivos flash con
mecanismos de autentificación táctil no se recomienda su uso para el almacenamiento
de información sensible.
Su uso debe de estar limitado para que no se puedan copiar información vital de la
empresa. Para ello se recomienda que se eliminen las opciones de gestor de copias para
aquellas estaciones de trabajo donde no sean necesarios. Así como bloquear físicamente
puertos USB.
64
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela López
65
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela López
En las comunicaciones internas quedan divididas entre dos tipos, las comunicaciones
interdepartamentales y las comunicaciones departamentales. Las comunicaciones
interdepartamentales hacen referencia en comunicaciones entre departamentos dentro de
la organización. Dichas comunicaciones deberán de llevar el visto bueno del jefe de
departamento siendo el responsable de las transacciones. Las comunicaciones
departamentales hacen referencia a comunicaciones dentro del mismo departamento. La
responsabilidad de las transacciones recae sobre el empleado emisor de dicha
información. La información transmitida a cada usuario deberá de ser acorde con el
nivel de privilegios que disponga. En caso contrario la responsabilidad recaerá en el
emisor de dicha información y en el receptor si se demuestra que ha accedido a dicha
información. Queda terminantemente prohibido que intervenga cualquier personal ajeno
a la organización en las comunicaciones internas.
Las comunicaciones externas son aquellas que se realizan entre la organización y sus
proveedores, socios o clientes. Se debe de garantizar que el flujo de información se
realiza a través de una comunicación segura. Para ello se establecerá un túnel seguro a
través de tecnología VPN entre el agente externo y el agente interno. El agente interno
deberá de tener el consentimiento por escrito vía e-mail de su jefe de departamento para
poder realizar la comunicación. La información que se envía se considera como
producto si se trata de un cliente, valor estratégico si se trata de un socio o información
de soporte si se trata de un proveedor. El formato será en PDF para texto con firma
digital de la empresa. La firma digital será proporcionada por la entidad de certificación
de la empresa (véase Anexo A) y será única. Para cualquier otro tipo información
deberá de estar comprimida y bajo contraseña. El producto debe de garantizar la
aprobación del jefe de proyecto antes de ser enviado deberá de incluir constancia de la
fecha de emisión, un identificador e información de la empresa. Las transacciones de
valor estratégico o de soporte deberán de estar en conocimiento de los respectivos jefes
de departamento. El receptor de información de la organización deberá enviar un acuse
de recibo con la recepción correcta de la misma.
66
Plan de Seguridad en Comunicaciones Javier Ruiz-Canela López
Mensajería electrónica
67
Plan de Seguridad Javier Ruiz-Canela López
en Control de Acceso
7 PLAN DE SEGURIDAD
EN CONTROL DE ACCESO
7.1 Propósito, Objetivos y Alcance
Propósito
Alcance
Objetivos
El objetivo de este plan es cumplir con la norma 27002 más concretamente con el
capítulo 11. A continuación una lista se muestra los controles tratados en este plan:
68
Plan de Seguridad Javier Ruiz-Canela López
en Control de Acceso
69
Plan de Seguridad Javier Ruiz-Canela López
en Control de Acceso
La política de control de acceso debe de contemplar todos los puntos necesarios que se
pueden encontrar en el acceso lógico de los sistemas de información. Para ello es
necesario crear un diseño que contemple todas las necesidades de soporte lógico
informático que pueda necesitar una organización. Un modelo general se muestra a
continuación, donde se exponen 4 campos lógicos: la zona azul o FIREWALL
SYSTEM, la zona verde o DMZ SYSTEM, la zona amarilla o INTERNAL NET y la
zona roja o SECURITY NET.
BACKUPS BACKUPS
EXTERNA
VPN
VPN
DATA SERVIDOR
NETWORK FTP
IDS SERVIDOR
BBDD SECURITY SERVIDOR
NETWORK DE ACCESO
INTERNET
VPN
ROUTER SERVIDOR
CORREO
FIREWALL IPS
SECURITY
FIREWARE
SERVIDOR ADMINISTRADOR
MONITORIZACIÓN
WEB
NETWORK
SERVIDOR
DNS&DHCP EXTERNO
VPN
SERVIDOR
FIREWALL SYSTEM SERVIDOR
WEB DMZ NET DE CLAVES
SWITCH
INTERNAL NET
C
SISTEMA DE
TARJETAS INTELIGENTES SERVIDOR SECURITY NET
DE APLICACIONES
ESTACIÓN DE TRABAJO
Centralización de acceso
Acceso a los servicios a través de una única contraseña. Aunque las contraseñas
sean seguras y generadas por algoritmos criptográficos fuertes. La posibilidad de
que en un ataque se consiga la contraseña, implicaría la necesidad de
reestructuración del sistema de autentificación de todos los servicios. Del mismo
modo, comprometería la confidencialidad de los archivos asociados a dichos
servicios, al no estar diversificada la autentificación.
Vulnerabilidad ante ataques DoS. Al tener un sistema centralizado esto implica
la utilización de un servidor que puede fallar en sus servicios. Los ataques a este
tipo de servicios son habituales, por lo que hay que tomar medidas de protección
como la utilización de un sistema IPS o imprentar el protocolo IP versión 6.0.
71
Plan de Seguridad Javier Ruiz-Canela López
en Control de Acceso
Registro de usuarios
Datos personales
Privilegios
PK,FK2 Identificador
PK,FK1 Nivel de Seguridad
1
Nombre * PK Clase Fichero
Apellidos
Acceso
Profesión
Modificación
Status
Cancelación
Nivel de Seguridad
*...0
Claves
PK Identificador
Clave pública
Clave privada
Fecha emisión
Fecha caducidad
CRL
Gestión de privilegios
Cada usuario tendrá una serie de privilegios en los ficheros según sea su nivel de
seguridad. Según podemos observar en el diagrama entidad relación (31), cada fichero
tiene un nivel de seguridad asociado. Que según el tipo de fichero tendrá una serie de
privilegios de acceso, modificación o cancelación (véase plan de seguridad en datos).
Cuando un usuario inicie su sesión de trabajo, el gestor de base de datos consultará la
tabla fichero para saber qué tipo de privilegios tiene este usuario y sobre qué tipo de
ficheros.
72
Plan de Seguridad Javier Ruiz-Canela López
en Control de Acceso
Cada empleado dispondrá de una tarjeta inteligente la cual llevará incorporado un chip
con información personal y su clave privada. La clave pública del usuario es de
conocimiento para todo los usuarios del sistema. A cada empleado le llegarán las claves
a través de un canal seguro a su equipo de trabajo.
Las claves serán trasportadas a través de certificados con la firma digital de la empresa.
Un programa gestor instalado en cada equipo de trabajo llamado autoridad de registro
será el encargado de la gestión local de claves en cada equipo. La labor de dicho
programa será la de actualizar el software del chip de la tarjeta inteligente con la ayuda
de un dispositivo hardware y la de hacer conocer al usuario su clave pública. También
deberá de comprobar la veracidad de los mensajes que reciba el usuario a través de una
consulta a la autoridad de verificación.
Cuando los privilegios de usuario cambien por cambios en la relación laboral con la
organización. Dichos cambios serán enviados por el departamento de recursos humanos
al departamento de seguridad informática vía mail con firma digital del departamento de
recursos humanos. El departamento de seguridad informática se encargará de realizar
los cambios pertinentes en el registro de usuarios en el servidor de claves.
73
Plan de Seguridad Javier Ruiz-Canela López
en Control de Acceso
Uso de contraseñas
Cada certificado que reciba el usuario será introducido en el sistema del equipo de
trabajo. Los certificados que reciba serán el personal (con sus claves pública y privada),
el del departamento (para la firma digital del departamento), el empresarial (para la
firma digital de la empresa) y el certificado raíz (para indicar la autoridad de
certificación). La autoridad de registro será la encargada de gestionar dichos
certificados. Dichos certificados proporcionarán la información necesaria para realizar
las siguientes tareas:
Para todos los puestos de trabajo deberá de haber una política restrictiva en cuanto a la
utilización de software no corporativo. Una gran parte de los ataques de externos vienen
por la utilización de software gratuito que a menudo vienen incluidos con adware* y
spyware* (véase Anexo A). Para evitar dichos problemas todos los derechos de
administración deberán de estar bloqueados en los puestos de trabajo. Cada vez que un
usuario quiera instalar un nuevo programa deberá de pedir una solicitud de cambio
(véase plan de seguridad en sistemas). Esta política puede ser flexible para equipos de
desarrollo software.
74
Plan de Seguridad Javier Ruiz-Canela López
en Control de Acceso
BACKUPS BACKUPS
VPN
VPN
DATA SERVIDOR
NETWORK FTP
SERVIDOR
BBDD
SERVIDOR
CORREO
WEB
NETWORK
SERVIDOR
DNS&DHCP EXTERNO
SERVIDOR
WEB DMZ NET
El acceso a dicha zona está controlado por dos firewall, un firewall central para el
acceso de puestos de trabajo con identificación IP fija, como se explicará en la sección
de identificación de equipos de equipos en las redes. Y un segundo acceso para el
control de configuración accesible solo por el administrador de seguridad a través de la
zona de roja o security net.
La zona verde esta divida entre dos redes: DATA NETWORK y WEB NETWORK. La
red de datos está compuesta por dos servidores: un servidor central de base de datos
para el acceso a ficheros de nivel de seguridad alto y extremo (solo posible a través de
comunicación segura VPN), y otro servidor de acceso FTP para ficheros de nivel de
seguridad básico, medio-bajo, medio, medio-alto. Dichos sistemas están previstos de un
sistema de backups para realizar copias de información de forma periódica.
75
Plan de Seguridad Javier Ruiz-Canela López
en Control de Acceso
INTERNAL NET
SERVIDOR
DNS&DHCP INTERNO
C
SISTEMA DE
TARJETAS INTELIGENTES SERVIDOR
DE APLICACIONES
ESTACIÓN DE TRABAJO
La zona amarilla o INTERNAL NET está pensado para los equipos de trabajo del
perímetro de seguridad, está compuesto de dos redes. La LOCAL USER NETWORK
para la estaciones de trabajo con un sistema de tarjetas inteligentes para el acceso al
sistema. Los puestos de trabajo pueden ser PC normales para los equipos de desarrollo o
Thin Client para los equipos de administración. Y la APPLICATION NETWORK está
pensada para el acceso a aplicaciones por parte de los Thin Client gracias a la
incorporación de un servidor de aplicaciones. Además cuenta con un servidor DNS &
DHCP interno donde se guardarán las direcciones de todos los equipos de trabajo. La
información de este servidor será enviada al sistema de firewalls para el control de
usuarios.
76
Plan de Seguridad Javier Ruiz-Canela López
en Control de Acceso
SECURITY SERVIDOR
NETWORK DE ACCESO
SERVIDOR ADMINISTRADOR
MONITORIZACIÓN
SERVIDOR
DE CLAVES
PKI
NETWORK
SERVIDOR DE
CERTIFICADOS
SECURITY NET
La zona roja es la encargada por velar la seguridad del sistema perimetral, está
compuesta dos redes. SECURITY NETWORK para la monitorización y control de
acceso al sistema, está compuesta compuesto por dos servidores. El servidor de acceso
que posee una copia del registro de usuarios del servidor de claves. Cada vez que un
usuario introduce su tarjeta por el detector de tarjetas de su estación de trabajo. El
programa gestor de tarjetas realizará una consulta al servidor de acceso. Si el servidor
de acceso no encuentra la información de usuario en el registro de usuarios. Enviará una
respuesta negativa al gestor de tarjetas, el cual no dejará que el usuario acceda al
sistema. También notificará al servidor de monitorización que ha habido un acceso no
autorizado en el sistema guardándolo en un registro de logging. En caso contrario
enviará una notificación correcta al programa gestor de tarjetas. También enviará una
notificación a los demás servidores para decirles que el usuario está conectado y que le
deje acceder a la información correspondiente con su nivel de seguridad. El servidor de
monitorización se encarga de recabar información de acceso al sistema y otro tipo de
información importante. El servidor recoge información de logging cada vez que un
usuario entra y sale del sistema, dicha información se la proporciona el servidor de
acceso. También recoge información sobre cambios que se hayan podido producir en
los ficheros, proporcionada por el servidor de BBDD y FTP. Información sobre tráfico
proporcionada por los firewalls y avisos del IPS.
77
Plan de Seguridad Javier Ruiz-Canela López
en Control de Acceso
Cada equipo de trabajo tiene asignado una IP fija la cual está incluida en una tabla de
redes de equipos. El firewall central en la zona azul (30) poseerá una copia de dicha
tabla de redes la cual será dada por el servidor DNS & DHCP interno zona amarilla.
Desde dicho servidor se controla el acceso de todos los usuarios internos del sistema. El
firewall también recibirá información para IPs de equipos externos del sistema que
también tengan el permiso para acceder a conexiones internas. El acceso a los
servidores solo será posible para el equipo de trabajo, quedando la dirección de red de
dichos servidores ocultos para los usuarios. El Security Firewall será el encargado de la
comunicación entre servidores teniendo una tabla de redes independiente donde se
incluirá las direcciones de los servidores de la zona amarilla, zona verde y zona roja.
Los usuarios no podrán acceder a las comunicaciones entre servidores, solo podrán
acceder a los servidores para la realización de consultas y gestión de ficheros quedando
imposibilitada la modificación de la configuración de los servidores. Para ello todos los
servidores tendrán un gestor de acceso independiente al sistema de gestión de acceso
centralizado para la realización de modificaciones en la configuración. Dicho gestor
solo tendrá implantado un par usuario-clave que tendrá todos los derechos de
administración. Dicho par se considera un activo vital para la seguridad del sistema de
información. Solo será de conocimiento del equipo de seguridad quedando bajo su
responsabilidad el uso que hagan de la misma.
78
Plan de Seguridad Javier Ruiz-Canela López
en Control de Acceso
79
Plan de Seguridad Javier Ruiz-Canela López
en Control de Acceso
IDS
IPS
DMZ NET
ROUTER
FIREWALL
SECURITY
FIREWARE
VPN
FIREWALL SYSTEM
SWITCH
La información de la tabla IP del apartado anterior será divida entre los dos firewall
existentes. Para el primer firewall se le pasará las direcciones de la LOCAL USER
NETWORK, y la zona verde. Para el firewall security se le pasará las direcciones de la
zona amarilla, zona verde y zona roja. La información de la tabla IP solo debe de ser
conocida por el equipo de seguridad quedando la gestión de la tabla bajo su
responsabilidad. Cualquier violación de la tabla para el acceso a servidores deberá de
ser detectado por el IDS instalado en la zona azul y un IPS en la zona roja. Los dos
firewall tendrán implantados las reglas de tráfico expuestas en el plan de seguridad en
comunicaciones.
Cuando un usuario externo quiera conectarse a la red deberá de pasar por la zona azul
del perímetro. La IP de la máquina del usuario remoto deberá de quedar registrada en la
tabla IP, para ello existen dos posibilidades. Una es asignarle una dirección IP dentro
del rango de direcciones de la USER LOCAL NETWORK. Lo que convertiría al
usuario externo en un usuario interno. O la introducción en la tabla IP de una nueva red
para usuarios remotos donde se le asignaría un host concreto. Para cualquiera de las
posibilidades el usuario deberá de ponerse en contacto con el equipo de seguridad
indicando su nombre, apellidos, profesión, nivel de seguridad y MAC de la máquina
remota. El equipo de seguridad contrastará la información con el departamento de
recursos humanos y ante una identificación positiva concederán una dirección válida
para el sistema al usuario.
80
Plan de Seguridad Javier Ruiz-Canela López
en Control de Acceso
SI
NO ¿Contador>10?
Consultar la
¿UNION(dirección IP de destino, mascara
tabla IP del
Contador=0 de subred)= UNION(dirección IP de origen, NO
firewall central
mascara de subred)?
Contador++
Inicio
SI
Conexión
(37) Encaminamiento
81
Plan de Seguridad Javier Ruiz-Canela López
en Control de Acceso
El inicio de la sesión de trabajo por parte del usuario del sistema se debe de caracterizar
por mantener un equilibrio entre comodidad y seguridad. En el esquema que se muestra
a continuación se muestran las tres posibilidades que tiene el usuario de entrar al
sistema: Remoto, Manual, Automático.
no
Mediante
contraseña
administrador
Remoto
La
Autoridad de
Autoridad
Registro
¿Tipo de Mediante de ¿Usuario y
solicita
entrada al Manual contraseña Verificación contraseña si
identificación a
sistema? usuario comprueba correctos?
la Autoridad de Entrada al Sistema
el registro
Inicio Verificación
de usuario
Automático
Mediante
Tarjeta
inteligente
El acceso automático al sistema está pensado para aquellos usuarios que posean una
estación de trabajo fija. En dicha estación se instalará un hardware lector de tarjetas y un
software llamado autoridad de registro que se encargará de la gestión de contraseñas en
cada terminal. Cuando el usuario introduzca su tarjeta en el lector de tarjetas, este
enviará la información a la autoridad de registro. La autoridad de registro enviará una
solicitud de autentificación a la autoridad de verificación vía mensaje remoto. La
autoridad de verificación es un programa gestor de claves instalado en el servidor de
acceso, zona roja. Dicho programa se encargará de gestionar las solicitudes de entrada
al sistema y de responder positiva o negativamente según encuentre o no al usuario en el
sistema.
El acceso remoto se contempla para las operaciones de gestión del equipo de seguridad
informático. Desde la consola de control de la zona roja, el equipo de seguridad podrá
entrar a cualquier equipo de trabajo del sistema vía Telnet para realizar tareas de
mantenimiento y monitorización de seguridad. Desde la consola también podrán
acceder a la configuración de administración de cualquier equipo de trabajo.
82
Plan de Seguridad Javier Ruiz-Canela López
en Control de Acceso
Como se comento anteriormente el servidor de claves envía una copia del registro de
usuarios al cada uno de los servidores. Pero el servidor de acceso encargado de
controlar el acceso al sistema tiene que cubrir no solo la entrada al sistema por tarjetas
inteligentes sino también la entrada manual que representa los equipos de teletrabajo y
los equipos no fijos.
Datos personales
Acceso Manual
PK,FK3 Identificador
PK Identificador 1,0 1
Nombre
Usuario Apellidos
Contraseña Profesión
MAC FK2 Nivel de Seguridad
Status
*...0
Claves
PK Identificador
Clave pública
Clave privada
Fecha emisión
Fecha caducidad
CRL
83
Plan de Seguridad Javier Ruiz-Canela López
en Control de Acceso
Cuando se produzca una expiración de las claves del usuario para el acceso al sistema.
El servidor de claves mandará una orden al servidor de certificación para que cree un
certificado personal para el nuevo usuario y lo envíe a la dirección IP asignada. En el
equipo de trabajo del nuevo usuario, el gestor de registro actualizará la tarjeta asignada.
En caso de ser un usuario que no posea tarjeta inteligente y tenga un acceso mediante
usuario y contraseña. El equipo de seguridad actualizará el registro del servidor de
acceso e introducirá el usuario, contraseña y la dirección MAC de la máquina. Dicho
usuario y contraseña no tienen periodo de validez y se consideran fuera del ciclo de vida
de las claves.
Las bajas en el sistema no deben de significar el borrado de los datos del usuario del
sistema. Dicha información puede ser valiosa para el estudio de posibles ataques
externos. Sin embargo se ha de asegurar que los privilegios del usuario quedan
cancelados. Para ello se implanta un campo especial en la tabla de datos personales
llamado status. Status nos indicará la relación laborar que tiene el usuario con el
sistema. Si el status está desactivado, indica que el usuario está de baja en el sistema.
Con lo cual al recibir cualquier petición de entrada en el sistema por dicho usuario será
denegada por la autoridad de validación.
84
Plan de Seguridad Javier Ruiz-Canela López
en Control de Acceso
85
Plan de Seguridad Javier Ruiz-Canela López
en Control de Acceso
¿Solicitud de salida
del sistema? si
no no
Inicio si
si
no
Como se puede observar en el esquema de arriba (40), el gestor de entrada que cada
equipo de trabajo tendrá un temporizador de inactividad incorporado. Dicho
temporizador se activará si no encuentra actividad en los dispositivos de entrada del
puesto de trabajo (teclado, ratón, unidad de tarjetas…etc.). Una vez pasado 5 minutos el
sistema se bloqueará con la actividad de un protector de pantalla que solo podrá ser
desactivado con la introducción de la tarjeta inteligente o mediante usuario y
contraseña.
86
Plan de Seguridad Javier Ruiz-Canela López
en Control de Acceso
Cada usuario podrá acceder mediante acceso ftp a los distintos ficheros que necesite
para su trabajo. Se considera que cada usuario podrá trabajar online con los ficheros que
necesite si accede desde un puesto de trabajo Thin Client. La creación, modificación y
cancelación de ficheros deberá de ser online siempre que la tecnología y los costes lo
permitan. No se recomienda que el usuario tenga la capacidad de descargas los ficheros
a su puesto de trabajo a menos que se bloquen los puntos de salida de la estación de
trabajo: puertos USB, grabadora de CD/DVD, servicio de correo y web externos…etc.
Sin embargo esta medida puede ser flexible para aquellos departamentos que necesiten
una gran capacidad de potencia para la elaboración de su trabajo. No obstante todo
acceso, creación, modificación y cancelación de ficheros deberá de quedar registrado en
los servidores de datos y enviado al servidor de monitorización. Para ello pueden
utilizar un registro para ficheros donde se indique: identificador, fecha de creación,
nivel de seguridad, último acceso (identificador usuario), fecha de modificación. Para
garantizar el rendimiento del sistema se pueden crear ambas copias del registro en los
servidores de monitorización y sistemas, que sean actualizados mediante queries.
Fichero
Privilegios
PK,FK2 Identificador Fichero
PK,FK1 Nivel de Seguridad
PK Clase Fichero * 1
Fecha de creación
FK3 Identificador
Acceso Clase de Fichero
Modificación Tipo de Fichero
Cancelación Contenido original
FK1 Clase Fichero
* * 1
1
1 *
Datos personales Registro
87
Plan de Seguridad Javier Ruiz-Canela López
en Control de Acceso
En este sistema se consideran como elementos sensibles todo aquellos que accedan a la
información corporativa. Es decir, puestos de trabajo y servidores y hardware de
control. En cada puesto de trabajo fijo debe de haber un sistema de tarjetas inteligentes.
No se puede contemplar un puesto de trabajo fijo sin este sistema si se desea implantar
el perímetro descrito en este plan. La zona de servidores debe de estar aislado física y
lógicamente de los puestos de trabajo. En las zonas donde se encuentre servidores
corporativos solo podrá haber un puesto de control para el acceso solo para el personal
de seguridad. Ningún usuario deberá de tener acceso, a los servidores para la
modificación de la configuración de la misma. Todos los servidores deben de tener una
cuenta de administrador invisible al usuario normal del sistema. El usuario solo podrá
realizar consultas y gestionar ficheros corporativos. El hardware de control entre los
que se encuentran firewalls, sistemas IDS/IPS y puestos de monitorización deberán de
estar aislados de la misma forma que los servidores y con sistemas de identificación
fuerte: como contraseñas biométricas, contraseña en el sistema BIOS, tarjeta
inteligente…etc.
88
Plan de Seguridad Javier Ruiz-Canela López
en Control de Acceso
ESTACIÓN SISTEMA
BIOMÉTRICO
EXTERNA
VPN
INTERNET
ROUTER
FIREWALL
VPN
FIREWALL SYSTEM
Teletrabajo
Los puestos de trabajo que se encuentren fuera del perímetro de seguridad físico de la
empresa deberán incorporar software para la conexión segura con el sistema de
información. Se propone la utilización de una VPN SSL para pequeños grupos de
trabajo y VPN MPLS para grandes grupos de trabajo siguiendo las recomendaciones del
plan de seguridad en comunicaciones. Cada usuario deberá de incorporar un cliente
VPN en su estación de trabajo externa. Desde el perímetro de seguridad habrá un
servidor VPN en comunicación con el firewall central en la zona azul. En el servidor de
trabajo deberá de haber una copia del registro de usuarios del servidor de acceso de la
zona roja. Es obligación de cada usuario el mantener la confidencialidad de la
comunicación. Los ficheros podrán ser accedidos desde puestos de teletrabajo pero no
se debe permitir que salgan del sistema baja ningún motivo. En los sistemas VPN
MPLS será la compañía proveedora de servicios de Internet la que facilite las rutas de
acceso que serán instaladas en los routers corporativos por lo que no habrá la necesidad
de crear un servidor VPN.
89
Plan de Seguridad Interna Javier Ruiz-Canela López
Todo sistema organizativo está compuesto por una serie de recursos, los cuales deben de
ser contabilizados y gestionados. Los recursos son un control más a tener en cuenta en
el diseño de la arquitectura de seguridad. No tener un control exhaustivo de los mismos,
implicaría graves vulnerabilidades para el sistema. Este plan propone procedimientos
para inventariar y clasificar los recursos según sus vulnerabilidades de seguridad.
También quiere asignar las responsabilidades que tiene cada individuo de la
organización apoyándose en la jerarquía organizativa del plan de seguridad para
personal. Por último se quiere exponer el trato que se tiene a terceros, ya sea
proveedores y clientes en términos de seguridad.
Alcance
Objetivos
El objetivo de este plan es cumplir con la norma 27002 más concretamente con los
capítulos 6 y 7. A continuación una lista se muestra los controles tratados en este plan:
90
Plan de Seguridad Interna Javier Ruiz-Canela López
Una vez realizado el plan de gestión, deberá de velar por el cumplimiento del mismo.
Aplicando un código disciplinario (véase plan de seguridad para personal) en base a las
pruebas que se le otorguen desde el departamento de seguridad de la empresa. Dicho
departamento se creará para velar por la seguridad no solo del sistema de seguridad de
la información, sino también para todo el sistema de seguridad en general.
Es labor del gerente o director operativo el coordinar los cambios de seguridad entre
departamentos que se lleve en la empresa. La labor de cambio corresponderá a personal
de seguridad de la organización, donde deberán de realizar los cambios sin interferir la
labor de trabajo siempre y cuando esto sea posible.
El director operativo avisará mediante una circular a todos los jefes de departamento
sobre los cambios que se realicen en la estructura de seguridad de la información y los
pasos a seguir una vez realizado los cambios por el equipo de seguridad de la
organización. El equipo de seguridad será el encargado de realizar los cambios sobre la
infraestructura hardware y software y de dar las instrucciones que sean necesarias al
equipo que vaya a trabajar bajo la dicha infraestructura.
91
Plan de Seguridad Interna Javier Ruiz-Canela López
El personal siendo el núcleo del sistema productivo adquiere una gran responsabilidad y
un gran peligro para el sistema de información. Es obligación del departamento de
seguridad y del sus superiores vigilar la actividad de sus subordinados para garantizar la
seguridad del sistema. El personal debe de cumplir con la política de seguridad de la
organización. No debe de relevar información confidencial de la empresa a ninguna
persona ajena a la organización. Debe de denunciar a su superior cualquier actividad
delictiva que haya podido observar. Además de tomar las medidas de seguridad
descritas en el plan de seguridad en datos.
92
Plan de Seguridad Interna Javier Ruiz-Canela López
Petición de Registro de
recurso unidad de
departamental recurso
si si
Inicio
no
Gestión de
no
cambio
La gestión de recursos es una tarea que revierte gran importancia tal y como se verá en
los apartados de responsabilidad sobre los activos. Cada vez que se produzca una
solicitud de recurso este debe de quedar registrado e indicar la naturaleza y duración de
la misma. El usuario que solicite un recurso deberá de pedir una solicitud formal de
recurso, en el cual deberá indicar la naturaleza del mismo, el propósito para el cual se va
a utilizar, la posibilidad de utilizarlo fuera de las instalaciones de la empresa y sus datos
empresariales (datos personales más nivel de seguridad y puesto).
93
Plan de Seguridad Interna Javier Ruiz-Canela López
Acuerdo de confidencialidad
Todo acuerdo de confidencialidad ya sea por parte del empleado o por parte de terceros
debe de cumplir con una serie de parámetros obligatorios. Los parámetros son los
siguientes:
o En las clausulas del contrato es conveniente destacar sea cual sea su naturaleza:
la finalidad del mismo, a que se comprometen ambas partes, la duración de la
misma y los derechos y deberes de ambas partes.
o Si así lo precisa se debe de hacer referencia a las disposiciones legales que así
sea necesario según el propósito y alcance del documento.
94
Plan de Seguridad Interna Javier Ruiz-Canela López
Las relaciones con las autoridades deben de ser un tema importante en las relaciones de
la organización. Se debe de tener el máximo rigor y diligencia. Se va a centrar en el
ámbito español y en el ámbito europeo en este punto. Haciendo un breve resumen de la
relación con las agencias estatales y locales españolas.
Durante la actividad comercial hay que mantener relación con una serie de oficinas
oficiales para distintas tareas cotidianas, como por ejemplo: registrar una marca o
tratamiento de ficheros.
o Hay que indicar que operación se quiere realizar. Puede ser un alta, una
modificación o una supresión de fichero. En caso de modificaciones y
supresiones se deberá indicar el Código de Inscripción que se asignó al fichero
en el momento de su alta en el RGPD así como el CIF/NIF con el que fue
inscrito. En caso de modificación se solicitan los apartados que se desea
modificar y el Nombre o Razón Social del responsable.
o En caso de alta, si la notificación se refiere a un tratamiento de datos sobre
miembros de comunidades de propietarios, clientes propios, libro de recetario,
(clientes de farmacias), nóminas-recursos humanos (empleados) o pacientes, y la
finalidad es la gestión propia de estos colectivos, puede marcar el cuadro TIPO y
seleccionar el modelo que corresponda (se rellenan determinados apartados con
valores apropiados) o bien seleccionar NORMAL para partir de un formulario
totalmente vacío.
95
Plan de Seguridad Interna Javier Ruiz-Canela López
El comité directivo según los autores N.E. Bowie* y R.F. Duska* son los representantes
de la empresa por dos motivos. El primer motivo es que son en los que recae la
responsabilidad de dirigir y el segundo motivo es que los resultados de su labor pueden
ser extrapolables. La labor de los directos es de gran importancia pues son ellos los que
marcan la estrategia comercial para hacer competitiva a la organización.
Los propietarios son los que tienen un interés financiero sobre la organización que se
traduce en forma de acciones. El comité directivo les debe una serie de obligaciones
para con ellos. La obligación de obediencia dice que los directivos deben de tener unas
funciones bien claras acordes con el contrato entre el directivo y la organización. La
obligación de confidencialidad por el cual el comité directivo debe de evitar cualquier
conflicto entre los stakeholders y dejar bien marcados los derechos de autor entre
empleado y organización. La obligación de lealtad por el cual el comité directivo se
compromete a ser fiel a sus accionistas y no cometer conflicto de interés.
Los trabajadores tal y como se comenta en el plan de seguridad para personal tienen una
serie de derechos recogidos por la ley [RDET95] los cuales deben de ser cumplidos. A
parte, los trabajadores también deben de poseer una serie de derechos. Entre dichos
derechos se encuentra el derecho a la libertad, todo trabajador debe de ser libre de poder
elegir su trabaja bajo unas condiciones laborales dignas y con posibilidad de rescindir el
contrato. El trabajador también tiene derecho a tener un salario justo que se adecue a la
producción de su trabajo y sea superior a los mínimos exigidos por la ley [RDET95] y
por las asociaciones de gremios. La privacidad es otro de los derechos recogidos como
fundamental, el trabajador tiene derecho a tener privacidad en su vida íntima y fuera del
trabajo. Al igual que se recoge una serie de derechos los trabajadores también tiene una
serie de obligaciones con la organización. El trabajador debe de realizar su labor con la
máxima profesionalidad posible y las máximas cuotas de calidad. El trabajador debe de
ser fiel a la organización no revelando información comprometida (esto se puede
conseguir con un contrato de confidencialidad). Y por último el trabajador debe de tener
un carácter positivo hacia su trabajo intentando mejorar la organización en la medida de
sus posibilidades.
R.F. Duska* Director de la Mitchell Center for Ethical Leadership y profesor de ética en The American College
N.E. Bowie es un profesor de gestión estratégica y filosofía en la universidad de Minnesota en Minneapolis, Minnesota.
96
Plan de Seguridad Interna Javier Ruiz-Canela López
La organización debe de tener una serie de obligaciones con sus clientes. Se considera
cliente cualquier persona u institución que consume los productos o servicios de la
organización. La organización debe de tratar a los clientes de forma correcta y sincera.
Nunca debe de caer en la tentación de engañar o de decir medias verdades sobre sus
productos o servicios pues eso solo afectará negativamente a la credibilidad de la
organización. El cliente tiene derecho a un servicio de calidad, dicho servicio debe de
cumplir con las expectativas del cliente y sus requisitos tanto implícitos como
explícitos. Del mismo modo, el cliente tiene derecho a ser escuchado y a elegir. Muchos
proyectos fracasan por no cumplir con las expectativas del cliente, el no escuchar al
cliente suele provocar un producto no deseado por el cliente (efecto frecuente entre las
empresas tecnológicas españolas).
La relación con los proveedores tiene la necesidad de tener una buena relación mutua
para el éxito de ambas corporaciones. No obstante dicha relación dependerá del número
de proveedor y de la disponibilidad de la materia prima entre otros factores. Ante una
situación con pocos proveedores, la relación esta en clara desventaja para la
organización. Lo mismo ocurre en una situación inversa, donde la calidad de las
materias primas se puede resentir. Por lo que es necesario buscar esa situación de
equilibrio.
97
Plan de Seguridad Interna Javier Ruiz-Canela López
8.3 Terceros
Identificación de los riesgos derivados de terceros
Amenaza de
nuevos
competidores
Poder de Poder de
negociación de Rivalidad entre los negociación
los proveedores competidores existentes de los
clientes
Amenaza de
productos y
servicios
sustitutivos
El análisis de las cinco fuerzas del economista Michael Porter [Porter00] es un modelo
que describe de forma veraz el tipo de competencia que puede tener cualquier empresa
en el sistema económico capitalista. Las industrias de hoy en día no están exentas de
este tipo de peligros aunque los métodos competitivos se hayan vuelto más sofisticados.
Más concretamente está en auge los ataques de índole informático para apoyar estas
fuerzas hostiles. Se analizará como estas cinco fuerzas afectan al sistema informático
corporativo.
La primera amenaza son los nuevos competidores, en un mercado tan dinámico como el
tecnológico y gracias a las nuevas tecnologías de la información. Cada vez resultará más
fácil copiar nuevos productos y servicios. Por eso es muy importante clasificar la
información que se hace pública a través del servicio Web que se disponga. Hay que
seguir las directrices de la OWASP en diseño web y siempre validar las consultas desde
servidor y no cliente.
Los proveedores tienen un gran poder sobre todo si son pocos y controlan los recursos.
En el mundo tecnológico por ejemplo hay un gran monopolio en el mundo de los
sistemas operativos debido a la gran influencia de los productos Microsoft. A la hora de
diseñar la arquitectura informática corporativa habría que realizar un juicio de valor
para determinar hasta qué punto son necesarios por los productos Microsoft; y si estos
pueden ser sustituidos por otros productos de software libre que garanticen la misma
calidad en los productos.
98
Plan de Seguridad Interna Javier Ruiz-Canela López
Los compradores son una parte esencial para el éxito de cualquier corporación pues son
hacia ellos para los cuales se trabaja. Los servicios online están cobrando fuerza en el
mercado actual, esto ofrece a los comprados una libertad que antes no tenían. No
obstante los servicios online no son seguros y fiables a un 100%. Ahí radica la
diferencia, en el mercado tecnológico español no se apuesta por productos de calidad
sino por productos económicos para combatir la enorme competitividad que ahí. No
obstante, es una estrategia errónea. Los productos informáticos de baja calidad producen
animadversión entre los clientes hacia las nuevas tecnologías. Lo que dificultaría en
gran medida vender productos nuevos. Una apuesta por productos de calidad y
profesionales cualificados haría sin duda alguna aumentar la confianza entre los
clientes.
Los productos informáticos son tan volátiles como la memoria RAM. En un mercado
donde surgen nuevas tecnologías cada día y hasta la persona menos inteligente puede
producir software alternativo. Ante esta amenaza de software de baja calidad hay que
ofrecer productos orientados a servicios SOA, donde no solo se ofrece un producto sino
también un mantenimiento del mismo serio, de calidad y adaptativo a las nuevas
necesidades del cliente.
La relación con los clientes implica el tratamiento de ciertas medidas de seguridad para
no comprometer el sistema de seguridad de la empresa. El cliente tiene derecho a tener
productos de calidad y una atención personalizada. Pero no tiene porque conocer los
sistemas de producción a no ser que vayan incluidos en el producto. Por ello a parte de
seguir los consejos descritos en el plan de seguridad de sistemas para la comunicación
con terceros. Hay que asegurarse que el producto que le entregamos al cliente no
compromete el sistema productivo de la organización. Para ello y tratándose de
producto software, no hay que facilitarle de ningún modo el código fuente de los
programas.
Para conseguir este objetivo se tienen que desarrollar los productos desde estaciones de
trabajo propias aunque el servicio se haga en cliente. Si se trabaja desde servidor, hay
que asegurarse que solo se puede acceder por personal de la organización. Por último
hay que entregar ejecutables una vez desarrollado el producto software.
99
Plan de Seguridad Interna Javier Ruiz-Canela López
El contacto con personal ajeno a la organización deberá de cumplir con una serie de
normas básicas.
Esto significa que se debe de registrar el contacto con terceras personas para los
procedimientos de negocio* de la organización en un registro de visitas. Dicho registro
de visitas puede ser digital o físico, en el cual se incluirá nombre de la persona
contactada, nombre del personal interno con el que se contacta, fecha y motivo de
contacto.
100
Plan de Seguridad Interna Javier Ruiz-Canela López
o Identificador inequívoco
Dicho identificador debe de ser único para cada activo de la empresa. Para ello se
recomienda la utilización del código de barras del producto. O en su defecto de un
sistema de clasificación que incluya el tipo y la fecha de adquisición.
Una descripción breve donde se identifiquen las cualidades físicas y de uso del activo.
Ayudará a una mejor clasificación y buen uso del mismo.
o Nivel de seguridad
Donde se indicará el valor del mismo y el valor de inversión según el ROI. También se
puede incluir la vida útil del activo en años o meses.
o Propiedad
Cada activo de la empresa tiene una persona o departamento que lo usa, la cual debe de
ser identificada y registrada (véase plan de seguridad en control de acceso). En su
defecto debe de indicarse que se encuentra inactiva o en almacén.
101
Plan de Seguridad Interna Javier Ruiz-Canela López
Se debe utilizar los activos de forma razonable según sea su finalidad. Se debe de velar
por un uso cuidadoso de los mismos para poder alargar la vida de los activos lo máximo
posible. En el esquema de abajo se muestra una forma de clasificación basado en
contabilidad clásica para los activos (45), que ayudará a entender su uso.
Activo fijo
PK Tipo
Descripción
Nivel de Seguridad
ROI
Garantía
Fabricante
o Activo diferido: Gastos pagados por anticipado por los que se espera recibir un
servicio aprovechable posteriormente. Gastos de instalación, papelería y útiles,
propaganda y publicidad, primas de seguros, rentas pagadas por anticipado,
intereses pagados por anticipado.
102
Plan de Seguridad Interna Javier Ruiz-Canela López
Ejemplo de clasificación:
A+-ESTRATÉGICA-NUEVOPRODUCTO-08/08/09
Fecha de
creación
Finalidad de
la información
Tipo de
información
Nivel de
Seguridad
103
Plan de seguridad para personal Javier Ruiz-Canela López
El propósito de este plan es crear una guía de buenas prácticas para la seguridad
relacionada con el personal de una organización. Para ello se tiene que definir los
requisitos de contratación para el personal, los informes de confidencialidad de la
organización, los derechos y obligaciones que adquiere el personal y los términos
sección de trabajo para garantizar la seguridad de la organización.
Alcance
El alcance de dicho plan se aplica todo el personal de la empresa ya sea fijo o temporal.
Las subcontrataciones no están recogidas en este plan, quedando determinadas las
relaciones con terceros en el plan de seguridad en sistemas.
Objetivos
El objetivo de este plan es cumplir con la norma 27002 más concretamente con el
capítulo 8. A continuación una lista se muestra los controles tratados en este plan:
104
Plan de seguridad para personal Javier Ruiz-Canela López
El modelo de una organización más eficaz es el que integra todo los detalles de su
sistema de producción. Para ello es necesario definir una jerarquía organizativa que
defina los roles de cada uno de los integrantes de la organización. En dicha jerarquía
debe de quedar especificado de las responsabilidades y funciones de cada uno de sus
integrantes. El sistema organizativo que se muestra a continuación quiere mostrar de
forma genérica los roles que intervienen en cualquier organización dándole una serie de
cualidades conforme a la ley [LPRL96] (FRPE09) y a las cualidades de seguridad [Muno209]
que se deben de contemplar para el personal en cualquier sistema de información. A
continuación se muestran los roles y sus respectivas responsabilidades en seguridad:
Director Operativo
(A2)
Jefe de
Departamenteo
(B1)
Personal
(B2,C1,C2)
105
Plan de seguridad para personal Javier Ruiz-Canela López
o Director Operativo
o Jefe de departamento
o Personal
106
Plan de seguridad para personal Javier Ruiz-Canela López
o Delegado de prevención
o Encargado de Seguridad
Investigación de antecedentes
107
Plan de seguridad para personal Javier Ruiz-Canela López
La organización debe de ofrecer al empleado garantías para que pueda realizar de forma
confortable su trabajo. El contrato debe incluir clausulas de prevención de riesgos
laborales, dar de alta al empleado en la seguridad social, medidas de garanticen la
promoción por el trabajo bien realizado, garantizar el sueldo mínimo interprofesional y
subidas de sueldo acordes con el IPC (Índice de Precios al Consumo).
o Indicar que las responsabilidades que adquiere para su puesto de trabajo, así
como las duración y sueldo.
La contratación debe de incluir los motivos por el cual se contrata al personal, cuál será
sus responsabilidades en la empresa y su nivel de seguridad. También debe de incluir la
relación laboral del contrato ya sea fijo o temporal. También debe de incluir la cuantía
de su sueldo bruto y neto (descontando impuestos y seguridad social).
o Las acciones que se tomarán en caso de que el empleado haga caso omiso a los
requisitos de seguridad.
Los derechos del trabajador quedarán garantizados por escrito en el contrato de acuerdo
al estatuto de los trabajadores [RDET95] la LPRL [LPRL96] y la LGSS [LGSS00].
Cualquier delito cometido por el empleado tendrá consecuencias legales por parte de la
empresa. El empleado también se comprometerá a cumplir el código ético de la
empresa.
108
Plan de seguridad para personal Javier Ruiz-Canela López
109
Plan de seguridad para personal Javier Ruiz-Canela López
Todo el personal debe de conocer y entender los procedimientos a seguir en caso de que
se produzca un fallo en el sistema de seguridad y saber contactar con el personal
encargado de la seguridad. Del mismo modo debe de conocer y entender las medidas de
prevención de riesgos laborales contemplados por la política de la organización.
110
Plan de seguridad para personal Javier Ruiz-Canela López
Proceso disciplinario
o Infracción leve
Se considera infracción leve como aquella que produce por la incorrecta aplicación de
las medidas de seguridad de la empresa teniendo conocimiento de las mismas. Ejemplos
de la misma pueden ser los siguientes: Dejar una clave privada personal al descubierto
por otras personal , no cerrar la sección de seguridad después de la jornada laboral ,
dejar copias de archivos de desarrollo en el puesto personal en caso de haber un
almacén externo para las mismas…etc.
La medida a adoptar en dichos casos son notas informativas desde la dirección o equipo
de seguridad advirtiéndole de la necesidad de aplicar de forma correcta las medidas de
seguridad. La repetición reiterada de infracciones leves se convierte en una infracción
moderada.
o Infracción moderada
Las medidas a adoptar en dichos casos van desde sanciones económicas hasta ceses
temporales de la actividad laboral. La repetición reiterada de infracciones moderadas se
convierte en una infracción grave.
o Infracción grave
Se considera infracción grave aquella que produce la violación explicita de las medidas
de seguridad la empresa teniendo conocimiento de las mismas. Unos ejemplos de las
mismas pueden ser las siguientes: Daño a los sistemas de la organización, Traspaso o
robo de información clasificada de la empresa*, Acceder a ficheros de nivel superior de
seguridad…etc. La medida a adoptar en estos casos es el despido inmediato del personal
implicado.
111
Plan de seguridad para personal Javier Ruiz-Canela López
En caso de cese se pueden dar tres casos, cese procedente por infracción grave de las
políticas de la empresa. En cuyo caso la organización no tendrá ninguna obligación de
contraprestación para con el empleado. Cese procedente por finalización de contrato,
dado en los casos de contrato laboral temporal donde la empresa solicita durante un
periodo de tiempo unos servicios concretos sin necesidad de contraprestaciones. O por
deseo expreso del empleado en abandonar la organización. Cese improcedente por
motivos de reajuste de personal, en este caso la organización debe de dar una
contraprestación correspondiente a los años trabajados en la misma, según los términos
del estatuto de los trabajadores [RDET95].
En los casos de cambio de puesto de trabajo, hay que reajustar al empleado al nuevo
nivel de seguridad que posea, así como darles los accesos necesarios para que pueda
ejercer su nuevo cargo concorde a su nueva responsabilidad. En los casos que se trate de
una degradación en el puesto el empleado se debe de comprometer en devolver todos
los activos y derechos de acceso que no le correspondan en los términos explicados a
continuación.
112
Plan de seguridad para personal Javier Ruiz-Canela López
El empleado cesado deberá de firmar las condiciones de despido que procedan. Donde
se recomienda que se incluyan el apartado de cese de empleo o cambio de puesto de
trabajo. Dichas condiciones y la firma serán registradas junto con la firma en un
histórico de ex empleados accesible solo para personal de recursos humanos y la
dirección.
El cese de los derechos no implica el cese de las obligaciones para con la empresa. El
empleado cesado deberá de comprometerse en cumplir el contrato de confidencialidad
firmado con la organización. Donde se compromete a no revelar información vital para
la organización*. Romper este contrato de confidencialidad acarreará las medidas
legales que la organización estime pertinentes.
113
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela López
y seguridad Física
Todo perímetro de seguridad tiene dos componentes igualmente importantes, una lógica
y otra física. El acceso físico a máquinas que manipulan o controlan información
corporativa puede ser causa de ataque. Pensar en la correcta distribución física de los
activos de la empresa puede llevar a evitar dichos ataques. Para ello, está previsto seguir
como referencia para ello los capítulos 11 de la ISO 27002 guía de buena práctica de
controladores recomendados para la seguridad. A lo largo de este plan se explicará
cómo se debe de desarrollar un perímetro de seguridad físico para la protección del
sistema de información de la empresa. Dicho perímetro incorpora un sistema de video
vigilancia, protección contra amenazas ambientales y seguridad en equipos.
Alcance
Objetivos
El objetivo de este plan es cumplir con la norma 27002 más concretamente con el
capítulo 9. A continuación una lista se muestra los controles tratados en este plan:
114
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela López
y seguridad Física
115
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela López
y seguridad Física
o Control principal
Otro de los objetivos del control principal es asegurarse de que el individuo que entra
no portar elementos físicos peligrosos para comprometer la seguridad de la empresa.
Para ello se aconseja la utilización de cabinas de seguridad o la utilización de detector
de metales y scanner de metales.
Además se debe de controlar que ninguna persona que salga del recinto de trabajo salga
con dispositivos físicos de almacenamiento. Para ello se propone desinmantadores
manuales para el personal de seguridad. Los desinmantadores son dispositivos que
anulan la capacidad magnética de los equipos de almacenamiento electrónico.
116
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela López
y seguridad Física
o Teclado de acceso
Tarjeta Inteligente T
/Biometría Datos de Identificación Usuario Query
Servidor Registro
de de Usuarios
INTERFAZ FÍSICO
Acceso
Identificación
Identificación
positiva
negativa
Apertura de Denegación
puerta de acceso
117
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela López
y seguridad Física
Asociación con
¿Tasa de
no si Datos
Error<0.1?
INTERFAZ EXTERNO Personales
MODULO DE INSCRIPCIÓN Registro
de Usuarios
Lector Extracción de
Comparación =
biométrico características
RESULTADO
Transformada de Hough* es una técnica de extracción propiedades geométricas mediante análisis de imágenes
118
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela López
y seguridad Física
o Ventilación y alarmas
Las zonas de trabajo deben ser cumplir con una serie de características para garantizar el
confort y la seguridad del personal. Garantizar el bienestar es una inversión de futuro
pues aumenta el rendimiento del personal y garantiza la disminución de fugas de trabajo
y trabajadores. Para ello hay que asegurarse que los puestos de trabajo dispongan de
iluminación natural. La iluminación natural es una de las características que más
valoran los equipos de trabajo. Es disponer de ventanas o ventanales en los puestos de
trabajo es una parte importante en el desarrollo de trabajo. Por supuesto dichas ventanas
o ventanales deberán de estar herméticamente cerradas para evitar posibles puntos de
vulnerabilidad en el perímetro de seguridad físico. La necesidad de conductos de
ventilación también es otro de los puntos que garantizar la seguridad en la instalación.
Los conductos de ventilación son necesarios para la evitar humos u otro tipo de
sustancias contaminantes en el perímetro de seguridad. También se puede utilizar para
regular la calidad del aire otro de los factores importantes en el entorno de desarrollo.
Deben tener un diámetro mínimo de 0’8 m (3”) y un máximo de 1’2 m (3”).
En las zonas donde se encuentren los servidores, routers y demás componentes del
sistema de información corporativo se deben de incluir sensores de temperatura, polvo,
calidad del aire y electricidad. Los sensores de temperatura indicarán la temperatura
ambiente del lugar. Los sensores de polvo deben de comprobar que no hay más de 500
miligramos de polvo por metro cúbico. Los sensores de aire deben de comprobar que no
haya agentes contaminantes en el aire. Y por último, los sensores de electricidad para
evitar averías en los servidores por electricidad electroestática.
119
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela López
y seguridad Física
El control de las acciones del personal es uno de los objetivos de seguridad que se
tienen que tener en cuenta. Los sistemas de video vigilancia proporcionan un control de
las actividades del personal de la organización evitando de este modo posibles ataques
internos del personal y controlando la seguridad de las zonas restringidas. Sin embargo
el sistema de video vigilancia o CCTV que se propone en este plan respeta la legislación
española en cuanto a video vigilancia [Inst06]. Para llegar a cumplir con la ley hay que
incluir en la política de video vigilancia una serie de derechos y restricción:
o Toda persona deberá de tener acceso mediante impresos sobres las condiciones
en las cuales puede y no puede ser grabado en las zonas de organización.
o Los ficheros digitales que se graben no podrán ser almacenados por un máximo
de 48 horas. A no ser que se encuentren indicios de delito, los cuales serán
fijados por el departamento jurídico de la organización.
También la política de video vigilancia debe de incluir una serie de obligaciones para el
personal en general y para el personal de seguridad:
120
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela López
y seguridad Física
Una vez definido los puntos fundamentales de los prerrequisitos para el sistema de
video vigilancia se pasaría al diseño del sistema en sí [Cox07] el cual deberá de disponer
de cámaras IP, un PTZ, un DVR, cables coaxiales, un servidor y un puesto de control.
Los sistemas CCTV actuales utilizan cámaras digitales con dispositivos para la
implantación de una red IP local con posibilidad de un acceso remoto a internet. Dichas
cámaras tienen las mismas características que las cámaras analógicas, pero con las
ventajas de tener un coste inferior y una calidad de imagen superior. Dichas cámaras
digitales estarán controladas a través de la red con software específico instalado en un
servidor dedicado. Habrá dos tipos de cámaras: cámaras fijas para pasillos y cámaras de
180º para zonas de trabajo común y entradas al perímetro y zonas donde no se pueda
cubrir la FOV con cámaras fijas.
Los cables coaxiales RGS9 se caracterizan por su enorme fiabilidad. Teniendo una
atenuación 0.58Db, una calidad imagen par de hasta 80Db y una calidad de recogida de
imagen digital de 6.0. Los cables estarán conectados a las salidas RS-485 de las cámaras
y se comunicarán directamente con el dispositivo PTZ.
Una grabadora de video digital (DVR) es un dispositivo que graba video en formato
digital a una unidad de disco. En este caso los videos se grabarán a un servidor de
cámaras de IP.
El puesto de control será un monitor con capacidad de ver cámaras a la vez que recibirá
información en tiempo real de las grabaciones de las cámaras a través del servidor IP.
También podrá controlar el movimiento y enfoque de las cámaras.
PTZ
controller
T DRV
RGS9
Coaxial
Puesto de
Servidor de control
T Cámaras IP
Cámaras IP
121
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela López
y seguridad Física
Los desastres naturales son otro factor de riesgo a tener en cuenta en el desarrollo del
perímetro de seguridad físico. Este factor suele tener repercusiones seria sobre los
dispositivos del sistema de información de la organización. Agua, fuego y electricidad
suelen ser los tres elementos que más pueden influir en los equipos eléctricos. Una fuga
de agua puede provocar cortocircuitos en los equipos eléctricos dejando plenamente
inservibles. Un incendio puede arrasar con todo el mobiliario y especialmente con los
equipos de los sistemas de información al estar formados en su mayoría por plásticos
altamente inflamables. Las subidas de corriente pueden provocar incendios en los
equipos informáticos estas suelen estar provocadas por la mala utilización del sistema
eléctrico de la empresa. Pero a su vez no se puede dejar de depender del sistema
eléctrico porque sino las máquinas no funcionarían. Esto nos lleva también a una
dependencia eléctrica generalizada y a la necesidad de utilizar mecanismos para
garantizar el flujo constante de electricidad para los equipos electrónicos.
Como se menciono anteriormente en todas las zonas del perímetro de seguridad llevarán
incorporadas alarmas contra incendios. Pero el uso de alarmas contra incendios son
sistemas pasivos que deben ir acompañados de sistemas activos. Los sistemas activos
que se pueden utilizar para la prevención de incendios son: sistemas de ventilación,
sistemas de riego, extintores contra incendios, aislamiento de zonas.
Los sistemas de riego son comúnmente utilizados en todas las instalaciones de oficinas.
Un sistema de riego consiste en una serie de aspersores colocados en el techo de las
oficinas. Donde están conectados a sensores térmicos capturan la temperatura ambiente
del lugar. Si la temperatura excede de una cierta temperatura los aspersores se activarán
emitiendo una lluvia de agua que cubrirá toda el área afecta por el incendio.
Los extintores son un mecanismo manual de prevención contra incendio. Su uso está
recomendado para cuando los demás mecanismos fallen. La colocación de los extintores
debe de estar en zonas de transito como pasillos, vestíbulo y zonas comunes. Y su
utilización debe estar reservada para personal de seguridad o en su defecto para
cualquier persona con mínimos conocimientos sobre su uso.
122
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela López
y seguridad Física
Las inundaciones son otra posible causa de desastre natural, aunque no suelen ser
frecuentes hay que asegurar mecanismos para la prevención de los mismos. Un buen
sistema de prevención contra inundaciones tiene un factor que resulta fundamente.
Dicho factor es un buen sistema de canalizaciones. Un buen sistema de canalizaciones
puede conseguir que zonas inundadas puedan ser desaguadas en cuestión de minutos.
Todas las zonas donde disponga de aparatos eléctricos deben de tener una rejilla con
acceso directo al alcantarillado. Dichas alcantarillas deben de tener una superficie
aconsejable de unos 900 cm (2”).
Los sistemas UPS pueden ser utilizados para salvaguardar la información de los
servidores de datos, equipos de comunicaciones u sistemas eléctricos críticos. Las
unidades UPS son muy variados en tamaño van desde pequeños dispositivos para un
ordenador de alrededor de 200 Vatios a grandes unidades para la protección de edificios
enteros de varios megavatios.
Hay varios sistemas UPS cada uno de ellos con sus ventajas e inconvenientes. Los
sistemas UPS offline son sistemas que ofrecen características más básicas pero a la vez
son los más baratos; proporcionan protección y aumento de la batería. Sin embargo, no
son sistemas fiables y pueden fallar. Los sistemas UPS en línea son similares a los
sistemas UPS offline pero con la diferencia que incluyen un sistema multi-espiral con
diferentes niveles de tensión. Es un tipo especial de transformador eléctrico que puede
añadir o restar potencia mediante bobinas, lo que aumente o disminuye la tensión de
salida del generador. Este tipo de sistemas son más resistentes a subidas de tensión que
evitan que el generador pueda ser dañado. Y por último, los sistemas UPS online que
son ideales para sistemas de aislamiento eléctrico con equipos sensible a los cambios de
tensión. Aunque son sistemas que están reservados para grandes instalaciones alrededor
de 10 Kilowatios, los avances tecnológicos están consiguiendo equipos que necesiten
menos potencial (son los sistemas más caros).
123
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela López
y seguridad Física
Los trabajos que usen materiales peligrosos deberán de estar en zonas especialmente
habilitadas para su almacenamiento. Su uso deberá de estar perfectamente reglamentado
y con las herramientas y vestimenta necesarias para su manipulación. El uso de
materiales peligrosos no podrá ser utilizado sin supervisión de un experto. El no
cumplimiento de estas recomendaciones se puede considerará infracción grave según el
código disciplinario (plan de seguridad para personal).
124
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela López
y seguridad Física
La zona de carga y descarga o embarcadero se contempla como una zona puente entre
el perímetro de seguridad y el exterior. Por lo que tiene que tomarse medidas de
protección especiales. En la zona de carga y descarga solo podrá estar personal de la
organización, proveedores o clientes. También se considerará que solo se almacenará
mercancía de la organización. Las cargas y descargas deberán de estar registradas,
indicados el origen, destino, operario encargado, firma de proveedor o cliente y la fecha
de la transacción. Se contempla la utilización de una zona estanca y el embarcadero que
estará video vigilada y con un personal de seguridad que inspeccionará toda la
mercancía que entra y salga del recinto. La entrada al recinto dispondrá de un sistema de
acceso mediante tarjeta inteligente.
7200mm 13300mm
T
3200mm
6000mm
Revisor
900mm
900mm
Zona de
Carga y Descarga
3200mm
125
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela López
y seguridad Física
También es necesario que el acceso a dichas zonas esté restringido. La zona de trabajo
donde se encuentran los equipos de trabajo deberá de incluir la identificación mediante
tarjeta inteligente. Y solo permitirá el acceso a personal de desarrollo o personal con un
nivel de seguridad superior. La zona de servidores tendrá doble control de acceso: el
acceso mediante tarjeta inteligente a dicha sección del perímetro (solo para personal de
seguridad y de mantenimiento) y el acceso mediante identificación biométrica (la cual
tendrá almacenado los datos del personal encargado del mantenimiento de equipos). Al
mismo tiempo la zona de monitorización de la seguridad también dispondrá de un
acceso de identificación biométrica solo para personal de personal.
Los despachos se consideran una zona de trabajo especial para asuntos de gestión. Cada
despacho llevará incorporado un equipo informático según las necesidades de
computación de las actividades a realizar. Se podrá tener desde un equipo informático
(Thin Client) para las tareas con poca necesidad de cálculo hasta portátiles. Sea cual sea
el equipo de trabajo con el que se trabaje deberá de cumplir con las normas de acceso
del perímetro de seguridad lógico. Y no podrán sacar información reservada del
perímetro de seguridad físico sin una autorización expresa de la dirección de la
organización.
126
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela López
y seguridad Física
La protección de los equipos cumple una doble misión. Por un lado asegurar que los
equipos poseen la protección necesaria para la realización de las tareas cotidianas que
no se puedan producir ataques externos. Y por otra asegurar que no se produzcan
ataques internos. Se propone una serie de tareas para la prevención en los equipos:
-El sistema de tarjetas inteligentes (véase plan de seguridad para control de acceso) es
un buen sistema para evitar el acceso a personal no autorizado en los equipos de trabajo.
127
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela López
y seguridad Física
Instalaciones de Suministros
Los suministros son la base para el mantenimiento del sistema de información. Existen
dos tipos de suministros de nivel primario y los suministros de nivel secundario. Los
suministros de nivel primario se refieren a gas, luz y electricidad. Dichos suministros
básicos son proporcionados por normalmente por otras compañías. Y suelen tener una
instalación y unas indicaciones de seguridad claras provistas por la misma empresa. En
caso contrario hay que asegurarse que las instalaciones se realizan en una zona segura,
aislada de la zona de trabajo y con acceso restringido solo por personal cualificado
mediante tarjeta inteligente. También debe de poseer mecanismos de control y
seguridad que posibiliten la interrupción o el restablecimiento del flujo de suministro.
No hay que olvidar que en la zona donde estén instalados deben de colocarse los
indicativos y medidas de seguridad que indique el fabricante de las maquinas de
suministros. Así como su manipulación debe de ser ejecutada con las medidas de
protección pertinentes y la indumentaria adecuada: guantes de protección, pantalones
impermeables, casco (en caso de obra), gafas de protección (en instalaciones
eléctricas…etc.
128
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela López
y seguridad Física
El mantenimiento del equipo también incluye la limpieza del mismo. Las partículas de
polvo pueden producir efectos negativos a los componentes mecánicos. Hay que evitar
fumar y comer en los lugares de trabajo y tener las ventanas cerradas.
Las vibraciones e impactos son otro de las causas de daño en los sistemas de
información. Un equipo informático soporta un impacto de 92 G por cada 2 ms. Y una
vibración de 0.5 en un barrido de 3 a 200 Hz durante 15 minutos. Para evitar estos
fenómenos hay que asegurarse que los componentes de cada máquina están
perfectamente sujetos y en lugares estables.
El ruido acústico es uno de los factores menos valorados para el mantenimiento de los
equipos. Pero afecta a la ergonomía de los apartados eléctricos. La OMS recomienda no
exceder de los 55 dB en el entorno de trabajo. También advierte que la exposición a 85
dB durante más de una hora puede producir daños ergonomía de los equipos
informáticos y daños irreparables al oído humano.
129
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela López
y seguridad Física
Los equipos informáticos que se utilice para teletrabajo deben de cumplir con unas
recomendaciones básicas de seguridad tal y como se aconseja en el plan de seguridad en
comunicaciones. Los equipos informáticos que salgan de las instalaciones deben de
estar inventariados. Indicando su portador, fecha de salida y entrada, identificador del
equipo, y nivel de seguridad. El nivel de seguridad de los equipos informáticos
dependerá del acceso a los ficheros que puede tener el usuario portador del mismo. Las
medidas de seguridad a aplicar serán las recomendadas en el plan de seguridad para
datos.
Los equipos informáticos que queden anticuados para las tareas de desarrollo no deben
de ser retirados inmediatamente. Pues se pueden utilizar para tareas de gestión que
necesitan menos peso computacional. Sin embargo el equipo debe de ser actualizado
para tal fin con las recomendaciones del plan de seguridad en sistemas.
130
Plan de Seguridad en Medio Ambiente Javier Ruiz-Canela López
y seguridad Física
131
Plan de Seguridad Javier Ruiz-Canela López
para Gestión de Riesgos
11 PLAN DE SEGURIDAD
PARA GESTIÓN DE RIESGOS
11.1 Propósito, Objetivos y Alcance
Propósito
El propósito de este plan es dar un marco de actuación ante una situación de ataque al
sistema. Para ello se analizará los puntos débiles del sistema y la forma de solventar los
incidentes que puedan surgir en el sistema. También se desea dar mecanismos de
actuación para realizar mejoras en los controles de seguridad del sistema de
información. Evaluando posibles riesgos y reevaluando los controles ya existentes.
Alcance
Objetivos
El objetivo de este plan es cumplir con la norma 27002 más concretamente con los
capítulos 13 y 14. A continuación una lista se muestra los controles tratados en este
plan:
132
Plan de Seguridad Javier Ruiz-Canela López
para Gestión de Riesgos
Todo sistema de información tiene unos procesos que debido a su vulnerabilidad deben
de ser controlados. Estos procesos hacen referencia a la entrada/salida al sistema,
manipulación de la información y comunicaciones con el sistema. Dichos eventos que
deben de guardarse en bases de datos y ser chequeadas por el servicio de seguridad de la
empresa. Se apoyan en la infraestructura de seguridad descrita en el plan de seguridad
en control de acceso.
Las comunicaciones de los usuarios con el exterior deben de quedar registradas para
ello es de especial interés guardar la información del correo corporativo. El servidor de
correo de la organización como controlador del tráfico de correo debe de ser el
encargado de enviar la información al servidor de monitorización. Entre la información
que debe incluir se encuentra, el identificador de usuario, fecha de emisión, dirección de
envío y ficheros enviados.
133
Plan de Seguridad Javier Ruiz-Canela López
para Gestión de Riesgos
Acceso Sistema
1 PK Fecha de entrada
PK Identificador
PK Estación de Trabajo
1
Comunicaciones Mail
Acceso Ficheros
PK,FK1 Identificador
PK,FK1 Identificador
PK Fecha emisión 1…* PK Identificador Fichero
PK Fecha de Acceso
Dirección envío
Firmado
Modificado
Cifrado
FK1 Estación de Trabajo
FK1 Estación de Trabajo
FK1 Fecha de entrada
0..1
Ficheros Mail
Clase de Fichero
Fecha de emisión
Una de las labores más importantes del sistema de seguridad para la información es la
monitorización. La monitorización debe de ser precedida por un estudio de
vulnerabilidades donde se indique en qué puntos un sistema puede ser atacado. El
instituto SANS* recoge desde su página web oficial las 20 vulnerabilidades más
importantes en los sistemas de información. Analizaremos las vulnerabilidades que
afectan a todos los sistemas denominados como grupo G. Y la solución que ofrece la
arquitectura de seguridad propuesta.
El Instituto SANS* (SysAdmin Audit, Networking and Security Institute) es una institución con ánimo de lucro fundada en 1989,
con sede en Bethesda (Maryland, Estados Unidos) que agrupa a 165.000 profesionales de la seguridad informática
Backdoor* o puerta trasera es una secuencia especial dentro del código de programación mediante la cual el programador puede
acceder o escapar de un programa en caso de emergencia o contingencia en algún problema.
134
Plan de Seguridad Javier Ruiz-Canela López
para Gestión de Riesgos
G4- Gran número de puertos abiertos. Los servicios ofrecidos por el sistema de
información pasan por comunicaciones online a través del uso de puertos TCP/UDP.
Los usuarios al sistema aceden a sus servicios de trabajo a través de esos puertos. Pero
una mala gestión de puertos puede acarear un ataque desde el exterior mediante un
escaneo de puertos*. Por eso es necesario crear un plan de comunicaciones que
contemple todos los servicios que son necesarios para el sistema, asignarle unos puertos
y cerrar todos aquellos que no sean útiles (véase plan de seguridad en comunicaciones).
El término escaneo de puertos* se emplea para designar la acción de analizar por medio de un programa el estado de los puertos de
una máquina conectada a una red de comunicaciones. Se utiliza para detectar qué servicios comunes está ofreciendo la máquina y
posibles vulnerabilidades de seguridad según los puertos abiertos.
CGI* (Common Gateway Interface) Interfaz de entrada común es una importante tecnología de la World Wide Web que permite a
un cliente solicitar datos de un programa ejecutado en un servidor web.
135
Plan de Seguridad Javier Ruiz-Canela López
para Gestión de Riesgos
En caso de que ocurra un incidente previsible (para que un incidente sea previsible el
comité directivo tiene que haber sido informado antes), por causa de un ataque interno,
externo o daño medioambiental. El comité directivo como responsable de apoyar al
sistema de seguridad y las mejoras del mismo. Será responsable indirecto de dichos
incidentes si no apoya la gestión de su departamento de seguridad y no da autorización
para acometer las mejoras en el sistema de seguridad de la información que se
consideren objetivamente (se determina una mejora objetiva grave a aquella que
siguiendo las recomendaciones de organismos internacional pueden acarrear
consecuencias graves) graves o muy graves. El responsable indirecto de seguridad de la
empresa, será responsable de casos previsibles si no se cumplen los objetivos marcados
por el plan de gestión para la seguridad de la información. Será responsable indirecto
del mismo modo el director organizativo o los jefes de departamento si no cumplen con
las tareas de seguridad encomendadas. Se considerará responsable directo a la persona
que según los procedimientos de recopilación de evidencias descrito en este plan, sea el
autor material del incidente en cuestión.
Una vez depuradas responsabilidades, hay que considerar que requisitos necesita un
plan de contingencia para un sistema informático. Un plan de contingencia debe de
incluir los siguientes puntos:
136
Plan de Seguridad Javier Ruiz-Canela López
para Gestión de Riesgos
Dicho sistema debe de cubrir al menos con las necesidades mínimas del sistema de
información de la empresa. Se debe de ubicar en un lugar físicamente y lógicamente
separado del sistema de información primario. Dicho sistema debe de incluir al menos
el 25% de los puestos de trabajo de la empresa. Acceso al backups de las bases de datos
descrito en el plan de seguridad en comunicaciones. Un sistema de extintores y un
sistema de ventilación básico. Dicho sistema se puede realizar con componentes
obsoletos para el sistema de información central para reducir costes.
o Estudio de impacto
o Reingeniería de controles
Una vez identificados los elementos afectados, hay que determinar las causas del ataque
y reestructurar los controles que se deban de ser actualizados. Para ello se debe de
proceder a su aislamiento y si fuera necesario sustitución de los mismos.
137
Plan de Seguridad Javier Ruiz-Canela López
para Gestión de Riesgos
Recopilación de evidencias
La informática forense [Bevil03] es una rama de la informática que trata de averiguar los
hechos con los cuales se pueda demostrar la autoría de un delito informático. El proceso
consta de 4 partes principales: Identificación, adquisición, análisis y presentación. Cada
una de las partes es continuación de la siguiente. No obstante, existe una relación de
retro propagación entre las mismas al ser un proceso de investigación donde las causas
no están determinadas.
o Identificación
o Adquisición
El objetivo de esta fase es obtener copias de todos los datos digitales que serán
procesados en la fase de análisis. Esto incluye tanto archivos de texto, como de video y
audio. Todas las fuentes de datos deben de ser incautas y chequeadas mediante
herramientas de recuperación de datos. Todos los datos recopilados deben de ser
ordenados y clasificados. Al final de este proceso se debe de obtener una validación
notarial del mismo para que posea valor jurídico.
o Análisis
El análisis es la fase que convierte los datos digitales en pruebas de delito. Los
componentes fundamentales de esta tarea son la agregación, correlación, filtrado,
generación y purificado de los datos. En dicha fase de análisis debe de incluirse pruebas
digitales que relación al autor material del delito.
o Presentación
138
Plan de Seguridad Javier Ruiz-Canela López
para Gestión de Riesgos
El primer paso para crear un plan de continuidad del negocio es realizar BIA. Un BIA
es un análisis de impacto sobre la empresa basado en las vulnerabilidades del sistema de
información y otros componentes de riesgos. El resultado del análisis es un informe que
describe los posibles riesgos específicos en una organización. Los posibles riesgos
asociados al sistema de información propuesto son:
Inundaciones Las ventanas, techo y puertas deben de estar en perfectas condiciones y Baja
revisados contra fugas
Instalar sensores de humedad
Los sistemas de backups deben de localizarse en una zona físicamente
separada de la instalación central de almacenamiento
Sistema UPS de restablecimiento de la energía
Emergency Management Forum* es una agencia gubernamental norteamericana que se encarga del estudio de la gestión de
emergencias a través de estudios de empresas.
139
Plan de Seguridad Javier Ruiz-Canela López
para Gestión de Riesgos
Una vez puestos las bases del BIA hay que plantear una serie de tareas y estrategias para
la prevención de riesgos. Las principales tareas a realizar son:
El BIA planteado anteriormente afecta a todos los componentes hardware del sistema de
información de la empresa. Por lo tanto merece plantear sistemas estratégicos para la
totalidad del sistema de información.
Evitar
Riesgo
Identificación Análisis Análisis ¿Diseño de
del riesgo cuantitativo cualitativo respuesta?
Inicio Transferir
Fin
Riesgo
Mitigar
Riesgo
Por último una vez desarrollado el plan de continuidad de la empresa debe ser aprobado
por el comité directivo de la organización.
140
Plan de Seguridad Javier Ruiz-Canela López
para Gestión de Riesgos
o Aceptar el riesgo
o Evitar el riesgo
Se elimina el riesgo si se eliminan las causas. Esto significa implantar las medidas
recomendadas por el plan de prevención de riesgos (54). Asumiendo el coste de
materiales y personal que supone.
o Transferir el riesgo
o Mitigar riesgo
Los controles para la continuidad del negocio se implantarán dentro del ciclo de vida de
la política de seguridad de la organización (véase política de seguridad). Las pruebas y
reevaluación de los controles del plan continuidad seguirán los patrones del plan de
seguridad en auditorias.
141
Plan de Seguridad en Auditorias Javier Ruiz-Canela López
Alcance
Objetivos
El objetivo de este plan es cumplir con la norma 27002 más concretamente con los
controles del capítulo 15, 10 y 6 que no se han incluido en los planes de seguridad en
datos, comunicaciones e interna. A continuación una lista se muestra los controles
tratados en este plan:
142
Plan de Seguridad en Auditorias Javier Ruiz-Canela López
Tendrá que adquirir conocimientos suficientes sobre leyes (LOPD, ISO 27002) y sobre
seguridad informática para el cumplimiento de su función .Dicha persona tiene un nivel
de seguridad A1 es decir puede tener acceso a todos los archivos. También es el
responsable de informar a la agencia de protección de datos sobre la existencia de los
ficheros de nivel básico, medio-bajo, medio, medio-alto y alto, tal como estipula la ley.
o Infracción Leve
Causa: Acceso no autorizado a archivos.
Medida disciplinaría: Amonestación por parte del encargo.
o Infracción Media
Causa: Creación o Modificación de archivos no autorizado.
Medida disciplinaría: Expulsión temporal de la empresa.
o Infracción Grave
Causa: Robo o Cancelación de archivos no autorizado.
Medida disciplinaría: Despido de forma inmediata.
143
Plan de Seguridad en Auditorias Javier Ruiz-Canela López
El encargado de seguridad podrá tomar las medidas que considere oportunas para el
correcto cumplimiento de las tareas. De mismo modo, el encargado de seguridad solo
responderá de sus actuaciones ante el Director Ejecutivo de la empresa.
PKCS#13 utiliza se basa en los estándares X9.62, X9.63 (los cual define el algoritmo
ECDSA) y la regla P1363 (la cual define el algoritmo MQV). Algunos de los aspectos
que cubre la norma son los siguientes:
El tipo de software que se puede utilizar para estos algoritmos va desde software de
distribución libre (OpenSSL del OpenSSL Project) hasta software comercial (Vault
Registry de IBM). La mejor opción sin embargo es adaptar un software de libre
distribución a las necesidades de la organización, debido a la inmensa cantidad de
librerías de libre distribución con algoritmos criptográficos (PKCS#15).
144
Plan de Seguridad en Auditorias Javier Ruiz-Canela López
Creación de
un entorno
de desarrollo
Asignación
de recursos
Administración
de puntos de
control
Diseño de
Gestión de modelos y
mejoras en el Validación de
proceso de modelos
auditorias
Diseño de
Supervisión y modelos y
control Validación de
modelos
145
Plan de Seguridad en Auditorias Javier Ruiz-Canela López
o Asignación de recursos
Una vez definidos los objetivos de las auditorias, hay que proceder a la asignación de
recursos. Como mínimo una auditoria debe de disponer de los siguientes recursos: Una
persona asignada para la gestión de las auditorias, material de oficina, software en
gestión de auditorías*. También el auditor necesitará acceso completo al sistema y
apoyo por parte de la dirección para hacer su trabajo.
Hay varios modelos que se pueden implantar a la hora de hacer una auditoria. Los
modelos más conocidos son: verbales o testimoniales, donde el auditor recoge una serie
de respuestas basadas en entrevistas al personal, documentales donde se apoyado en test
analiza cada uno de los puntos de control y analíticas a través métodos comparativos, de
correlación, selectivos…etc. La validación de estos modelos puede ser numérica o
cualificativa siempre y cuando se marquen unos críticos homogéneos para todos los
controles.
o Supervisión y control
146
Plan de Seguridad en Auditorias Javier Ruiz-Canela López
Determinar los puntos de control del sistema necesitará analizar cada uno de los
componentes del sistema de información y sin olvidar las entrevistas al personal. La
rigurosidad con que se lleve a cabo cada uno de las auditorias dependerá de la
vulnerabilidad que pueda tener dicho control. De los controles planteados por la ISO
27002 el autor deberá cerciorarse de que se cumple con los siguientes:
147
Plan de Seguridad en Auditorias Javier Ruiz-Canela López
148
Plan de Seguridad en Auditorias Javier Ruiz-Canela López
12.4 Supervisión
Registro de Auditorías
Revisión
PK Identificador
Fecha de Revisión
Valoración
El registro de auditorías es una labor altamente recomendable. Con este fin se puede
conseguir un historial que puede ser de gran utilidad para la mejora del sistema de
auditorías o para la recopilación de evidencias en caso de infracción de la política de
seguridad.
El sistema de auditorías debe de ser supervisado por un superior, los informes relativos
a las auditorias deberán de estar firmados por el jefe del departamento de seguridad y el
director operativo.
149
Plan de Seguridad en Auditorias Javier Ruiz-Canela López
Hay numerosas empresas que se dedican a la auditoria, sobre todo en los temas
referentes a la LOPD. Cuando se subcontrata a una empresa se debe de seguir una serie
de pasos para que no se comprometa la seguridad de la organización. En primer lugar, la
empresa a la cual se le contrate servicios de auditoría debe de estar avalada por algún
organismos por ejemplo AENOR. También debemos obligar a la empresa contratada
que firme un contrato de confidencialidad con el fin de que no se revelen secretos de
empresa.
o Identificación
o Retención
Los registros deben ser retenidos por el jefe de departamento de seguridad; durante un
periodo mínimo de 20 días después de su actualización en cada auditoria.
o Distribución y recuperación
En los servidores se conservarán los registros que sean necesarios para la actividad
laboral. Los demás registros serán restablecidos una vez finalizado el proceso de
auditoría.
150
Plan de Seguridad en Auditorias Javier Ruiz-Canela López
Registros de fallos
La tarea de auditoría es cíclica tal y como se expone en el primer punto. Los fallos en el
sistema suponen una vulnerabilidad importante que debe de ser revisada. Y debe de ser
planteada en la fase de mejoras de las técnicas de auditorías.
Los fallos de sistemas operativos son enviados a través del protocolo ICMP (véase plan
de seguridad en comunicaciones). Dichos fallos deben de ser revisados en el plan de
vulnerabilidades y tomar las medidas recomendadas por el fabricante (para ello sería
recomendado revisar los exploits de fabricantes).
Sincronización de reloj
La sincronización de relojes es una labor muy importante para las trasmisiones entre
servidores. Las causas de una falta de sincronización pueden producir retardos de
propagación de los mensajes que produzcan fallos entre los programas cliente- servidor.
Por ese motivo es conveniente revisar el servicio UTC. Para ello es necesario realizar
una prueba entre servidores y una prueba entre servidor y clientes. Una vez realizado las
pruebas serán registradas en el registro de auditorías.
151
Plan Económico Javier Ruiz-Canela López
13 PLAN ECÓNOMICO
Una vez definido los planes que engloban la arquitectura de seguridad, hay que darle
una valoración económica para poder estudiar su viabilidad. Para ello se desea exponer
un plan de gestión para la implantación de la seguridad. En dicho plan consta de tres
niveles: Básico, Estándar y Avanzado. Cada uno de esos niveles se corresponde con la
aplicación de la arquitectura de seguridad a un 30%,50% y 100% respectivamente. El
punto en común de todos estos niveles es que tendrán un estudio de la política de
seguridad.
Alcance
Objetivos
152
Plan Económico Javier Ruiz-Canela López
13.3 Organización
Organización Interna
La organización interna representa los distintos roles necesarios para el desarrollo de las
actividades del proyecto, e integrados en la estructura principal del proyecto son los
siguientes:
Director Proyecto
Director Proyecto
Jefe Proyecto
Analista
153
Plan Económico Javier Ruiz-Canela López
Jurista
Técnico de Sistemas
Programador
Responsable V&V
o Se encargará de verificar que el trabajo realizado cumple con todos los requisitos
del cliente así como los requisitos de calidad establecidos
o Validará el trabajo realizado
Docente
Organización Externa
La organización externa representa la relación otros roles necesarios pero intervinientes
indirectos en las actividades del proyecto.
Subcontrata de
Servicios de Jefe Proyecto Cliente
Construcción
(59) Organización Externa
Cliente
154
Plan Económico Javier Ruiz-Canela López
Asignación de Recursos
Como se menciono en el propósito del plan, este estudio económico está orientado a la
pequeña y medianas empresas. No obstante la diferencia de un proyecto de una pequeña
empresa varía en consideración con la mediana empresa. Para poder realizar un estudio
precioso debemos de dimensionar la cantidad de recursos humanos y mecánicos a las
necesidades de la empresa. Por ello se propone una asignación de recursos estándar para
tres rangos diferentes: proyecto pequeño esta asignación de recursos está pensada para
empresas de entre 50 a 100 empleados, proyecto mediano esta asignación de recursos
está pensada para empresas de entre 100 a 500 empleados y gran proyecto pensado para
empresas entre 500 a 1000 empleados. En el siguiente recuadro, representa la
asignación de recursos según el tipo de proyecto: (las cantidades de
RM2,RM3,RM4,RM5 son relativas dependiendo de la disponibilidad de recursos de la
empresa):
Jefe de Proyecto* solo hay uno en cada proyecto, pero se contempla ayuda en los proyectos grandes
155
Plan Económico Javier Ruiz-Canela López
Planificación de actividades
Implantación
de Arquitectura de Seguridad
WP-05
WP-02 WP-03 Implementación
WP-01 WP-04
Análisis de Diseño de del Perímetro de
Gestión Proyecto Programación
Requisitos arquitectura Seguridad Físico
WP-05-03
WP-01-03 Habilitación del
PGP zona de
servidores
WP-05-04
Habilitación del
zona de carga y
descarga
WP-05-05
Instalación de
sistema de
videovigilancia
WP-05-06
Instalación de
sistema de control
de puertas
156
Plan Económico Javier Ruiz-Canela López
Implantación
de Arquitectura de Seguridad
WP-06
WP-07 WP-10
Implementación WP-08 WP-09 WP-11
Instalación Formación
del Perímetro de Pruebas Documentación Cierre
Estación Trabajo de Personal
Seguridad Lógico
WP-06-01
Instalación WP-07-01
Servidores Reinstalación
Ordenadores
WP-06-02
Saneamiento WP-07-02
Cables Configuración Red
Local
WP-06-03
Instalación de
Jerarquía de WP-07-03
Firewalls Implantación de la
PKI
WP-06-04
Instalación
Hardware de
acceso a Internet
WP-06-05
Configuración de
red
WP-06-06
Traspaso BBDD
WP-06-07
Migración Datos
Usuarios
WP-06-08
Puesta en marcha
Como podemos apreciar en los cuadros (61) y (62) la estructura de trabajo se compone
de 10 actividades raíz. Cada uno de estas actividades a su vez, se componen de sub-
actividades o actividades. A continuación se detallará la actividad de cada uno de estas
tareas; indicando según lo planeado en los planes para un proyecto de amplitud
pequeña.
157
Plan Económico Javier Ruiz-Canela López
158
Plan Económico Javier Ruiz-Canela López
WP-04 Programación
Diseño interno del perímetro lógico
Entradas Diseño externo del perímetro lógico
• Desarrollo del software necesario para apoyar la infraestructura de
clave pública.
Actividades
Desarrollo del software necesario para la monitorización de actividades
en BBDD, correo, actividades de red y acceso.
Kit de programas para la PKI
Kit de programas para monitorización de actividades
Manual de Usuario
Salidas Manual de Programación
Responsable: Programador
Gestión horas/hombre:400
Duración: 50 días
159
Plan Económico Javier Ruiz-Canela López
WP-08 Pruebas
Entradas Plan de Seguridad para análisis de riesgos
• Realizar pruebas de acceso y manipulación de ficheros
Actividades
Realizar pruebas de hacking: escaneo de puertos, DoS, virus…etc
Salidas Informe de Pruebas
Responsable: Verificador V&V
Gestión horas/hombre:240
Duración: 30 días
WP-09 Documentación
Plan de Seguridad para análisis de riesgos
Plan de Seguridad en comunicaciones
Plan de Seguridad en sistemas
Manual de Usuario
Plan de Seguridad del ambiental y seguridad física
Plan de Seguridad en control de acceso
Entradas Plan de Seguridad para perímetro lógico
• Establecer un la política de seguridad de la empresa, incluyendo plan de
Actividades continuidad, auditorías, personal y código disciplinario y ético.
160
Plan Económico Javier Ruiz-Canela López
Salidas
Responsable: Docente
Gestión horas/hombre:120
Duración: 15 días
WP-11 Cierre
Diseño interno del perímetro lógico
Entradas Diseño externo del perímetro lógico
• Saneamiento de los cables
Actividades
Instalación de Servidores, firewall e infraestructura de red
Salidas
Responsable: Jefe de Proyecto
Gestión horas/hombre:1568
Duración: 59 días
161
Plan Económico Javier Ruiz-Canela López
Duración
162
Plan Económico Javier Ruiz-Canela López
La siguiente tabla muestra la distribución de las tareas del proyecto según la actividad
de cada rol para un proyecto pequeño. La duración total es de 7656 horas en 229 días.
Las tareas en gris son outsourcing por lo que no se contabilizan.
163
Plan Económico Javier Ruiz-Canela López
13.4 Costes
Los costes de la implantación del proyecto están expuestos en el cuadro (64). Los
recursos humanos están calculados según las horas obtenidas en el cuadro (65).
Proyecto Proyecto
Identificador Recursos Pequeño Mediano Gran Proyecto Euros/hora
Recursos Humanos
RH1 Director de Proyecto 176 176 176 50
RH2 Jefe de Proyecto 1832 3664 5496 40
RH3 Analista 1120 2240 3360 30
RH4 Programador 400 800 1200 20
RH5 Jurista 400 400 800 30
RH6 Verificador V&V 240 240 960 30
RH7 Técnico de Sistemas 3128 6256 12512 20
RH8 Docente 360 720 1800 20
Recursos Materiales Precio Euros
RM1 Servidores 12 20 40 200
RM2 Ordenadores Fijos 18 62 187 400
RM3 Thin Client 75 375 750 100
RM4 Ordenadores portátiles 2 4 10 900
RM5 Cámaras de Video-vigilancia 7 16 32 60
RM6 Routers 1 2 5 50
RM7 Switches 2 10 20 60
RM8 Servidor Firewall 2 4 8 600
RM9 Bobina cable coaxial (30 metros) 1 2 5 40
RM10 Bobina fibra óptica (30 metros) 1 2 5 100
RM11 Cabina detectora de metales 1 1 1 3000
RM12 Sistemas de Tarjetas Inteligentes 93 437 937 40
RM13 Licencias Software Security Suite 7 18 48 80
RM14 Sistemas RAID 1 2 3 500
RM15 IPS/IDS 1 1 2 2000
Subtotal 243.250 496.440 917.970
Costes Indirectos
CI1 Contingencia 10% 24.325 49.644 91.797
CI2 IPC 0,06% 14.595 29.787 55.079
CI3 Outsourcing 6.000 12.000 24.000
CI4 Material de desarrollo 127.584 238.368 415.488
Cl5 Gastos Varios 21.264 39.728 69.248
Cl6 Seguro Social 42.528 79.456 138.496
Cl7 Material de oficina 21.264 39.728 69.248
Coste del Proyecto
Total + Contingencia positiva 500.810 985.151 1.781.326
Total + Contingencia negativa 452.160 885.863 1.597.732
164
Plan Económico Javier Ruiz-Canela López
13.5 Implantación
La implantación del plan no tiene porque incluir todas las medidas de seguridad
descritas en el proyecto. De esa idea surge la creación de distintos planes de adaptación:
adaptación al 30%,50% y 100% (65). No obstante, todos los planes deben de cumplir
unos mínimos medidas de seguridad para poder cumplir con la legislación vigente.
Todos los planes incluyen la adaptación de los ficheros a la LOPD, creación de una
zona centralizada de servidores y la redacción de una política de seguridad.
El plan de adaptación total incluye todos los recursos (66) y actividades del plan de
implantación (61) (62). La adaptación del sistema de información con medidas de
seguridad debe de incluir una monitorización constante. Para ello, está previsto que la
empresa distribuidora de los servicios de seguridad provea de un equipo de
monitorización. El equipo de monitorización para el plan de adaptación estará
compuesto por un técnico de sistema, un programador y un vigilante de seguridad
(puesto de control central y video-vigilancia). Los gastos del servicio de monitorización
no deben de ascender de los 6000 euros mensuales.
La adaptación del plan al 30% supone la reducción del anterior plan más la eliminación
de la infraestructura de tarjetas inteligentes (WP-07-03) (sustituidas por claves de
sesión). Del mismo modo, los recursos se reducen aun más, se omiten de uso los Thin
Client, el sistema de tarjeta y la compra de servidores se reduce a la mitad
(RM3,RM12,RM1). La monitorización por lo tanto no tiene porque ser tan exhaustiva,
con un programador será suficiente. Los gastos de monitorización serán de 1500 euros
mensuales.
165
Conclusiones Javier Ruiz-Canela López
14 CONCLUSIONES
Por todo esto no solo se ha querido dar una serie de soluciones organizativas y
tecnológicas en este proyecto. La gestión de la seguridad no es una ciencia exacta y por
ello no solo hay que crear un sistema de seguridad sino también mantenerlo y
mejorarlo; para poder hacer frente a las nuevas amenazas que puedan surgir. A raíz de
esa idea, ha sido objetivo en este proyecto crear una conciencia social sobre el uso
correcto de la seguridad, pues como dice el dicho: “es mejor prevenir que curar”.
166
Anexo A: Estudio de Amenazas Javier Ruiz-Canela López
Las empresas tienen que darse cuenta del enorme riesgo que representan estos ataques.
Pues son hacia ellas a las que van dirigidos la mayoría de los ataque. En un principio el
acceso no autorizado a un sistema se consideraba como un tipo de divertimento siendo
su objetivo simplemente lúdico y de reconocimiento social. Pero los últimos años este
tipo de ataques han tomado un rumbo delictivo al querer obtener un beneficio
económico, un ejemplo de dicho ataque es el Phishing, que explicaremos más adelante.
La Consultora “Ernst and Young” que engloba a más de mil empresas, demostró que un
20% de sus pérdidas financieras fueron como consecuencia de intromisiones en sus
sistemas de información. (Véase. Technology Review, Abril 02, pg.33).
Para poder realizar soluciones fiables a los problemas de seguridad que se plantean, y
poder proteger la información confidencial de la empresa, hay que analizar estos tipos
de ataques. Saber cómo se generan, como actúan y cómo podemos combatir este tipo de
ataques es una tarea fundamental para la seguridad de la empresa.
Pero la pregunta que muchas veces se plantea en una empresa es porque debemos
tomarnos en serio dichas amenazas. Según un estudio realizado por el centro de cyber-
crimen del FBI [FBI07] los ataques informáticos se incrementan exponencialmente cada
año (67). Llegando a causar miles de millones de dólares en pérdidas para las empresas
afectadas. En Junio de 2001, un cyber-ataque provocado por el llamado “Code-Red”
infecto más de 350.000 servidores Microsoft. En enero del 2003, otro cyber-ataque
provocado por el llamado “Slammer” dejo sin servicio a cerca de 75.000 ordenadores. Y
más recientemente en el 2008 el llamado “Conficker” infecto a más de 20 millones de
ordenadores en todo el mundo.
167
Anexo A: Estudio de Amenazas Javier Ruiz-Canela López
168
Anexo A: Estudio de Amenazas Javier Ruiz-Canela López
15.1 Malware
Categoría Definición
Malware
Caballo de Troya Un caballo de Troya es un software que parece ser una aplicación
legítima, pero realiza la ejecución de acciones maliciosas
169
Anexo A: Estudio de Amenazas Javier Ruiz-Canela López
Categorías Definición
Malware
Hijacker Un hijacker es un software que toma el control del usuario final del
navegador web. Los hijackers se utilizan para una variedad de
propósitos. Históricamente, los hijackers se han utilizado para
generar ingresos por publicidad.
Como se puede observar hay una gran variedad de tipos de Malware. En este estudio
nos centraremos en los Virus, Gusanos y Troyanos. Dicha elección se debe a que el
elemento más representativo de Malware es el Virus, y los Gusanos y Troyanos por ser
una evolución del Virus. Además si tomamos como referencia el estudió expuesto al
principio nos damos cuenta que la inmensa mayoría de los cyber-ataques de hoy en día
son provocados por Virus, Gusanos y Troyanos.
Después de esta exposición se expondrá un ejemplo de este tipo de ataque, para ello se
explicará el “modus operandi” del “Downadup”, también llamado “Conficker" o “kido”.
Un tipo de gusano que infecto a miles de maquinas Windows en 2008.
170
Anexo A: Estudio de Amenazas Javier Ruiz-Canela López
Virus
El origen de los virus se remonta a 1932, cuando el famoso científico matemático John
Louis Von Neumann, escribió un artículo, publicado en la revista científica de New
York, exponiendo su “Teoría y organización de autómatas complejos”, donde
demostraba la posibilidad de desarrollar pequeños programas que pudiesen tomar el
control de otros, de similar estructura. Pero no fue hasta 1983, cuando el doctor Fred
Cohen demostraba como un programa era capaz de insertarse en otros. E incluso de
mucho antes, ya se conocía la forma práctica de invadir zonas de memoria, con el
desarrollo del denominado Core Wars; un pequeño programa implementado en los
laboratorios de la Bell Computer, subsidiaria de la AT&T.
No obstante, nunca hay que olvidar la amenaza que puede representar un virus. Es
importante destacar que el potencial de daño de un virus informático no depende de su
complejidad sino del entorno donde actúa. La definición más simple y completa para los
virus dañinos viene dado por el modelo D.A.S y se fundamenta en tres características,
que se refuerzan y dependen mutuamente. Según ella, un virus El modelo también
distingue entre tres módulos:
171
Anexo A: Estudio de Amenazas Javier Ruiz-Canela López
-Programa: Infectan archivos ejecutables tales como .com / .exe / .ovl / .drv / .sys / .bin
-Boot: Infectan los sectores Boot Record, Master Boot, FAT y la Tabla de Partición.
-Múltiples: Infectan programas y sectores de "booteo".
-Bios: Atacan al Bios para desde allí reescribir los discos duros.
-Hoax: Se distribuyen por e-mail y la única forma de eliminarlos es el uso del sentido
común.
Una vez que conocemos lo que es un virus, sus propiedades y los diferentes tipos de
virus que hay. Analizaremos el daño que puede producir ordenado en seis categorías:
Daños Virus que afectan a la memoria residente. En el peor de los casos, se aconseja
menores la reinstalación de los programas afectados.
172
Anexo A: Estudio de Amenazas Javier Ruiz-Canela López
Caballos de Troya
Los ataques referentes a caballos de Troya o troyanos [Selo06] son una de las amenazas
más serias en la seguridad informática. El caballo de Troya es un virus informático que
infecta a un sistema a través de una red local o Internet, y cuyo objetivo es la de recabar
información o controlar el sistema para un tercero. Una de sus principales cualidades es
que pasa desapercibido como un programa benigno.
Según la mitología griega, el caballo de Troya fue utilizado como arma de guerra en la
batalla de Troya. En el interior de su estructura se escondían un batallón de soldados
que una vez introducido el caballo en la ciudad de Troya abrieron las puertas de la
ciudad para ayudar al ejército enemigo a tomar la ciudad. De ahí viene la definición de
este tipo de virus, pues las cualidades que representa se asemejan a las del caballo de
Troya de la antigüedad.
La forma más típica de infección por este tipo de virus es mediante la descarga de
software o archivos a través de Internet. Por ejemplo, cuando un usuario quiere bajar
archivos de música o películas a través de Internet desde algún lugar poco fiable. En el
momento que ejecute la acción de descargar puede estar descargando un programa
parásito incluido en los archivos. Este programa puede enviar datos delicados del disco
duro, como puede ser contraseñas o números de tarjetas de crédito. O bien secuestrar la
maquina desde donde se realiza la transferencia de datos para realizar ataques de
denegación de servicio hacia un servidor. Este tipo de ataques afectan a todos los
sistemas operativos pero son más atacados los sistemas con Windows dado su
popularidad y expansión.
Gusanos
Los gusanos son la evolución más temible de los virus. Según los diccionarios
informáticos [Pand09] [More03], el gusano es un código maligno cuya principal misión
es reenviarse a sí mismo. Dado este hecho los gusanos tienen esa propiedad vírica que
en principio no afecta a la información de los sistemas que contagia, pero si consumen
gran cantidad de recursos de los mismos y los utilizan como lanzaderas para infectar a
otros sistemas.
A diferencia de la mayoría de los virus, los gusanos se propagan por sí mismos, sin
modificar u ocultarse bajo otros programas. Así mismo, y por su propia definición, no
destruyen información, al menos de forma directa. Pero claro, estas definiciones se
aplican a los gusanos como tales; algunos códigos de Malware son principalmente
gusanos, pero pueden contener otras propiedades características de los virus.
Una de las características de este tipo de códigos es, precisamente por su forma de
infección, que están enmascarados en un email que nos llega de una fuente bien
conocida. Alguien con quien mantenemos correspondencia o, al menos, que el remitente
la mantiene con nosotros.
173
Anexo A: Estudio de Amenazas Javier Ruiz-Canela López
El mayor efecto de los actuales gusanos es su capacidad para saturar e incluso bloquear
por exceso de tráfico a los sitios Web. Incluso si están adecuadamente protegidos por un
antivirus actualizado. Y precisamente cuando tienen protección aumenta la sobrecarga,
debido a los procesos necesarios para analizar e intentar la eliminación de una cascada
de correos en los que se detecta la infección.
En 24 de noviembre del 2008 la sociedad sufrió un ataque sin precedentes que afecto a
miles y miles de ordenadores. Dicho ataque fue provocado por un gusano llamado
“Downadup”. El “Downadup”* se propaga explotando la vulnerabilidad del Servicio de
Servidor RPC, el más común y que permite la ejecución de código de forma remota.
Los sistemas infectados son sistemas informáticos de infraestructura Windows, es decir
Windows 95/98/Me/NT/2000/XP/Vista y Server 2003. Este virus esta desarrollado en
Assembler, es decir lenguaje ensamblador un lenguaje de bajo nivel que permite
acceder al ordenador desde la capa de sistema más baja.
La propagación de este virus se realizaba en un principio a través del Servicio RPC
(CVE-2008-4250 ), problema que fue solventado por Microsoft (boletín MS08-067).
Pero más adelante utilizo formas alternativas de propagación. Con la utilización de
fuerza bruta intentaba acceder a las carpetas compartidas de Microsoft con contraseñas
débiles. Para ello, guardaba una copia de sí mismo y creaba un fichero autorun.inf, para
cuando el usuario accedía a la carpeta. Otra forma de infección que está muy al día es a
través de dispositivos extraíbles. Guardaba una copia de sí mismo en el autorun.inf del
dispositivo extraíble, cada vez que el usuario accedía al dispositivo el gusano se
activaba.
174
Anexo A: Estudio de Amenazas Javier Ruiz-Canela López
De tal modo que cada sistema vulnerado podría propagar el gusano por sí mismo.
Seguidamente el gusano se conectaba a un router UPnP (plug & play), abría el puerto
TCP 80 (HTTP) y ubica la red registrada como puerta de entrada a Internet (Gateway),
permitiendo que intrusos puedan ingresar al equipo infectado desde redes externas.
175
Anexo A: Estudio de Amenazas Javier Ruiz-Canela López
Uno de los problemas añadidos de este tipo de ataques es que la mayoría de la gente
tiene una idea vaga sobre lo que significa los ataques de desbordamiento del buffer. En
esta sección se pretende enseñar el mecanismo con el cual los crackers utilizan esta
técnica. También hay que considerar el problema que estos mecanismos solo eran
disponibles a expertos por lo que se intentará utilizar un lenguaje sencillo para poder
explicarlo.
Una vez rota la seguridad del servidor, el cracker puede acceder al código del
programa. En un programa web se utilizan direcciones para ir de una parte de programa
a otro. El cracker puede aprender la lógica del programa.
176
Anexo A: Estudio de Amenazas Javier Ruiz-Canela López
Para un mejor entendimiento de este tipo de ataque se adjunta lo que podría ser un
extracto de código de un ataque “Buffer overflow”. En este ejemplo observamos las
propiedades de un código de control en una aplicación. En este código existen tres
partes destacables. La entrada de la función main con una cadena de entrada llamada
“str” (en verde), la cual no tiene control de longitud. La copia a nivel local de la cadena
de entrada “str” a una variable local “cont” mediante la utilización de la función lccopy*
(en azul). Y la función de control if que no dejará entrar a código de acceso restringido
si la cadena “cont” no es igual a “CONTRASEÑA”.
#include <stdio.h>
void *lccopy(const char *str) {
char buf[BUFSIZE];
char *p;
strcpy(buf, str);
for (p = buf; *p; p++) {
if (isupper(*p)) {
*p = tolower(*p);
}
}
return strdup(buf);
}
int main(str)
{
char *cont=lccopy(str);
La función lccopy no tiene límites en su entrada, ya que espera una cadena la cual
depende en tamaño de BUFSIZE a nivel local. Un cracker podría pasarle una cadena de
entrada con un tamaño superior a BUFSIZE y literalmente reventar el código. En este
caso el resultado de buf seria totalmente distinto al esperado, paso 1 del algoritmo de
desbordamiento del buffer. El resultado de la ejecución de main sería que la pila de
ejecución a no entender la comparación entre “cont” y “CONTRASEÑA” saltaría a la
siguiente dirección de memoria. Es decir a “código de acceso restringido”, paso 2 del
algoritmo de desbordamiento del buffer.
Una vez accedido al código de acceso restringido solo tiene que aprender la información
de dirección para ese código y de esa forma acceder sin necesidad de realizar el
mecanismo de control, paso 3 del algoritmo de desbordamiento del buffer.
177
Anexo A: Estudio de Amenazas Javier Ruiz-Canela López
Las inyecciones SQL [MacV08] son un método de ataque hacia bases de datos a través
de múltiples hileras de infraestructura de aplicaciones. Los sistemas de prevención de
amenazas buscan patrones específicos que sean similares al código del Troyano Zebra.
El Troyano Zebra es un tipo de virus con el que se puede esconder consultas SQL
maliciosas detrás de las partes críticas en una aplicación atacada, es el prototipo de
ataque SQL. Pero los crackers usan la flexibilidad de los lenguajes de programación
para esconderse de los sistemas de prevención de amenazas.
Las aplicaciones de hoy en día, están diseñadas con parámetros con una gran
flexibilidad. Que por otra parte es requerida para muchos datos de entrada para soportar
la localización y variabilidad de los datos solicitados. Los algoritmos llamados
“signature matching” y “data scrubbing” son los primeros utilizados para la prevención
de ataques de inyección de SQL primarios porque dichos ataques son simples y usan
comandos SQL básicos para llevar a cabo sus ataques. Dichos algoritmos utilizaban
patrones para detectar datos maliciosos con el análisis de las tablas en base de datos que
podrían ser causa probable de destrucción o que contuvieran información sensible para
la empresa. Pero los crackers pronto encontraron la forma de evitar dichos algoritmos y
crear nuevos mecanismos con los cuales evitar dichos filtros y hacer más difícil su
detección.
Como hemos dicho anteriormente, los sistemas de prevención utilizan patrones es decir
similitudes entre los ataques a través de la apariencia de estos con el Troyano Zebra.
Pero dichos ataques han evolucionado con el paso de los años y ahora las variantes de
los troyanos Zebra son muy diferentes unos de otros con lo que estos sistemas se quedan
obsoletos y virtualmente inútiles.
178
Anexo A: Estudio de Amenazas Javier Ruiz-Canela López
Como se comenta al principio los cracker utilizan las vulnerabilidades de SQL para
poder romper la seguridad de acceso. En el siguiente recuadro se muestra un control de
acceso típico de SQL.
Código:
$us=$_POST['usuario'];
$pass=$_POST['pass'];
$sql="SELECT * FROM usuarios WHERE user = '$us' AND password='$pass'";
-- código largo cortado --
Código:
if(mysql_fetch_array($sql)){
echo "Inicio de sesión correcto"; // Esto fue modificado
}
El problema del cracker es que necesita saber el usuario y contraseña para poder acceder
a la sesión. Pero qué pasaría si la instrucción “mysql_fetch_array” le pasaran una
sentencia SQL de este tipo:
179
Anexo A: Estudio de Amenazas Javier Ruiz-Canela López
Los ataques DoS no sólo proceden de los sistemas remotos, también a nivel local de la
máquina. Los ataques locales de DoS son generalmente más fáciles de localizar y
corregir los parámetros, porque el problema de espacio está bien definido. Aunque los
ataques DoS en sí mismos no generan un riesgo para los datos sensibles o
confidenciales, que pueden actuar como una herramienta eficaz para enmascarar otras
actividades más intrusivas que podrían tener lugar simultáneamente. En la confusión y
el caos que acompaña a los fallos del sistema y la integridad infracciones, con
experiencia en los crackers pueden deslizarse desapercibidas.
Muchos ataques DoS se realizan a través de una red, cuando el autor trata de sacar
provecho de la falta de seguridad integradas dentro de la iteración actual de Protocolo
Internet (IP), IP versión 4 (IPv4). Los crackers son plenamente conscientes de que las
consideraciones de seguridad han sido aprobadas a nivel superior los protocolos y
aplicaciones. Un intento de corregir este problema se ha traducido en IP versión 6
(IPv6), que incluye un medio de validación de la fuente de los paquetes y su integridad
mediante el uso de una cabecera de autenticación. A pesar de la mejora continua de la
propiedad intelectual es fundamental, no resuelve los problemas de hoy, porque IPv6 no
está en uso generalizado.
Los recursos son por su propia naturaleza finita. Invariablemente, la falta de estos
recursos da lugar a alguna forma de servicio de la degradación de la infraestructura
informática ofrece a los clientes. El consumo de recursos (y en este caso el ancho de
banda se considera un recurso) implica la reducción de los recursos disponibles,
cualquiera que sea su naturaleza, por medio de un ataque dirigido. Una de las formas
más comunes de ataque DoS es el ancho de banda de red. En particular, las conexiones
a Internet y los dispositivos son un objetivo primordial de este tipo de ataques debido a
su ancho de banda limitado y la visibilidad al resto de la comunidad de Internet.
Cuando un negocio se basa en la capacidad de servicio de las solicitudes de los clientes
con rapidez y eficacia, un ataque en el consumo de ancho de banda puede reducir la
eficacia en el servicio siendo un auténtico desastre para la empresa.
180
Anexo A: Estudio de Amenazas Javier Ruiz-Canela López
La estructura de apoyo a un ataque DDoS pueden ser muy complicado y puede ser
difícil determinar una terminología que describe con claridad. Pero tal vez podamos
ofrecer una aproximación de lo que podría ser un ataque DDoS común.
• Cliente: El software de control utilizado por los crackers para lanzar ataques. El cliente
se dirige a sus cadenas de comandos subordinados anfitriones.
• Demonio: Los programas de software se ejecutan en un zombi que recibe el cliente de
las cadenas de mando y actúa sobre ellos en consecuencia. El demonio es el proceso
responsable de la aplicación real del ataque detallado en el comando cadenas.
Los ataque Dos representan una autentica amenaza para la seguridad de cualquier
aplicación web. Para llegar a una mayor comprensión de los ataques DoS se expondrá
un ejemplo real.
181
Anexo A: Estudio de Amenazas Javier Ruiz-Canela López
Internet
ADSL 10Mb
Maestro M1
(73) Esquema de relación de Servidores y Clientes en un ataque DoS
Los servidores tienen un límite de servicio en consultas dado por sus recursos finitos
(potencia de CPU, memoria etc). Esta vez añadimos un nuevo concepto para nuestro
ejemplo consultas/sesión. Las consultas/sesión son la cantidad de consultas que permite
un servidor dada una sesión. Supongamos que el valor es de 500 consultas/sesión para
nuestro servidor S1. Si cada ordenador zombi realiza 100 consultas por sesión, con tan
solo 6 ordenadores llegaremos a colapsar la capacidad de servicio del servidor. A este
tipo de ataque se le llama ataque por consumo de recursos.
182
Anexo A: Estudio de Amenazas Javier Ruiz-Canela López
183
Anexo A: Estudio de Amenazas Javier Ruiz-Canela López
Existe un ciclo [Alle06] para este tipo de prácticas. Un patrón que ayuda a comprender
este tipo de técnicas. Están divididas en 4 campos: Recopilación de información,
Desarrollo de la relación, Explotación y Ejecución.
Hay una gran variedad de técnicas para ejecutar el ciclo anteriormente mencionado.
Todas estas técnicas están relacionadas con la falta de educación en seguridad que sufre
el wetware en un sistema de información. Las técnicas para la recopilación de
información son ilustraciones simples de lo anteriormente mencionado. Por ejemplo,
buscar contraseñas en cache, comprobar la basura en busca de información vital o
buscar entre sistemas de almacenaje de ordenadores viejos con el mismo fin. Este tipo
de técnicas son basadas en el factor humano y las relaciones interpersonales, no suelen
ser las más utilizadas pero hay que tomarlas en cuenta.
Otro tipo de técnicas son las basadas en los ordenadores y tecnología. La popularidad de
estas técnicas es mayor que las anteriores sobre todo por el factor de anonimato que
representa para el cracker. Se representa en la siguiente tabla un conjunto de estas
técnicas.
184
Anexo A: Estudio de Amenazas Javier Ruiz-Canela López
Técnica Definición
Por contacto El cracker intenta conseguir información vital a través de la
directo con manipulación directa de la víctima. El cracker se hace pasar por un
suplantación miembro de la organización normalmente de alto rango para
de identidad conseguir su objetivo. No suele ser usual pero es la forma más
sencilla.
Las técnicas de ingeniería social puede ser una amenaza para la seguridad de cualquier
organización. Como medida de seguridad profesional, es importante comprender la
importancia de esta amenaza y las formas en que puede manifestarse. Sólo entonces
podremos adecuadas que podrán ser empleadas y mantenidos de manera de proteger a
una organización sobre una base continua.
185
Anexo A: Estudio de Amenazas Javier Ruiz-Canela López
Utilizar de manera segura los servicios que brinda la tecnología disponible, es la mejor
opción, pero consciente de que el punto más vulnerable de un sistema de seguridad es
precisamente el factor humano.
A continuación se expondrá un ejemplo real sobre los efectos del Phishing. Este
ejemplo está basado en experiencias personales recogidas de foros de contactos. El
troyano llamado “Phisher.BH” tiene la capacidad de infectar el sistema de mensajería del
ordenador y enviar mensajes falsos haciendo pasar por uno de mis contactos. En este
tipo de ataque queda muy claro la maestría de las técnicas de ingeniería social con la
utilización de este troyano.
.
El objetivo de Phisher.BH es la de conseguir contraseñas y número de cuenta corriente
de sus víctimas. Para ello se hace pasar por su banco habitual y le insta a ir a una
dirección dada aludiendo a problemas técnicos. Para verlo con más detalle
observaremos un mensaje de este tipo de ataque.
186
Anexo A: Estudio de Amenazas Javier Ruiz-Canela López
Si analizamos este tipo de ataque vemos que cumple con el ciclo de vida de la
Ingeniería Social. En primer lugar el troyano Phisher.PH recopila información sobre la
victima chequeando su correo en busca de información bancaria para preparar el
mensaje Phishing con apariencia real. También aprovecha para buscar en su agenda de
contacto otras posibles víctimas y expandir su actividad delictiva.
En segundo lugar intenta desarrollar una relación con la victima a través de un mensaje
personalizado. Personalizado pues este llega desde un banco habitual para el cliente. En
el mensaje se hace pasar por miembro del banco “usurpación de identidad”, con lo cual
intenta dar confianza a la víctima.
187
Anexo A: Estudio de Amenazas Javier Ruiz-Canela López
188
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pública
16 ANEXO B:
ESTUDIO DE INFRAESTRUCTURA DE CLAVE
PÚBLICA
189
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pública
El no Repudio impide que alguien niegue haber realizado una transacción cuando
efectivamente la hizo cumpliendo con el primer principio de la FIP, la comunicación.
Para la aplicación de un sistema de encriptación de datos necesitamos una
infraestructura para la gestión de la misma. En esta sección se expondrá una
Infraestructura de Clave Pública (siglas en inglés, PKI) para su aplicación práctica en
una arquitectura de seguridad.
190
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pública
Ambas acciones implican el robo de información confidencial que solo debería de ser
conocida por los dos agentes. Para evitar que la información confidencial no caiga en
malas manos necesitamos que los datos vayan encriptados y que solo los pueda
descifrar la persona que nosotros queramos. Por lo tanto hay una necesidad de
transferencias segura de claves, para ello se utiliza lo que se llama como PKI. Una PKI
[JSH806] es una infraestructura de clave pública, una combinación de hardware,
software, políticas y procedimientos de seguridad. Que permiten la ejecución con
garantías de que una transacción electrónica se ha realizado de forma segura respecto a
la autentificación, confidencialidad, integridad y no repudio.
La infraestructura de clave pública nos garantiza que los datos viajarán seguros a través
del medio de comunicación, para ello el medio de comunicación debe ser seguro. En un
medio de comunicación seguro los mensajes van cifrados. El cifrado de los datos en
dicha infraestructura se realiza a través de un algoritmo de encriptación asimétrico.
Dicho algoritmo convierte el texto original del documento a un texto ilegible. Se llama
asimétrico pues para aplicar dicho algoritmo hace falta dos claves, una para cifrar y otra
para descifrar.
191
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pública
Para todo este proceso de infraestructura de clave pública necesitamos lo que se llama
un ciclo de vida de certificados [JSH806]. Un ciclo de vida de certificados es un proceso
por el cual se envía las claves a los usuarios del sistema por un periodo de tiempo
definido.
Generación de Claves
La Generación de claves es un proceso por el cual se le asigna a cada agente del sistema
un par de claves. Una clave de carácter público es de conocimiento general y se
enviarán a todos los agentes pertenecientes al sistema. La clave de carácter privada es
generada a la par con la clave de carácter público pero a diferencia de esta última solo
puede ser conocida por su legítimo dueño y no tienen ninguna relación numérica
directa.
Una clave la definimos como una cadena de caracteres y números, repartidos de forma
pseudo aleatoria. Las claves son generadas por el algoritmo HMQV y ECDSA a partir
de un número primo como se ha explicado anteriormente. La propuesta que se propone
es llevar información asociada en este número primo. Se propone que el número primo
p o d indique el estatus del individuo en la empresa.
192
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pública
El número tendrá 10 caracteres de los cuales dos están reservados para el estatus del
individuo en la empresa, la posición de estás dos posiciones no es fija y se identificarán
mediante letras latinas de la “A” a la “Z”. Los otros 8 caracteres serán numéricos del 0
al 9 y representará un número primo. La posición de las dos letras se da por un número
aleatorio entre el 1 y el 8, el cual indica la posición de la primera letra del estatus del
individuo en la empresa. Dicho número aleatorio será distinto por cada emisión de
claves nuevas. La posición de las dos letras en la clave privada será una menor que para
las claves públicas dado por en número aleatorio.
Número p:
104857 ME 5
n=7
(79).Generación de parámetros de entrada
Las posiciones en el número van desde el 0 hasta al 9. El número aleatorio dado para
esta generación de claves es 7 (N=7). En número p (5) se observa una primera parte de
del número primo 1048575 está entre la posición 0 y la posición 6. Después le sigue la
identificación de su estatus de seguridad dado por las letras: “BA” bajo “ME” medio
“AL” alto. El estatus de seguridad* nos dice a los datos a los cuales puede acceder.
Seguido esto le sigue el último carácter con el resto del número primo. Los algoritmos
HMQV y ECDSA solo utilizarán la parte numérica para la generación del cifrado y
descifrado. La parte de identificación de estatus será asociada a las claves generadas y
pasadas al servidor de archivos y base de datos para el sistema de privilegios de
usuario*.
Una vez definidos los parámetros de entrada para los algoritmos HMQV y ECDSA se
tiene que definir la utilización de los mismos. Como se ha podido ver en las propiedades
explicadas anteriormente, HMQV obtiene una clave común entre dos entidades y
ECDSA obtiene una clave pública y otra privada. Para la PKI propuesta se definirán
claves de sesión entre usuarios con el algoritmo HMQV y claves de certificación y
firma digital con el algoritmo ECDSA.
*El estatus de seguridad será explicado con más detalle en el documento de gestión de datos
*El sistema de privilegios de usuarios será explicado con más detalle en el documento de gestión de datos.
193
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pública
Emisión de Certificados
La creación de certificados se realiza según el estándar X.509 [Hunt02] recomendada
por la ISO. El estándar X.509 nos da recomendaciones de cómo definir los datos y
procedimientos para distribuir claves públicas vía certificado digital. Dicho certificado
será firmado por una AC “Autoridad de Certificación” mediante el algoritmo ECDSA.
194
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pública
Datos Personales
Claves Privada
Autoridad Certificadora
Autoridad Verificadora
El certificado digital de clave de dominio personal está compuesto por 5 partes. Los
Datos Personales donde se incluyen los datos concernientes a la persona a la cual va
dirigida el mensaje; la función de dicha parte es la de identificar de forma inequívoca a
la persona receptora del mensaje. La Clave Privada la cual dará el valor de la misma, la
fecha en la cual se creó y el periodo de validez de la misma, el nivel de seguridad. La
Autoridad Certificadora representa los datos de la entidad encargada de la creación de
claves así como una vía de contacto vía mail. Para la verificación del mensaje en el
apartado de Autoridad Verificadora nos indica donde se tiene que dirigir. La Autoridad
Certificadora puede jugar el mismo como Autoridad Verificadora. Y la última casilla
nos muestra datos para comunicar la revocación del certificado en caso de fallo de
seguridad o incorrección de los datos. El manejo de este certificado es automático entre
el programa de certificación y la tarjeta inteligente del individuo a la cual va destinado.
195
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pública
Datos Empresariales
Claves Públicas
Autoridad Certificadora
Autoridad Verificadora
El certificado digital de clave de dominio empresarial está compuesto por 5 partes. Los
Datos Empresariales donde se incluyen los datos concernientes a la entidad; el mensaje
va dirigido a todos los integrantes de la entidad. Las Claves Públicas la cual dará el
valor de todas las claves así como su dueño y el nivel de seguridad de la misma. La
Autoridad Certificadora representa los datos de la entidad encargada de la creación de
claves así como una vía de contacto vía mail. Para la verificación del mensaje en el
apartado de Autoridad Verificadora nos indica donde se tiene que dirigir. La Autoridad
196
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pública
Uso de Claves
Cada persona es poseedora de dos claves, una de pública y otra privada. Las claves de
índole privada son solo conocidas por su propietario. La clave privada será usada para
las firmas digitales. La clave de índole pública es conocida por todo personal de la
empresa y nos indica la autoría de la persona que envía el mensaje. Son por lo tanto de
dominio empresarial y no puede ser conocido por personal ajeno a la organización.
En caso de que las claves públicas sean conocidas por personal ajeno a la organización
se comunicará de inmediato a la Autoridad de Registro. La Autoridad de Registro se lo
comunicara a la Autoridad Certificadora y esta última procederá a la emisión de una
nueva remesa de claves públicas. Las claves públicas se envían en un solo certificado
digital de claves públicas enviado a todo el personal mediante un mensaje multicast. Del
mismo modo la Autoridad Certificadora tendrá que enviar una nueva remesa de claves
privadas a todo el personal dado que las claves son simétricas. Las claves privadas serán
enviadas en certificados digitales de clave privada individuales a cada uno de los
miembros de la entidad.
Validación
La validación de las claves las realiza la Autoridad Verificadora es la encargada de que
todos los certificados han sido recibidos a los individuos indicados (No repudio). Todos
los certificados llevan asociados un acuse de recibo. El receptor de un mensaje debe
comunicarse con la Autoridad Verificadora indicando su identidad y la correcta
recepción del mensaje. Para la recepción de los certificados de clave privada se
recomienda el siguiente formato de acuse de recibo:
Acuse de Recibo para Clave Pública N.: Número Identificador de certificado de clave privada
197
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pública
Actualización
El proceso de actualización será realizado por la Autoridad Certificadora mediante el
proceso de generación de claves y emisión de certificados dicho anteriormente. La
Autoridad Certificadora tiene que tener constancia de que ha recibido todos los acuses
de recibo para todos los certificados emitidos. En caso de haber recibido todos los
acuses de recibo en un tiempo razonable fijado por la empresa, se notificará a todos los
usuarios una nueva rondad de actualización de claves.
198
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pública
Política de Seguridad
En la política de Seguridad de claves tiene que quedar constancia de cómo se va a
implantar la infraestructura de clave pública y del uso o manejo de las claves.
Para ello se detallará todo el proceso de vida de las claves: Generación, Emisión, Uso y
Expiración.
Generación de Claves
199
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pública
Para la gestión de las claves todo equipo de trabajo tendrá un software instalado para la
comunicación con el servidor de claves. Dicho software estará instalado en todos los
puestos de trabajo. Para la emisión de claves privadas se comunicará con las tarjetas de
forma automática y para la emisión de claves públicas con los usuarios mediante correo
electrónico para la emisión de claves.
Uso de Claves
Las claves privadas son de uso y conocimiento personal las claves privadas son de uso y
conocimiento empresarial. Se entiende por uso y conocimiento empresarial a todo el
personal directo de la empresa y a aquel indirecto con autorización dada por la dirección
de la empresa. Una violación de lo anteriormente dicho supondría una violación de la
seguridad y se procedería a una actualización de urgencia de todas las claves, tanto
privadas como públicas con el conocimiento de la Autoridad de Registro (AR). Dicha
violación quedará grabada en el fichero CRL de la Autoridad de Registro.
200
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pública
201
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pública
Aplicaciones PKI
Las aplicaciones y estándares necesarios para la infraestructura están resumidas en el
siguiente esquema.
E-Mail
corporativo
Estándares
LPAD X.509 PKCS#11 PKCS#13 recomendados
para la PKI
202
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pública
Certificado A Certificado B
AC/AV
Estación de
Trabajo A Estación de
Trabajo B
T T
C C
SISTEMA DE
TARJETAS INTELIGENTES SISTEMA DE
TARJETAS INTELIGENTES
AR VPN AR
Datos cifrados
Agente A
Agente B
El esquema mostrado arriba indica los componentes necesarios para una comunicación
con una infraestructura PKI. Por una parte se encuentra la AC/AV entidad de
certificación y validación, entidad que se encarga de la emisión y validación de claves.
En cada estación de trabajo nos encontramos con tres elementos: La AR, el sistema de
tarjetas inteligentes, el agente. La AR es la encargada de pedir las claves a la AC/AV,
de guardar las claves públicas en el directorio LPAD, guardar un fichero con los
certificados revocados CRL y la de actualizar y autentificar la clave privada del agente.
El sistema de tarjetas inteligentes es un sistema de acceso al terminal de trabajo donde
el agente tendrá que introducir su tarjeta inteligente para poder interactuar con el
terminal. El agente es la persona encargada de manipular la información confidencial de
la empresa, su papel será el de cifrar/descifrar datos y enviar la verificación de claves.
El mecanismo de comunicación sería el siguiente. Supongamos que el agente A quiere
enviar datos al agente B. El primer paso que debe hacer A es pedir una clave pública y
una clave privada a la AR. La AR envía esta petición a la AC, la cual responde con dos
certificados.
203
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pública
204
Anexo B: Estudio de Infraestructura Javier Ruiz-Canela
de Clave Pública
Este tipo de dispositivo se puede utilizar en la infraestructura PKI. Para ello, tiene que
tener un lector de tarjetas inteligentes que cumpla el estándar ISO-7816. En entornos
Microsoft Windows, el equipo debe tener instalado un servicio denominado
“Crytographic Service Provider” (CSP). Y en entornos Unix/Linux deben de implantar
el módulo criptográfico denominado PKCS#11.
205
Apéndice Javier Ruiz-Canela López
17 APÉNDICE
17.1 Acrónimos
Siglas Significado Siglas Significado
AENOR Agencia Española de Norvativas y Regulación IDS Intrusion Detection System
AH Authentication Header IPS Intrusion Prevention System
AC Autoridad de Certificación LOPD Ley Orgánica de Protección de Datos
AR Autoridad de Registro LED Light-Emitting Diode
AV Autoridad de Validación LPAD Lightweight Directory Access Protocol
BIA Business Impact Analysis LAN Local Area Network
CDB Capacity Data Base MAC Media Access Control Address
CRL Certificate Revote List MQV Menezes-Qu-Vanstone
CCTV Closed-Circuit Television Video MPLS Multiprotocol Label Switching
CIF Código de Identificación Fiscal NAT Network Address Translation
CGI Common Gateway Interface NTP Network Time Protocol
DAS Dañino, autorreproductor y subreptición NIF Número de Identificación Fiscal
DMZ Delimited Zone OWASP Open Web Application Security Project
DoS Denial of Service OMS Organización Mundial de la Salud
DPI Derechos de Propiedad Intelectual PTZ Pan, Tilt, Zoom
DH Diffie Hellman PC Personal Computer
DVR Digital Video Recover PDF Portable Document Format
DNI Documento Nacional de Identidad POP Post Office Protocol
DNS Domain Name System PKCS Public Key Cryptography Standard
DHCP Dynamic Host Configuration Protocol PKI Public Key Infrastructure
ECC Elliptic Curve Cryptography RAM Random Access Memory
ECDSA Elliptic Curve Digital Signature Algorithm RRHH Recursos Humanos
Registro General de Protección de
ESP Encapsulating Security Payload RGPD Datos
FIP Fair Information Practices ROI Return Of Investment
FAR False Acceptation Rate RSE Reverse Social Engineering
FRR False Rejection Rate RIP Routing Information Protocol
FBI Federal Bureau of Investigation SFTP Security File Transfer Protocol
FOV Field of View SSH Security Shell
FTP File Transfer Protocol SSL Security Socket Layer
GPS Global Position System SOA Service Oriented Architecture
HSM Hardware Security Module SMTP Simple Mail Transfer Protocol
HMQV Hash Menezes-Qu-Vanstone SCE Structured Cabling Electrical
HTTP HyperText Transfer Protocol SQL Structured Query Language
IP Identification Protocol TCP Transport control Protocol
IRPF Impuesto sobre la Renta para Personas Físicas TLS Transport Layer Security
ISO International Standard Organization UPS Uninterruptable Power Supply
ICMP Internet Control Message Protocol UDP User Datagram Protocol
IMAP Internet Message Access Protocol VPN Virtual Private Network
IPSec Internet Protocol Security WAN Wide Area Network
206
Apéndice Javier Ruiz-Canela López
17.2 Bibliografía
Apuntes
[JSH806] Javier Jaurata Sánchez José María Sierra Rafael Palacios hielscher “Infraestructura de Clave
Pública”, Tema 8 Seguridad Informática, Universidad Pontificia de Comillas ICAI, 2006
[JSH106] Javier Jaurata Sánchez José María Sierra Rafael Palacios hielscher “SeguridadPerimetral”,
Tema 10 Seguridad Informática, Universidad Pontificia de Comillas ICAI, 2006
[JSH506] Javier Jaurata Sánchez José María Sierra Rafael Palacios hielscher “Algoritmos asimétricos”,
Tema 5 Seguridad Informática, Universidad Pontificia de Comillas ICAI, 2006
[Barr03] Jesús Barranco de Areba, “Introducción a los Sistemas de Información”, Tema 1 Gestión de
Sistemas de Información, Universidad Pontificia de Comillas ICAI , 2003
[Puer03]Enrique Juan Fernández Puertas, “La cadena de Valor y la Visión de la Empresa por procesos”,
Tema 1 Control Informático de Gestión, Universidad Pontificia de Comillas ICAI, 2003
[Toma07] Alessandro Tomasi , “The quality of the software”, Universita degli studi di Trento, 2007
[Muño209] Manuel Muñoz García, “Capitulo 2: Inicio del Proyecto”, Gestión de Proyectos Informáticos,
Universidad Pontificia de Comillas ICAI, 2009
[Muño709] Manuel Muñoz García, “Capitulo 7: Gestión de Riesgos”, Gestión de Proyectos Informáticos,
Universidad Pontificia de Comillas ICAI, 2009
[OrteM409]Mariano Ortega de Mues, “Modulo 4, los ingenieros y la ética profesional”, Ética informática,
Universidad Pontificia de Comillas ICAI, 2009
Artículos
[Hunt02] Ray Hunt, “PKI and Digital Certification Infrastructure”,[
http://www.ieso.ca/imoweb/marketEntry/pki.asp],IEEE,2002
[Kraw05] Hugo Krawczyk, “HMQV: A High-Performance Secure Diffie-Hellman Protocol”, IBM
Reseach Center, New York [USA], 5 de junio de 2005
[Selo06] Josep lo, “Trojan Horse Attack”,[ http://www.irchelp.org/irchelp/security/], Febrero del 2006
[Ogor02] Maciej Ogorkiewicz & Piotr Frej, “Analysis of Buffer Overflow Attacks”, Windows OS
Security, 08 de Noviembre de 2002
207
Apéndice Javier Ruiz-Canela López
[Shim03] Robert J. Shimonski, “Denial of Service 101”, Misc Network Security, 05 de Febrero de 2003
[MacV08] Lori Mac Vittie, “SQL Injection Evasion Detection”, The ISSA journal, volumen 6, febrero de
2008
[Belto06] Mike Belton [Security Engineer], “Understanding Malware and Internet Browser”, Berbee,
Mayo de 2006
[Alle06] Malcolm Allen, “Social Engineering, a means to violate a computer system”, SANS, Junio de
2006
[Wind07] Windows corp, “Windows NT, Terminal Server, and Microsoft Exchange Services Use
TCP/IP Ports” , [http://support.microsoft.com/default.aspx?scid=kb;en-us;150543], “Exchange 2000
windows 2000 connectivity through firewalls” ,[http://support.microsoft.com/default.aspx?scid=kb;en-
us;280132] ,21 de febrero de 2007
208
Apéndice Javier Ruiz-Canela López
[Cox07] Bryan D. Cox “Design and Installation of CCTV Systems for Retail Businesses”,[
http://www.coxprotectiveservices.com], 2007
[Barry07] L. Barry Lyons IV,” Preparing For A Disaster: Determining the Essential Functions That
Should Be Up First”,[http://www.sans.org/reading_room/whitepapers/recovery/], 4 de octubre de 2007
[Krasn04] Ph D Jerry Krasner, “Using Elliptic Curve Cryptography [ECC] for Enhanced Embedded
Security”, American Technology International, Inc, Noviembre 2004.
[Porter00] Michael E. Porter, “La importancia de las fuerzas competitivas en el diseño de la estrategia
competitiva”, 15 de febrero de 2000.
[Gonz00] Elsa González Esteban, “LA EMPRESA ANTE SUS GRUPOS DE INTERESES:
Una aproximación desde la literatura del análisis de los stakeholders”, Universitat Jaume I
Castellón, 1 de febrero de 2000.
Normas y legislación
[LOPD99] “LEY ORGÁNICA 15/1999 de Protección de Datos de Carácter Personal”,
[www.boe.es/aeboe/consultas/bases_datos/doc.php],13 de diciembre de 1999.
[Inst06] “INSTRUCCIÓN 1/2006,sobre el tratamiento de datos personales con fines de vigilancia a través
de sistemas de cámaras o videocámaras”,
[https://www.agpd.es/.../videovigilancia/.../Instruccion_1_2006_videovigilancia.pdf], 20 de Julio de 2007.
209
Javier Ruiz-Canela López
210