Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Bisogno Tesisdegradoingenieriainformatica PDF
Bisogno Tesisdegradoingenieriainformatica PDF
FACULTAD DE INGENIERÍA
Ingeniería en informática
Tesis de grado:
“Metodología para el
Aseguramiento de Entornos
Informatizados” – MAEI.
I. ÍNDICE:
I. Índice:..................................................................................................... 1
II. Prefacio...................................................................................... 6
1. Propósito de la tesis.................................................................................. 6
2. Estado del Arte de la Seguridad Informática. ................................................ 8
3. Motivación para la realización de este trabajo ............................................. 10
4. Alcance de la tesis .................................................................................. 11
5. Organización del documento .................................................................... 12
III. Introducción. ............................................................................ 13
1. La metodología. ..................................................................................... 13
1.1 El estudio del entorno......................................................................... 13
1.2 La implantación de la solución. ............................................................ 13
2. Descripción de las fases. ......................................................................... 15
IV. Desarrollo de la metodología AEI ................................................. 23
1 Definición del Alcance ................................................................................. 25
Contenido: ............................................................................................. 25
1.1 Análisis de Requerimientos de Usuario ..................................................... 26
1.1.1 Documento de Requerimientos de Usuario .......................................... 26
1.1.2 Ejemplo - Requerimientos de Usuario ................................................. 27
1.2 Elaboración del Alcance ......................................................................... 27
1.2.1 Alcance.......................................................................................... 28
1.2.2 Ejemplo - Alcance ........................................................................... 30
1.3 Aprobación del Alcance.......................................................................... 33
1.4 Estimación de tiempos y costos. ............................................................. 33
1.4.1 Costos capitales .............................................................................. 34
1.4.2 Costos recurrentes .......................................................................... 35
1.4.3 Costos No recurrentes...................................................................... 37
1.5 Elaboración del Plan de Trabajo .............................................................. 37
2 Relevamiento ............................................................................................ 40
Contenido: ............................................................................................. 40
2.1 Elaboración del Relevamiento General. .................................................... 41
2.1.1 Relevamiento General ...................................................................... 43
2.2 Elaboración del Relevamiento de Usuario ................................................. 45
2.2.1 Relevamiento de Usuario .................................................................. 48
2.2.2 Asignación de puntaje...................................................................... 49
2.2.3 Aclaración sobre las preguntas .......................................................... 51
1
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
2
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
3
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
4
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
5
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
II. PREFACIO
1. Propósito de la tesis
6
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
La motivación de este trabajo es la falta de una herramienta que les permita a los
profesionales de Informática analizar e implementar técnicas de seguridad en
entornos informatizados bajo la visión del Ingeniero.
Esta metodología estará compuesta por una serie de fases en las que se aplicarán
procedimientos y se buscará el conocimiento de los procesos, y a su vez, una
completa documentación que avale y acompañe al proyecto y que sirva de referente
a lo largo de la vida operativa del entorno.
Este proyecto está destinado a aplicarse en entornos en los que nunca se han
realizado controles de seguridad, como en los que están bajo un régimen de
seguridad controlado, sobre el que se desea evaluar su efectividad, o comprobar su
completitud.
7
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Los componentes de los entornos informatizados son distintos, por lo que las
especificaciones de seguridad asociadas a cada uno varía notablemente dependiendo
de la tecnología utilizada a nivel de plataforma, software base y dispositivos físicos.
8
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
enormemente en los últimos años, al punto en que somos capaces de afirmar que es
posible lograr una completa enumeración de las fallas de seguridad de los sistemas y
los entornos en los que viven.
Estas fallas de seguridad son las que se convierten en amenazas susceptibles de ser
aprovechadas por usuarios malintencionados para causar daño o algún tipo de
invasión a la confidencialidad.
Por esta razón la seguridad Informática debe estar incorporada desde el principio de
todo proceso, desde el diseño para garantizar la evaluación de todos los factores
funcionales (y no solamente los técnicos) a tener en cuenta para el uso seguro del
entorno. Si esto sucede, el objetivo inicial de la seguridad habrá sido logrado.
9
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Luego, al ingresar en el mundo laboral, descubrí que los aspectos del negocio tienen
una influencia crucial en la toma de decisiones en todos los aspectos, incluido el de
las soluciones informáticas.
10
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Es por esto que decidí realizar este trabajo con la idea de que sirva de guía para los
colegas en el trabajo de detectar fallas de seguridad y recomendar soluciones en el
aspecto del entorno en que se esté trabajando, que a fin de cuentas este es el
trabajo del ingeniero: dar soluciones.
4. Alcance de la tesis
11
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
I. Índice
II. Prefacio
III. Introducción
IV. Desarrollo de la Metodología AEI
V. Conclusión
VI. Bibliografía
VII. Anexo I. MAEI – Resumen de Fases y Tareas
VIII. Anexo II. Estándares Internacionales. Reseña introductoria.
IX. Anexo III. Glosario de términos.
12
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
III. INTRODUCCIÓN.
1. La metodología.
La metodología propuesta se compone de seis fases que agrupan etapas. Estas fases,
a su vez, desde un aspecto macroscópico se pueden generalizar en dos grandes
grupos: el estudio del entorno y la implantación de la solución.
13
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
• La Implantación de la solución;
• La Estabilización del entorno;
• El Mantenimiento de la solución, para guardar el entorno en condiciones
confiables de seguridad.
14
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Plan de
Sí
aseguramiento
aprobado?
No
Relevamiento Estabilización
Entorno
Mantenimiento
inseguro
Las siguientes son las fases de la metodología AEI, con las principales etapas que las
constituyen. Las mismas se desarrollarán en detalle en la parte IV de este trabajo,
Desarrollo de la metodología AEI.
15
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
2. Relevamiento
En esta etapa el ES comienza a familiarizarse con el entorno a proteger, mediante
la identificación de los elementos que lo componen.
3. Planificación
Esta fase comprende el análisis detallado de los puntos a proteger estudiando el
entorno en distintos aspectos: el físico, el lógico y el de la organización.
16
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
4. Implantación
En esta fase se llevará a cabo el Plan de Aseguramiento antes propuesto (y
aprobado) y las etapas de ajuste político y organizativo que el ES considere
necesarias.
17
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
5. Estabilización
En este período se pretende estabilizar el entorno ya que a esta altura del
proyecto, seguramente ha sufrido numerosos cambios.
5.2 Ajuste
Esta subfase de estabilización está dedicada a realizar ajustes sobre el Plan
de Aseguramiento según los resultados obtenidos y analizados en la etapa
anterior de esta misma fase y los inconvenientes o nuevos requerimientos
que pudieran surgir en la etapa de implantación.
18
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Los puntos de control que necesiten cambios, mejoras o los que surjan
durante el proyecto se tomarán en cuenta para completar y adaptar el Plan
de aseguramiento para una segunda implementación, delimitando
nuevamente su Alcance, que podrá reducirse a aplicar solamente los
cambios surgidos en esta etapa para lograr un completo aseguramiento del
entorno.
6. Mantenimiento
Esta fase comienza posteriormente a la implantación del Plan de Aseguramiento,
luego de la estabilización del entorno y se mantiene durante toda su vida.
Durante la vida del entorno ocurrirán incidencias y cambios que deberán ser
analizados y documentados, así como también se deberán llevar a cabo controles
periódicos y aplicar las correspondientes actualizaciones para mantener un nivel
confiable de seguridad en el entorno, en las siguientes subfases:
19
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
A continuación se muestra una tabla con las fases y etapas de esta metodología y la
documentación propuesta para su implantación:
2 Relevamiento
20
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
3 Planificación ES
4 Implantación
21
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
5 Estabilización
5.2 Ajuste
6 Mantenimiento
22
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Todas las tareas desarrolladas en esta etapa inicial conducen a la familiarización del
Experto con el entorno y su conocimiento. Esto le permitirá al Experto determinar las
mejores medidas a tomar para asegurar el entorno objetivo.
23
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Luego de la implantación de los controles y las mejoras en los procesos que conducen
a la obtención de los objetivos fijados en el Plan, el ES deberá realizar un balance
ponderando los objetivos fijados al principio del proyecto con los resultados obtenidos
en la última etapa. Su trabajo aquí es evaluar la implantación, su grado de éxito y
realizar los ajustes al Plan que sean necesarios para completar el aseguramiento del
entorno. A esta fase la llamamos Estabilización.
Finalmente nace una fase que se mantendrá a lo largo de toda la vida del entorno: la
fase de Mantenimiento, que acompaña todos los cambios en el entrono persiguiendo
la preservación de su seguridad.
Como vimos, entonces, partiendo de un entorno inseguro, realizando las tareas que
forman parte de las primeras tres fases de la MAEI, en una primera etapa se logra el
conocimiento del entorno. Siguiendo con la implantación de la solución, a través de
las tres últimas fases compuestas por tareas de implantación, control y mejora
continua, se obtiene un entorno seguro, que es el objetivo de este trabajo.
24
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Contenido:
25
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
En general el usuario no sabe qué es lo que quiere asegurar, por eso es tarea de ES
orientarlo en el campo mostrándole los distintos aspectos que se deberían asegurar,
para determinar a qué nivel el usuario desea que se realice el proyecto de
aseguramiento.
Muy probablemente el usuario no tenga claro siquiera qué nivel desea proteger
(físico, lógico u organizacional) y dejará la decisión en manos de ES.
El ES puede, entonces, pasar a las etapas siguientes de esta fase de la MAEI para
detectar a grandes rasgos las mayores falencias en cuanto a seguridad por nivel (a
so apunta el Relevamiento de Usuario) y ofrecer los resultados al cliente para que
este decida el camino a seguir.
Niveles a asegurar:
• Nivel físico;
• Nivel lógico;
• Nivel de la Organización.
26
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
• Nivel físico:
o Elementos a asegurar del nivel físico.
• Nivel lógico:
o Elementos a asegurar del nivel lógico.
• Nivel de la organización:
o Elementos a asegurar del nivel de la organización.
Niveles a asegurar:
• Nivel físico;
• Nivel lógico.
• Nivel físico:
o Protección del acceso a los servidores;
o Protección de los equipos;
o Controlar el acceso del personal y determinar a qué usuarios se les puede
permitir el uso de los distintos recursos y a cuáles se les debe restringir.
• Nivel lógico:
o Poner contraseñas para el acceso a los servidores;
o Hacer backup de los datos más importantes;
o Ver que nadie (usuarios no autorizados) puedan leer la base de datos de la
nómina de personal.
27
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
En esta etapa se determinan claramente todos los puntos sobre los que se elaborará
el Plan de Aseguramiento y se registran en un documento elaborado para tal fin. Este
documento se llamará Alcance.
1.2.1 Alcance
Objetivo
Los objetivos deben responder al acrónimo SMART, que enmarca las prácticas
fundamentales necesarias para alcanzar alta motivación y mejora para conseguir el
objetivo propuesto:
28
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
El entorno puede ser desde un equipo informático hasta una Corporación distribuida
en distintas regiones geográficas; puede definirse como el edificio que alberga a la
empresa objetivo o como el Centro de Cómputos (CC) o Centro de Procesamiento de
Datos (CPD) donde se encuentran los servidores.
Esto es, definir a qué nivel se hará al estudio para lograr el aseguramiento.
• Nivel físico;
• Nivel lógico;
• Nivel de la organización.
Definir a alto nivel qué hitos se deberán cumplir a lo largo del proyecto.
Ítems que se haya decidido dejar fuera del proyecto por diversos motivos;
29
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Definición de las etapas o fases en que se desarrollará el proyecto, a nivel macro, sin
entrar en detalle.
El cliente debe ver el avance del proyecto a medida que transcurre el tiempo. Para
eso se define una serie de documentos o entregables de cada etapa del proyecto que
reflejarán el trabajo hecho.
Consideraciones adicionales
Objetivo
Crear e implementar los controles y medidas necesarias para cumplir con el nivel
medio de seguridad, según los estándares de la empresa, en el corto plazo.
30
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Nivel físico;
Nivel lógico;
Nivel de la organización.
31
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Etapa 1:
Relevamiento general;
Relevamiento de usuario;
Mapa de vulnerabilidades;
Informe de Riesgos.
Etapa 2:
Plan de Aseguramiento;
Documento de Administración de Backups;
Documento de Actualización de Software;
Mapa de Usuarios;
Tabla de Permisos sobre Activos Lógicos;
32
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Test de viabilidad.
Etapa 3:
Políticas de Seguridad, Normas, Procedimientos, Estándares Técnicos,
Manuales de Procedimiento;
Inventario de Activos;
ABM de Activos;
Presentaciones y comunicados a usuarios como medio de capacitación.
Etapa 4:
Informe de Implantación;
Informe de cierre de la implantación.
Etapa 5:
Registro de Incidencias.
Como documento inicial del proyecto el Alcance deberá ser aprobado por los
responsables del lado del cliente, previo consenso con el ES encargado de la
elaboración del Plan de Aseguramiento del entorno informatizado objetivo.
Como en todo proyecto de IT, es necesario realizar una estimación del tiempo que se
deberá invertir y los recursos a asignar para culminar con éxito y en un tiempo finito
el proyecto de aseguramiento del entorno.
Para la estimación de tiempos no existe una fórmula que determine el tiempo que
llevará cada tarea. La duración de las mismas depende de muchos factores:
33
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Es por eso que la experiencia le dará al ES la capacidad para medir el tiempo que le
llevará hacer cada tarea según los parámetros antes mencionados.
Para ello existen métodos, pero no es el fin de este trabajo entrar en detalle al
respecto.
En esta sección mencionaremos los costos que se deberán tener en cuenta a nivel
general. Como en todo este trabajo, se deja la responsabilidad al ES de bajar el nivel
de análisis, para que, siguiendo esta Metodología para el Aseguramiento de Entornos
Informatizados, llegue al punto de reflejar el caso en el que está trabajando.
• costos capitales;
• costos recurrentes;
• costos no recurrentes.
Son los costos para adquirir, desarrollar, o instalar los principales bienes o activos.
Un activo principal es una ventaja palpable que tiene una vida útil de más que un año
y se pretende continuar su uso con el tiempo.
34
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
• Equipos de telecomunicaciones:
o Routers;
o Switches;
o Hubs;
o Modems;
o Servidores;
o Cableado de red.
• Software:
o Sistemas operativos;
o Aplicaciones;
o Software de comunicaciones;
o Utilitarios;
o Firewalls;
o IDSs.
• Otros:
o UPSs o SAIs;
o Generadores de energía eléctrica;
o Mueblería.
Los costos recurrentes son los costos que se presentan con regularidad.
35
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
En contraste con los costos capitales, los costos recurrentes deben ser tratados como
si fueran a ser pagados completamente al ser facturados.
Los costos recurrentes en general son costos operativos, en muchos casos fáciles de
definir como alquileres de equipos y salarios. Otros son más difíciles de distinguir de
los costos capitales, como por ejemplo la compra de hardware y software, que
pueden ser tratados como costos capitales o recurrentes.
• Salarios
Incluye los costos por todos los empleados involucrados directa o indirectamente
con el proyecto, encargados del manejo, el soporte y la administración del
proyecto en todas sus fases.
• Contratos
Contratos a ser pagados regularmente durante la vida del entorno, como por
ejemplo:
o Contratos de mantenimiento de hardware;
o Contratos de mantenimiento de software;
o Contratos de operación externa de IT (outsourcing).
• Hardware:
o Alquiler de equipos;
o Actualización de equipos;
o Mantenimiento interno.
• Software:
o Actualización de software;
o Licencias de software;
o Mantenimiento interno.
• Telecomunicaciones:
o Alquileres;
o Transmisión de datos;
o Mantenimiento.
• Recursos humanos:
36
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
o Salarios;
o Seguros;
o Capacitación;
o Provisiones;
o Viajes.
Los costos no recurrentes son los que se presentan una sola vez durante la vida del
proyecto de seguridad. Aunque aparecen una vez, suelen ser los mayores costos del
proyecto.
Por ejemplo, el costo de los empleados que se contratan para hacer tareas exclusivas
en proyecto, y que luego de terminado se retiran sin participar en ningún otro
proyecto, es un costo no recurrente.
• Salarios;
• Contratos;
• Estudios
• Análisis de requerimientos, diseño, performance, estudios de viabilidad, etc;
• Conversión de costos;
• Provisión de datos;
• Testing;
• Auditorías internas;
• Acondicionamiento del entorno;
• Costos incidentales;
• Entrenamiento;
• Viajes;
• Documentación.
Una vez estimados los tiempos y los costos a invertir en el proyecto, el ES está en
condiciones de elaborar la propuesta de trabajo que contendrá el Plan de trabajo que
especifique las tareas y los recursos necesarios para desarrollarlas.
37
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
El paso siguiente a la elaboración del Alcance, y una vez aprobado por los
responsables, es la elaboración del Plan de Trabajo.
En todo plan se fijan objetivos o “hitos” a cumplir. Estos hitos están asociados a una
serie de tareas necesarias para lograr el objetivo, que tendrán un período asignado.
Una buena práctica es fijar las fechas de inicio y fin de la tarea para que los períodos
no se extiendan demasiado.
Cada subetapa del proyecto tendrá (o no) entregables, documentos o resultados para
los que se trabaja en el período asignado.
A su vez, el comienzo de una tarea puede depender del resultado de otras tareas,
por lo que no podrá comenzar hasta que todas las tareas de las que depende hayan
finalizado.
Puede haber tareas que se solapen, cuyo resultado alimente otra tarea, etc.
38
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Ejemplo
39
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
2 RELEVAMIENTO
Contenido:
40
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Sobre esta información se basará una serie de estudios que dependerá de muchos de
los factores aquí relevados. Por ejemplo, para la correcta administración de los
usuarios se deberá tener en cuenta si la empresa tiene procesos de manufactura o
solamente administrativos, pues en estos dos ámbitos suelen ser muy distintos los
circuitos de autorización de alta de usuarios, etc.
Es por eso que aquí se propone una serie de puntos de control sobre los que se
deberá investigar, cuestionar y observar:
• La arquitectura de la red;
41
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Para verificar estos puntos de control el ES puede realizar las siguientes tareas:
• Entrevistar a los responsables del nivel gerencial para obtener información sobre
el manejo del negocio y sobre los aspectos críticos del mismo;
• Entrevistar a los responsables del nivel gerencial para obtener información sobre
el manejo del negocio y los activos de información que los soportan;
42
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
• Rubro de la empresa
• Calidad de la sede
o Administrativa, productiva, comercial, etc;
• Negocio
o Descripción;
o Procesos de negocio;
o Productos;
o Servicios;
o Actividades rutinarias;
o Actividades extraordinarias;
o Actividades excepcionales.
• Dependencia:
o Es una empresa con presencia multinacional?
o El negocio se ve afectado por la actividad de la empresa en otros países?
o El negocio se ve afectado por la actividad de la empresa en otras provincias?
o El negocio se ve afectado por la actividad de la empresa en otras ciudades?
o El negocio se ve afectado por la actividad de la empresa en otros edificios?
• Si es multinacional:
o Se trata de una sede o de la corporación?
o Cantidad de países donde opera;
o Listado de países donde opera.
• Información edilicia:
43
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
o Cantidad de edificios;
o Cantidad de pisos por edificio;
o Cantidad total de pisos;
o Cantidad de oficinas por piso;
o Cantidad total de oficinas.
• Red
o Arquitectura física;
o Arquitectura lógica;
o Protocolos;
o Cableado.
• Hardware
o Tipos de maquinarias (mainframes, terminales, PCs);
o Cantidad de equipos por tipo;
o Elementos de Red (switches, routers, hubs, etc.);
o Cantidad de elementos de red;
o Telefonía (centrales telefónicas, teléfonos);
o Cantidad de teléfonos;
o Otros elementos (UPSs, impresoras, scaners, etc.);
o Cantidad de elementos por tipo.
• Software
o Sistemas Operativos;
o Utilitarios;
o Bases de datos;
o Software de gestión;
o Otros;
o Cantidad de licencias.
• Personal
o Jerarquía;
o Cantidad de áreas;
o Cantidad de sectores;
o Personal: Contabilización por puesto (gerentes, administrativos, usuarios, no
usuarios, externos).
44
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
• Administración
o ¿Existe un área de desarrollo de software?
o ¿Existe un área de control de calidad de software?
o ¿Existe de un área de Seguridad Informática?
o ¿De quién es la responsabilidad de la administración de los equipos (de la
corporación, del país, de la sucursal, del sector)?
o ¿Cuántas personas abarca?
o ¿De quién es la responsabilidad de la operación de los equipos ((de la
corporación, del país, de la sucursal, del sector)?
o ¿Cuántas personas abarca?
• Que los equipos informáticos sean utilizados sólo con fines autorizados y
siguiendo los procedimientos establecidos;
45
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
• Que exista un marco normativo que defina la política de la empresa, y siente las
bases para el desarrollo de procedimientos y estándares técnicos;
Para verificar estos puntos de control el ES y su equipo de trabajo puede realizar las
siguientes tareas:
46
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Este test tiene por fin obtener una medida de lo expuesto que se encuentra el
ambiente a vulnerabilidades, fallas en la cultura de trabajo, vicios en la organización,
el nivel de información que manejan los empleados y su nivel de conciencia respecto
de la seguridad, etc. O sea, una medida general de lo expuesto que se encuentra el
sistema a los ataques informáticos por nivel.
Una vez recompilada como mínimo esta información, la Metodología AEI prevé la
intervención del usuario como fuente de conocimiento del ES.
47
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
AREA:
SECTOR:
CPU:
EMPLEADO:
ANTIGÜEDAD:
Nº NIVEL SÍ NO PUNTOS
NIVEL FÍSICO
48
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Nº NIVEL SÍ NO PUNTOS
NIVEL LÓGICO
17 ¿Posee conexión permanente a Internet?
18 ¿Posee IP fija?
NIVEL DE LA ORGANIZACIÓN
31 ¿Existe una persona encargada de administrar la seguridad?
TOTAL
Para la asignación del puntaje se siguió el criterio adoptado por la empresa Internet
Security Systems [iss.net], experta en seguridad, considerado adecuado para el
estudio que se lleva a cabo en este Relevamiento.
49
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Por ejemplo:
o Ataques por fuerza bruta;
o Descubrimiento de información que no es del sistema (datos sueltos,
información pública).
• Amenaza leve:
Si existen eventos que tengan el potencial de otorgar acceso o permitir ejecución
de código por medio de procedimientos largos o complejos, o elementos de bajo
riesgo aplicados a componentes importantes.
Por ejemplo:
o Ataques de hombre en el medio (ver “Man in the middle attack” en
[Stallings1999]);
o Negación de servicio de elementos no críticos;
o Descubrimiento de información privada (pero no confidencial, por ejemplo
información de uso interno).
Por ejemplo:
o Overflow de buffers;
o Scripting a través de sitios (ejecución de algoritmos malintencionados a través
de la web);
o Denegación de servicios de elementos críticos;
50
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
o Backdors;
o Contraseñas por default o contraseñas en blanco;
o Salteo de la seguridad en firewalls y otros componentes de red.
51
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
10- ¿Maneja algún tipo de codificación para la rotulación de diskettes, cintas, CDs,
etc?
La pregunta apunta a verificar si se utiliza alguna técnica preestablecida para
nomenclar dispositivos de almacenamiento, o simplemente se rotulan con nombres
legítimos.
Un ejemplo de codificación podría ser CDC640 que tiene significado solamente para
las personas concernientes.
16- ¿Trabaja con servidores de uso exclusivo de su sector o son compartidos por más
de un sector?
Por ejemplo, si trabajan los sectores de Desarrollo y Prueba con un mismo servidor.
52
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
20- ¿Tiene acceso solamente a los recursos que necesita para trabajar?
La pregunta apunta a verificar si desde la Workstation se puede acceder a sectores
de al LAN que no son necesarios para realizar el trabajo, apuntando al principio de
“otorgar solo los privilegios mínimos y necesarios para la realización del trabajo”
21- ¿Lo ven desde la LAN sólo los que lo necesitan ver?
Para verificar si sectores no autorizados tienen acceso a esta terminal.
23- ¿Hay más usuarios configurados de los que realmente usan la workstation?
Esta pregunta apunta a verificar si existen configurados usuarios que no son
estrictamente necesarios. Por ejemplo en algunos sistemas operativos como ciertas
distribuciones de Linux se instala el sistema con un conjunto de usuarios por default
de los cuales algunos no son utilizados.
En otros casos puede ocurrir que un empleado deje la organización pero quede
configurado el usuario en el sistema.
53
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Por ejemplo DOS o Windows 95, Windows 98, Windows Millenium, etc.
54
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
34- ¿Procesa información que es confidencial para gente del mismo piso?
Esta pregunta pretende verificar si en esta Workstation se procesa información que
es confidencial para personas que comparten el mismo espacio físico.
Nivel físico:
55
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
• De 0 a 6 puntos: Seguro/protegido;
• De 7 a 16 puntos: Medianamente vulnerable;
• De 17 a 32 puntos: Altamente vulnerable.
Nivel lógico:
• De 0 a 10 puntos: Seguro/protegido;
• De 11 a 14 puntos: Medianamente vulnerable;
• De 15 a 28 puntos: Altamente vulnerable.
Nivel de la organización:
• De 0 a 4 puntos: Seguro/protegido;
• De 5 a 9 puntos: Medianamente vulnerable;
• De 10 a 20 puntos: Altamente vulnerable.
• 0: Seguro/protegido;
• 1: Medianamente vulnerable;
• 2: Altamente vulnerable;
• x: 0 o 1.
56
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Los datos almacenados en los servidores de la red, los almacenados en cada estación
de trabajo, los equipos e instalaciones, las aplicaciones, los documentos y todo
mensaje (pulso eléctrico, sonido, luz, etc), corren riesgos reales, potenciales y
latentes a cada instante.
Estos mensajes, datos, activos deben cumplir su función conservando los tres pilares
de la seguridad intactos:
57
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Es por eso que el ES debe analizar qué tipo de entorno maneja para predecir a qué
tipo de ataques probablemente se deberá enfrentar.
• Los entornos personales suelen ser atacados por intrusos desconocidos al azar
(no se hacen ataques personales) que simplemente sienten satisfacción tomando
control de máquinas ajenas o provocando daños, pero en general estos ataques
no apuntan a una obtención de información, sino a la negación de servicios o
pérdida de información;
58
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
• El diseño inseguro:
En el diseño de las aplicaciones, de las redes, de los CPDs. se subestima la
implantación de medidas de control de acceso, de separación de funciones y
tareas.
59
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Uno de los mayores puntos débiles de las organizaciones son estos “bugs”
informáticos y la falta de protección lógica de los datos. Por eso es muy
importante estar al tanto de ello, y llevar una frecuente actualización con los
parches otorgados por los fabricantes de software.
• Las personas:
El acceso de personas no autorizadas implica la vulnerabilidad del sistema ante
hurtos, acceso indebido, pérdida de confidencialidad de los datos y todo tipo de
escucha no autorizada de información, con sus respectivas consecuencias.
Estos factores y muchos otros más, hacen que muchas vulnerabilidades de los
entornos informatizados tengan origen en el mal uso del sistema por parte de los
usuarios.
60
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
En esta etapa se analizan las fallas de seguridad en el entorno según los estándares
internacionales referenciados en la bibliografía de este trabajo.
• Que existan licencias de uso del producto para cada recurso / usuario;
61
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
• Que los equipos informáticos sean utilizados sólo con fines autorizados y
siguiendo los procedimientos establecidos;
62
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Este análisis permitirá visualizar el nivel de adhesión que tiene la estructura del
proceso a los estándares metodológicos que se tengan establecidos para el desarrollo
y mantenimiento, así como para la documentación de las etapas del proceso. Además
se podrán establecer los criterios que fueron utilizados para definir y establecer las
características de los controles internos y las validaciones. El análisis funcional
permite visualizar las distintas etapas que se suceden en el proceso, así como
también identificar etapas de alto, medio y bajo riesgo.
Para verificar estos puntos de control el ES y su equipo de trabajo puede realizar las
siguientes tareas:
63
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
• Solicitar (en caso de existir) y analizar el log utilizado para priorizar y monitorizar
la recepción y progreso de los cambios de sistemas;
64
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
• Que exista un marco normativo que defina la política de la empresa, y siente las
bases para el desarrollo de procedimientos y estándares técnicos;
• Que los procesos tecnológicos estén alineados con las normas establecidas, y
sean adecuados;
Para analizar si el entorno objetivo cumple con estos objetivos, se pueden llevar a
cabo las siguientes tareas:
65
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Los objetivos de control que debe verificar el ES en este aspecto son los siguientes:
66
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
• Que las aplicaciones gestionen los errores de forma estándar, y que se realicen
las validaciones adecuadas en la entrada y salida de datos;
Para cumplir con estos objetivos, el ES puede llevar a cabo las siguientes tareas:
67
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
• Documentar los modelos de acceso lógico que representa los caminos por los que
se accede a los datos críticos de las aplicaciones;
• Comprender los controles que existen para realizar las pruebas de cumplimiento
sobre esos controles;
• Realizar pruebas de cumplimiento para verificar que los accesos a los diferentes
recursos informáticos están adecuadamente otorgados y/o restringidos
68
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
• Equipos de comunicaciones;
• Servidores;
• Estaciones de trabajo;
• Aplicaciones;
• Bases de Datos;
• Servicios Informáticos;
• Casillas de Correo Electrónico;
• Portales de Internet;
• Intranet corporativa;
• Acceso físico a recursos y documentación;
• Ingeniería social (La ingeniería social es la técnica por la cual se obtiene
información convenciendo al usuario que otorgue información confidencial,
haciéndose parar por usuarios con altos privilegios como administradores y
técnicos).
69
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
• Configuraciones default;
• Utilización de servicios inseguros;
• Recursos compartidos desprotegidos;
• Errores en la asignación de permisos.
Existe una serie de herramientas que ofrecen datos útiles para el análisis de
vulnerabilidades, como analizadores de configuraciones, analizadores de logs,
herramientas de escaneo de puertos (Port Scanners), sniffers, Network Mapping,
Testing Tools, y otras herramientas, sobre las que no se dará detalle por su
constante evolución.
• Nivel físico;
• Nivel lógico;
• Nivel de la organización.
70
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
71
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
72
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
• Terminales abandonadas:
Las terminales encendidas en desuso son un riesgo alto, ya que cualquier persona
puede hacer uso de sus recursos, sin siquiera la necesidad loguearse;
• Falta de higiene:
La falta de higiene en oficinas puede provocar daño en los documentos impresos
y en los equipos por acumulación de polvo, grasa, etc;
Cuando un mensaje “M” es enviado por un usuario origen “A” a un usuario destino
“B” determinado a través de una red, como se muestra en la figura 1, este mensaje
viaja por el medio físico con el riesgo de sufrir alguno de los siguientes ataques por
parte de un intruso “I”:
M
A B
Figura 1
En el medio del viaje del origen al destino, el mensaje puede sufrir de ataques de
intrusos para su lectura, modificación, o eliminación. A continuación detallamos las
amenazas más comunes que puede sufrir un mensaje:
Tipos de amenazas
73
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
M
A
Figura 2
M
A B
Figura 3
M
A B
M
Figura 4
74
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
M
A B
N
Figura 5
Factores de riesgo
• Cables al descubierto:
Pueden ser dañados con facilidad provocando una negación deservicio;
• Virus:
Son porciones de código que son insertadas dentro de un archivo (generalmente
ejecutable) llamado host, de manera que cuando el archivo es ejecutado, se
ejecuta también la porción de código insertada, la cual puede efectuar distintas
acciones malintencionadas, destructivas, y hasta copiarse en otros archivos;
• Gusanos (Worms):
75
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
• Troyanos:
Son programas que tienen una porción de código oculta, que dicen hacer una
cosa y en realidad hacen otra (desconocida por el usuario) o simplemente hacen
lo que dicen hacer y además ejecutan instrucciones no autorizadas;
• Conejos:
Son programas que no dañan directamente al sistema por alguna acción
destructiva, sino que tienen la facilidad de reproducirse exponencialmente de
manera de provocar en poco tiempo una negación de servicio al consumir los
recursos (memoria, disco, procesador, etc);
• Bombas lógicas:
Son un conjunto de instrucciones que se ejecutan bajo condiciones especiales
(una fecha, etc);
• Backdors y trapdors:
76
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
• Timeouts:
Son programas que se pueden utilizar durante un período de tiempo
determinado;
• Herramientas de seguridad:
Son utilitarios que sirven para identificar vulnerabilidades en un sistema. Pueden
ser una amenaza si un intruso las utiliza en el sistema y detecta fallas en la
seguridad de las que el administrador no está enterado.
• Eaves dropping:
Es la escucha no autorizada de conversaciones, claves, datos, etc;
• Ingeniería social:
Consiste en la manipulación de las personas para que voluntariamente realicen
actos que normalmente no harían, como revelar su contraseña o cambiarla;
• Shoulder Surfing:
Consiste en espiar físicamente a los usuarios para obtener claves de acceso al
sistema, números válidos de tarjetas de crédito, etc;
• Masquerading:
Un intruso puede usar la identidad de un usuario autorizado que no le pertenece
simplemente apoderándose de un nombre de usuario y contraseña válidos;
• Piggy backing:
Ocurre cuando un usuario no autorizado accede a una zona restringida gracias al
permiso otorgado a otra persona que sí está autorizada;
• Basurero:
La información de los desperdicios dejados alrededor de un sistema puede ser
aprovechada por intrusos provocar un hurto o daño.
77
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
78
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Las pistas de auditoría o logs sirven para dejar registro de las acciones de los
usuarios y los procesos. No llevar un adecuado registro de las pistas de auditoría
dificulta la tarea de detección de intrusos y recuperación de información.
A nivel funcional:
• Falta de documentación:
La ausencia de documentación dificulta la capacitación de los usuarios y el
seguimiento de los proyectos y procesos, provocando incoherencias en el trabajo,
por ejemplo entre los requerimientos de usuario y los cambios realizados en el
software afectado;
• Planificación deficiente;
79
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
• Prestaciones limitadas;
Aspectos lógicos:
80
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
81
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
• Falta de backups:
Sin copias de respaldo la recuperación de la información y la restauración del
sistema luego de un incidente es imposible;
• Documentación desprotegida;
Un intruso o espía puede hacer mal u:o de la documentación para distintos fines:
espionaje, sabotaje, hurto, o para obtener información que le sirva como puerta
al sistema objetivo;
82
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
83
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Todos los entornos están expuestos a amenazas. Todos los entornos tienen
vulnerabilidades, algunas conocidas, otras no, pero están presentes, esperando ser
usadas por un atacante para penetrar las barreras de seguridad y apoderarse de
información, denegar servicios, o provocar toda clase de daño.
Existe una relación entre tipo de desastre y sus efectos, y, por supuesto, su
probabilidad de ocurrencia. Los riegos reales y potenciales son variables en el tiempo
y en el lugar.
No es posible eliminar todos los riesgos sino que se pueden mitigar (empleando
medidas para reducirlos), transferir (ceder su responsabilidad a otra persona) o
asumir (cuando se decide correr el riesgo con sus posibles consecuencias).
Es más, cada día surgen nuevos riesgos a medida que la tecnología avanza y los
sistemas cambian. Los entornos informatizados suelen acompañar estos cambios
adaptándose a los requerimientos tecnológicos del momento. Es por eso que surgen
nuevos riesgos día a día.
84
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Alto
Mayor
Probabilidad importancia
de ocurrencia
Bajo
Alto
Impacto
Este análisis de riesgos permite al ES ofrecer un informe de los riesgos entorno, los
peligros que corre e identificar los requerimientos de seguridad del sistema objetivo y
su prioridad, de manera de poder encarar la elaboración del Plan de Aseguramiento
del proyecto junto a los requerimientos planteados por el usuario.
Se recomienda agrupar las vulnerabilidades con algún criterio, como por ejemplo por
nivel de criticidad, que puede clasificarse en:
• Alto;
• Medio;
85
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
• Bajo.
RIESGO: Breve descripción del riesgo detectado en el análisis. Es todo evento, falla
o bien que ponga en peligro la integridad, la confidencialidad o la disponibilidad de la
información o los recursos y activos;
86
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Existencia de material
inflamable en el CPD
Fuego en el Destrucción de equipos
1 (Centro de 2 0.5
Data Center y espacio físico
Procesamiento de
Datos)
Falta de
mantenimiento de los
Fallas en Indisponibilidad de los
5 equipos de 1 0.5
equipos servicios
procesamiento de
datos.
Existencia de cables de
Fallas en
red al descubierto Indisponibilidad de los
6 comunicacio 1 0.3
atravesando los servicios
nes
pasillos
Diagrama de riesgos:
87
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Los riesgos más altos, por ende, se ubicarán en el cuadrante derecho superior del
siguiente diagrama:
1 Fuego en el C PD
Probabilidad de Ocurrencia
Fuego en lugares
cercanos
Inundación
Fallas en el aire
0,5 acondicionado
Fallas en equipos
Fallas en comunicaciones
C orte de suministro
eléctrico
Acto de vandalismo
0
0 0,5 1 Acto de sabotaje o robo
88
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
3 PLANIFICACIÓN
Contenido:
89
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Sin embargo, no es el fin de este trabajo dar detalles sobre las técnicas a
implementar para conseguir estos resultados, entendiéndose por buenos resultados
el aseguramiento del elemento en cuestión. Se limitará a dar las pautas
procedimentales para asegurar el entorno informatizado que es objetivo, y el ES que
lo implemente deberá realizar el trabajo de investigación específico para obtener los
resultados propuestos por este trabajo, según la tecnología involucrada.
90
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Se analiza en esta parte la protección del edificio, salas e instalaciones a nivel físico.
91
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
92
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
93
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
comprenden todas las puertas exteriores y ventanas accesibles. Las áreas vacías
deben tener alarmas activadas en todo momento. También se considera la
protección de otras áreas, como la sala de cómputos o las salas de
comunicaciones;
Se analiza en esta parte la protección de los distintos Activos a nivel físico. Se evalúa
la posibilidad de implementar alguna de las siguientes técnicas:
Para ello se presenta una tabla que registra estos datos: el Mapa de elementos de
red.
94
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
• Prevención de catástrofes:
95
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
o Incendios:
Provocados por rayos, por fallas eléctricas o descuido de los usuarios
(cigarrillos, hornallas). Colocar extinguidotes automáticos en los techos, y
extinguidotes manuales en todo el edificio;
o Humo:
Provocado por incendios y por el cigarrillo. El humo ataca los discos
magnéticos y ópticos y provoca trastornos en la ventilación de los artefactos
eléctricos. Se considera prohibir fumar en las oficinas y colocar detectores de
humo en los techos;
o Temperaturas extremas:
Los artefactos eléctricos y electrónicos funcionan correctamente dentro de un
rango determinado de temperaturas, en general entre los 0 y los 70 grados
centígrados. Si se exceden estos extremos se corre el riesgo de que los
materiales dejen de ser ferromagnéticos. Consultar los manuales de los
fabricantes y mantener la temperatura dentro de los rangos sugeridos. Se
aconseja la utilización de equipos de aire acondicionado en todas las salas;
o Polvo:
El polvo se deposita sobre los artefactos removibles y entra por los
ventiladores de las CPU y daña los circuitos. Es necesario tener una rutina de
limpieza y aspiración de los ambientes;
o Explosiones;
o Vibraciones:
Ciertos objetos presentes en oficinas provocan vibraciones indeseadas.
Impresoras, máquinas expendedoras de bebidas, provocan estas vibraciones.
Instalar plataformas antivibración;
o Electricidad:
Trastornos o fallas en la línea eléctrica pueden provocar cortocircuitos, subidas
de tensión, cortes en el flujo eléctrico y hasta incendios. Instalar cables a
tierra y estabilizadores de tensión. También se sugiere la utilización de
baterías o unidades de alimentación ininterrumpida;
o Tormentas eléctricas:
Las tormentas eléctricas pueden provocar altísimas subidas de tensión que
quemen los equipos. Para evitar esto se colocan pararrayos, guardar los
backups lejos de columnas metálicas para que no se desmagneticen, y
desconectar los equipos de la línea eléctrica cada vez que se desata una
tormenta;
96
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
o Ruido eléctrico:
El ruido eléctrico es generado por motores, equipos eléctricos y celulares.
Colocar filtros en la línea de alimentación y alejar los equipos de otros
artefactos;
o Humedad:
El exceso de humedad en equipos eléctricos provoca cortocircuitos y la
escasez de humedad provoca estática. Se recomienda instalar alarmas
antihumedad y mantener la misma al 20%;
o Inundaciones:
Colocar los equipos alejados del piso, instalar un falso suelo o ubicar censores
en el piso que corten el suministro de energía eléctrica al detectar agua;
o Terremotos:
Para proteger los equipos más críticos de los terremotos se fijan éstos de
manera que no se puedan desplazar y se trata de ubicar todo equipo alejado
de las ventanas;
o Insectos;
o Comida y bebidas:
La organización debe analizar su política respecto de comer, beber y fumar
cerca de las instalaciones de procesamiento de información. Se recomienda
prohibir estas actividades para proteger los equipos e instalaciones;
o Terminales abandonadas:
Las terminales encendidas en desuso son un riesgo alto. Utilizar un sistema
automático de detección y apagado de terminales encendidas en desuso;
o Vandalismo;
o Hurto;
97
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
98
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
99
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
o Eaves dropping:
Es la escucha no autorizada de conversaciones, claves, datos, etc.
Se asegura que no haya cables atravesando zonas públicas, se cierran todas
las salidas de red no utilizadas, proteger el cableado con caños metálicos o
cablear al vacío con aire comprimido;
o Ingeniería social:
La Ingeniería social consiste en la manipulación de las personas para que
voluntariamente realicen actos que normalmente no harían, como revelar su
contraseña o cambiarla. Se capacita a los usuarios para prevenirlos de estos
ataques y se los informa del procedimiento formalizado en la Política de
seguridad sobre el cambio de contraseñas;
o Shoulder Surfing:
Consiste en espiar físicamente a los usuarios para obtener claves de acceso al
sistema, números válidos de tarjetas de crédito, etc. Se recomienda prevenir
a los usuarios sobre estos temas a fin de concientizarlos para que tomen los
cuidados necesarios;
o Masquerading:
Un intruso puede usar la identidad de un usuario autorizado que no le
pertenece simplemente apoderándose de un nombre de usuario y contraseña
válidos. Se capacita a los usuarios para que mantengan en secreto tanto su
nombre de usuario como su contraseña para que nadie más los pueda usar en
su nombre;
o Piggy backing:
Se lo llama así al ataque en que un usuario no autorizado accede a una zona
restringida gracias al permiso otorgado a otra persona que sí está autorizada.
100
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
o Basurero:
Basurero es la obtención de información de los desperdicios dejados alrededor
de un sistema:
documentación antigua;
listados viejos;
buffers reimpresoras;
memoria liberada por procesos;
bloques libres de disco;
tachos de basura dentro y fuera del edificio;
diskettes desechados.
• Clasificación de la información:
La información se debe clasificar en cuanto a su acceso (qué perfiles de usuarios
tienen acceso a lectura, ejecución o modificación de los datos) y en cuanto a su
criticidad. Para clasificarla según su acceso, se hace uso de la Tabla de Accesos
101
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Autorización:
Los usuarios a quienes por la naturaleza de su trabajo se les permita el
acceso a la información clasificada como confidencial o secreta, deben
estar expresamente autorizados.
Conservación:
102
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Impresión:
Imprimir los reportes que contienen información confidencial en
impresoras de acceso exclusivo para usuarios autorizados;
Entrega/Traslado:
Realizar toda entrega de documentación que contenga información
secreta/confidencial en sobre cerrado. Asimismo, establecer mecanismos
que permitan asegurarle al remitente de la documentación que ésta fue
recibida por el destinatario correspondiente;
Divulgación a terceros:
Instrumentar convenios de confidencialidad con los terceros que deben
acceder a información de la empresa.
Destrucción:
Destruir toda información secreta y sus correspondientes soportes físicos
cuando se considere no vigente y se discontinúe su utilización y/o
conservación.
103
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
o Aplicar los parches (hot fixes, service packs) que publican los proveedores de
software en todos los equipos. Para ello se recomienda el uso de algún
software de distribución según la cantidad de máquinas a actualizar;
• Estandarización de servidores:
La configuración de seguridad de los equipos puede ser tediosa, pero es
necesaria.
En todos los casos una práctica muy recomendada es eliminar el acceso dial up a
los servidores.
104
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
• Limpieza de la memoria:
Cada vez que el sistema se cierra se deben limpiar las páginas de memoria
virtual;
• Apagado seguro:
105
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Los grupos son conjuntos de usuarios. Por lo general se crean grupos para
identificar a los usuarios que realizan una misma tarea.
En cambio, si los permisos son otorgados por grupo, simplemente alcanza con
eliminar al usuario del grupo y asignarlo al nuevo, con la automática asignación
de permisos del grupo al que pertenece.
En general es útil crear grupos por áreas de trabajo o sectores dentro de las
áreas donde todos los usuarios que pertenecen a ese sector acceden con los
mismos permisos a los recursos informáticos de la empresa.
106
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
En una empresa con Help Desk, una operación (ABM) sobre una cuenta de
usuario deberá registrarse como un caso y llevarse a cabo según lo
establecido en el correspondiente Procedimiento de Administración de
Usuarios y Recursos.
o Cuentas de servicios:
Son cuentas de usuarios no personales que se crean con fines específicos:
107
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
108
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
o Tiempo mínimo que debe transcurrir antes de reutilizar una password (por
ejemplo, un año);
o Cantidad mínima de contraseñas distintas antes de reutilizar una. Es una
variante del control anterior, utilizada para el mismo fin;
o Determinar si debe ser cambiada obligatoriamente la primera vez que el
usuario ingrese al sistema;
• Administración de Usuarios:
Garantizar que todos los usuarios posean los privilegios mínimos necesarios para
la realización de su tarea.
Las prácticas recomendadas para las cunetas de usuarios son las siguientes:
109
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Mapa de Usuarios
110
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Realizar una periódica revisión de los permisos otorgados sobre le file system y
sobre los recursos.
Un control básico consiste en restringir los permisos para los grupos genéricos, e
ir otorgándolos individualmente o por grupo según la necesidad.
111
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
o Toda cuenta de usuario que haya intentado cuatro (4) veces el acceso al
sistema en forma fallida y consecutiva, debe ser automáticamente bloqueada;
112
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Ejemplo:
113
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Para ello se debe establecer una serie de controles sobre la lógica de los logs, y
sobre la tecnología que los soporta.
114
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
o Definición de eventos:
Para aquellos entornos que gestionen información sensible se deberán definir
los eventos de seguridad que requieren monitoreo;
o Control de logs:
El Oficial de Seguridad debe controlar periódicamente las pistas de auditoría,
con el objetivo de detectar alertas e informar la ocurrencia de las mismas a
los responsables de la administración de la seguridad de la información, con el
propósito de definir e implantar las acciones correctivas necesarias para evitar
o limitar la repetición del hecho.
o Estadísticas de eventos:
El Oficial de Seguridad deberá generar informes con las estadísticas de los
eventos críticos detectados, a fin de tomar las acciones correctivas
correspondientes, cuando la frecuencia de repetición o el impacto lo
justifiquen;
115
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Para este fin se propone la elaboración de una tabla que refleje la asignación de
permisos sobre los activos lógicos por perfil y por usuario.
PERFILES USUARIOS
AUTORIZADOS
CÓDIGO DESCRIPCIÓN AUTORIZADOS PERMISOS CRITICIDAD
116
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Con esta facilidad es muy útil la creación de grupos de usuarios por área o sector,
según la funcionalidad de la tarea que realizan.
o Una actualización;
o Un cambio de plataforma;
o Agregados de funcionalidad.
Por ejemplo, cuando se actualiza el software antivirus, que es una tarea ardua ya
que muchos programas no permiten que las actualizaciones sean instaladas por
usuarios sin permisos de administrador, éste es el que debe pasar máquina por
máquina instalando el software.
117
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
118
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Aquí se presenta un registro para llevar ese control de forma ordenada: el Inventario
de Backup.
Inventario de Backup
119
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
CÓDIGO: Código de 7 dígitos que rotula la copia de seguridad. Sirve para identificar
unívocamente cada copia.
Formato: BKPNNNN
Donde N representa un número, que crecerá correlativamente para identificar los
backups;
FECHA: Fecha en que se realizó la copia de seguridad;
TIPO:
• Incremental;
• Normal;
• Diferencial;
• Diaria;
• Copia.
A/S:
• A: Append: si los backups se van concatenando en el medio físico;
• S: sobreescritura: Si los backups son reemplazados por la nueva copia.
MEDIO: Medio físico en el que se realiza la copia. Ej: Cinta#1, Cinta#2;
PASSWORD: Contraseña de cifrado de la copia.
120
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
121
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
122
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Oficial de Seguridad
El Oficial de Seguridad es quien tiene a su cargo la definición y el
mantenimiento del marco normativo y el asesoramiento a todo el personal de
la compañía para su implantación.
En relación a esta función, es responsable de:
Implantar un programa de concientización permanente de usuarios sobre
la seguridad de la información y su mantenimiento a futuro;
Mantener actualizada la normativa de seguridad y la lista de todos los
Dueños de los Datos/ Delegados;
Dar soporte a los involucrados en los procesos de:
- Definición de los Dueños de los Datos/ Delegados;
- Identificación de la información sensible;
- Identificación de las medidas de seguridad necesarias en cada sistema
para cumplir con la normativa;
- Implantación de dichas medidas;
Asistir al Administrador de Seguridad en la implantación de la normativa
de seguridad informática;
Efectuar el control de los principales eventos que afecten la seguridad de
la información y la posterior comunicación y asistencia a los Dueños de los
Datos / Delegados y demás responsables en:
- Identificación del problema;
- Análisis del impacto;
- Definición de acciones a llevar a cabo;
123
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Administrador de Seguridad
Se define como tal a la persona que tiene a su cargo la ejecución de las
medidas de seguridad en algún equipo de procesamiento, servicio y/o
aplicación.
Sus principales responsabilidades relacionadas con la protección de la
información son:
Administrar todas las solicitudes de alta, baja y modificación de permisos
relacionados con los accesos de los usuarios a los respectivos equipos y
aplicaciones;
Implantar en los sistemas todos los parámetros definidos en las normas,
procedimientos y estándares específicos;
Asistir a los usuarios en las tareas relacionadas con la protección de los
datos;
Analizar e informar cualquier evento que atente contra la seguridad
informática, así como controlar periódicamente que solamente los usuarios
autorizados posean acceso a los recursos.
Operador Responsable
Se establecen como Operadores Responsables de la información a:
Los responsables de los archivos centralizados de la información en
soportes (escritos en papel o electrónicos);
Los responsables de los Centros de Procesamiento de Datos o de los sitios
donde se encuentren los equipos de procesamiento centralizado, de
comunicación y/o de almacenamiento;
Sus principales responsabilidades son:
Implantar las medidas de seguridad física definidas para la protección de
la información en la normativa correspondiente;
124
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Comité de Cambios
Planificar, priorizar, autorizar y coordinar las tareas a realizar por los
distintos involucrados ante la necesidad de realización de cambios de
sistemas en producción;
Definir los criterios sobre los cuales se realiza la evaluación de impacto y
criticidad de los cambios;
Liderar los procesos de cambio a realizar ante situaciones de emergencia;
Evaluar periódicamente el registro de los cambios realizados en los
sistemas de producción, a fin de ajustar los criterios de evaluación,
planificación y priorización de tareas.
Usuarios
Se considera como tales a todos los sujetos que hacen uso de los equipos,
servicios y aplicaciones y de la información de la empresa, para poder cumplir
con sus respectivas tareas.
Son sus responsabilidades:
Cumplir con todas las medidas de seguridad definidas en el Manual de
Seguridad;
Resguardar los soportes de información que conserven en su poder, según
lo establecido en el Procedimiento de Tratamiento de la Información;
Firmar el Compromiso de Confidencialidad de la Información.
Esto significa que la mayoría de los ataques a los sistemas informáticos son
perpetrados por el propio personal que trabaja actualmente en la empresa, o que
ha trabajado con anterioridad. Estas son personas con envidia, codicia o ex
empleados que desean vengarse por haber sido despedidos, o por otras
desconformidades.
Es por esto que se aconseja tomar medidas preventivas acerca de esta realidad:
125
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
o Mínimo privilegio:
A cada usuario se le debe otorgar el mínimo privilegio que necesita para
realizar su actividad;
o Conocimiento parcial:
Las actividades críticas de la organización deben ser conocidas y realizadas
por varias personas competentes para que puedan respaldarse en caso de
incidencias como accidentes o viajes. No centralizar el conocimiento de datos
críticos en una sola persona, por ejemplo el conocimiento de la contraseña del
administrador debe ser compartido con al menos 2 personas de confianza;
o Rotación de funciones:
Para evitar la complicidad de dos responsables, o evitar el mutuo sabotaje si
están enemistados;
o Separación de funciones:
La separación de funciones es un método usado para reducir el riesgo de mal
uso, accidental o deliberado del sistema.
Separar la gestión o ejecución de ciertas tareas o áreas de
responsabilidad, a fin de reducir las oportunidades de modificación no
autorizada o mal uso de la información o los servicios;
Evitar que una sola persona tenga la responsabilidad total de la seguridad
de la empresa;
126
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
127
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Todos estos datos pueden ser interceptados por intrusos que los modifiquen o
simplemente saquen provecho de forma fraudulenta de esa información.
128
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Se deben controlar:
o La autorización de grabación de comunicaciones telefónicas o
teleconferencias;
o La forma en que se distribuye la información, por ejemplo a través de
comunicados generales o boletines corporativos;
o El proceso de recepción de correspondencia y su distribución;
o Restricción en el uso de determinadas instalaciones;
129
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Para más detalles sobre el manejo de incidencias ver la etapa 6.1 de la MAEI.
Una vez elaborado el plan de Aseguramiento, el cliente debe dar su aprobación para
su implantación.
Como todo proyecto, debe estar acompañado del apoyo del nivel gerencial y de los
responsables directos involucrados.
130
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
El proceso de aprobación variará según las costumbres y políticas del cliente, pero en
todos los casos va acompañado de la asignación de un presupuesto a invertir en los
recursos asignados en la planificación.
131
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
4 IMPLANTACIÓN
Contenido:
132
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
133
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
A su vez, y como en todo este trabajo, este capítulo se divide en etapas que
describen tareas.
Cada una tiene un objetivo específico e individual, que contribuye en parte a lograr el
objetivo de la fase, que es la implantación de las medidas de seguridad planificadas.
134
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Más allá de la interdependencia entre etapas, la fase debe interpretarse como una
unidad en la que se pretende materializar las medidas planificadas para lograr el
aseguramiento del entorno.
El Inventario de Activos aquí propuesto pretende llevar una contabilidad de los bienes
de la organización en cuestión, clasificándolos según el nivel de protección que cada
uno necesita, según la valorización de los responsables.
Se hará distinción entre los elementos físicos o tangibles (como las instalaciones) y
los lógicos o intangibles (como la información).
• Elementos de hardware:
o Equipamiento informático: monitores, módems;
o Equipos de comunicaciones: routers, PABXs, hubs, switches, etc;
o Medios magnéticos: cintas y discos removibles;
135
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
• CPUs:
Se establece una distinción del resto de los elementos de hardware para su fácil
identificación:
o Procesadores, computadoras portátiles.
• Elementos de software:
o Sistemas operativos;
o Software de aplicaciones;
o Software de sistemas;
o Herramientas de desarrollo;
o Utilitarios.
• Servicios:
o Servicios informáticos;
o Servicios de comunicaciones;
o Servicios generales (calefacción, iluminación, energía eléctrica, aire
acondicionado).
• Datos:
o bases de datos;
o archivos;
o documentación de sistemas: manuales de usuario, material de capacitación,
procedimientos operativos o de soporte, planes de continuidad, documentos
de alcance, de diseño, de pruebas, etc.;
o información archivada.
• Backups:
Se hace especial mención de los elementos de recuperación de información,
para su correcta administración, actualización y control y como apoyo al
documento de Administración de Backups [3.1.2.4]
136
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Por ejemplo:
137
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
RESP.: Es la persona que se hace cargo del elemento cuando ocurre un incidente en
el que esté involucrado.
Para elementos de hardware este campo puede dejarse en blanco, salvo que el
elemento sea alquilado y tenga una fecha de baja preestablecida, y para los
elementos de software se considerará la fecha en que la información contenida en el
archivo pierda validez, o se realice la depuración correspondiente.
Formato: dd/mm/aaaa
Este nivel de criticidad será asignado en el Inventario de Activos una vez hecho el
correspondiente Análisis de Criticidades y la posterior Clasificación de la Información.
Por el momento, se sugiere dejar este campo vacío y completarlo una vez pasadas
las etapas mencionadas.
Para más detalles en cuanto al Análisis de Criticidades ver el apartado 4.1.2 de esta
Tesis.
138
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
• A: Significa que el activo ha sido dado de alta y efectivamente forma parte del
inventario actual de la organización;
• B: Indica que el activo existió, y fue dado de baja;
• M: El activo ha sido modificado (pero sigue en uso).
139
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Este mecanismo es muy útil para proteger la información contra hurtos y sabotajes.
Un ejemplo claro es el caso de las cintas de backup. Si una cinta de backup contiene
una indicación clara de la información que contiene, su criticidad, la fecha en que se
realizó, etc, es susceptible de ser un blanco de codicia por parte de intrusos
hambrientos de información.
Es mucho más fácil para un delincuente extraer de la empresa una cinta de backup
que una CPU, y más fácil aún que penetrar las barreras de seguridad lógica de la red.
La forma en que se rotulen los activos puede ser muy variada, pero para hacer esto
se deberá desarrollar un estándar que indique claramente cómo se realizará esta
identificación, si se utilizará una nomenclatura distinta de la del inventario de Activos,
para lo cual se deberá establecer la relación entre el código registrado en el
Inventario y el asignado al medio físico.
Mucho más práctico es utilizar el código asignado en el Inventario de Activos que fue
diseñado con el fin de otorgar una descripción al personal que maneja los bienes en
su labor diaria, pero que no aporta información sobre su contenido y clasificación a
personas ajenas al manejo de estos códigos.
140
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
• La autenticidad;
• La disponibilidad;
• La integridad.
141
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Cuanto mayor sea el nivel con que se clasifique la información, mayor será el riesgo
de la misma y por ende los controles que se ejerzan sobre ella para protegerla.
Los gerentes de las áreas o de las divisiones, que son Dueños de los Datos, tienen la
responsabilidad primaria de clasificar la información y protegerla adecuadamente. La
clasificación de datos y los procedimientos de manejo especial se usan para proteger
los datos de divulgaciones no autorizadas.
Cada Dueño de los Datos debe identificar toda la información que se genera dentro
del área que maneja, en todas sus formas y medios, tales como:
142
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Entre los modelos más utilizados está el siguiente, en el que la información se puede
clasificar en tres categorías:
Se trata de toda aquella información que puede presentar mayores riesgos para
la Compañía, y que sólo debe ser utilizada por el Dueño de los Datos y las
personas expresa y directamente autorizadas por él en forma específica.
Por ejemplo:
o Políticas de largo alcance;
o Fórmulas críticas que no llevan protección de patentes;
o Planes de fusión y adquisición.
En otros casos, se utilizan modelos de más niveles de detalle, en los que se incluyen,
además de los anteriores, los siguientes:
143
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
• Uso Interno: relacionada con la operatoria diaria, como por ejemplo planes de
viajes y reuniones, iniciativas de proyectos, distribución física de usuarios y
recursos, precios y demarcaciones.
Para establecer una clasificación es necesario realizar el paso previo según esta
metodología, que consiste en hacer un análisis de la criticidad de los Activos lógicos y
físicos. Ver 4.1.2 Análisis de Criticidades.
Asimismo, el Dueño de los Datos debe identificar los riesgos a los cuales está
expuesta su información, teniendo en cuenta la posibilidad de que personal interno
y/o externo realice:
• Divulgación no autorizada;
• Modificación indebida;
• Destrucción de los soportes.
144
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
El Manual de Seguridad está formado por la Política de Seguridad, las Normas, los
Procedimientos, los Instructivos y Estándares técnicos.
General
Política de Seguridad
Normas
Particular
145
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Procedimientos Estándares
Las Normas son también leyes pero más puntuales que las políticas. Las Normas
generalmente tratan temas específicos a alto nivel.
Los Procedimientos, en cambio, bajan el nivel a una serie de pasos a seguir, siempre
independientemente de la plataforma con que se trabaje.
Debe prestar especial atención en esto, ya que la Política y las Normas son
enunciadas con un carácter exclusivamente imperativo, ya que son leyes a cumplir
algunas veces por gran parte del personal y en su mayoría por todos.
La forma en que se enuncien las oraciones será crucial para las futuras auditorías, al
momento de verificar el cumplimiento de las Normas.
146
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
En nuestro país, por tal motivo se utilizan frases del tipo: “Se deben implementar
medidas de restricción de acceso al CPD” para enfatizar la obligatoriedad de la
Norma.
4.3.2.1.1 Definición
La política de Seguridad contiene los principios de seguridad sobre los cuales deben
basarse las normas, procedimientos y estándares detallados. Debe ser conocida y
acatada por todos y cada uno de los miembros de la organización, y debe ser
concebida bajo el total consentimiento y apoyo de la gerencia.
147
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
• Autorización: Garantizar que todos los accesos a datos y/o transacciones que
los utilicen, cumplan con los niveles de autorización correspondientes para su
utilización y divulgación;
148
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
4.3.2.2.1 Definición
Una Norma es toda definición concreta sobre cada uno de los temas de seguridad que
luego serán adaptados a cada servicio informático en forma específica.
149
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Un Marco Normativo completo (y útil) está compuesto por Políticas, Normas y sus
respectivos Procedimientos, Instructivos y Estándares.
A nivel físico
150
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
• Comunicaciones;
• Correo electrónico;
• uso de Internet;
• Uso de antivirus;
• Seguridad física;
• Seguridad del entorno, centros de cómputos (CPDs), oficinas, escritorios, etc.
• Backup;
• Separación física de ambientes de procesamiento: controles y documentación;
• Destrucción de Información;
• Destrucción de la información contenida en distintos soportes magnéticos,
borrado seguro y eliminación de medios impresos.
• Utilización de equipos;
• Utilización de celulares;
• Recuperación del Entorno ante Desastres;
• Administración de la Seguridad de Acceso;
• Reinicio de sistemas;
Para procesos críticos, de tiempo real o que poseen un lato nivel de
disponibilidad, los cuales deben ser reiniciados bajo condiciones específicas y
siguiendo procedimientos especiales.
• Eliminación segura de salidas de tareas fallidas;
Se establecen las pautas para terminar procesos o tareas de las que dependen
otras, o de las que se esperaba un resultado.
A nivel lógico
151
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
A nivel de la organización
• Responsabilidades de Seguridad;
• Licencias legales de Software;
• Auditoria de Sistemas;
• Administración y respuesta ante Incidencias;
• Denominación de responsables sobre los activos de la empresa;
• Identificación y registro de cambios en el sistema (ver 5.3 Control de Cambios);
• Procedimiento de aprobación formal de los cambios propuestos;
• Comunicaciones a usuarios;
• Puestas Operativas: Reglas para la transferencia de software desde el ambiente
de desarrollo hacia el ambiente de prueba y al de producción;
• Procedimiento de ABM de usuarios.
152
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Los roles dentro de esta organización deberán ser algunos de los siguientes:
Una norma muy importante que jamás debe faltar en ningún entorno informatizado
es la que regula la administración de usuarios.
153
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Norma de Backup
Procedimiento de Backups
154
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
155
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
4.3.2.3.1 Definición
• Clasificación de la información;
• Definición de los dueños de la información;
• Definición de los Responsables de Datos, Seguridad y Administradores;
• Publicación de la Política, Normas, Procedimientos, Estándares, Esquemas y
Manuales de usuario;
• Capacitación de los usuarios finales e informáticos en el tema;
• Adaptación de sistemas operativos, servicios y aplicaciones;
• Creación y actualización de inventarios, registros e informes (ver 4.2 Clasificación
de la información);
• Acondicionamiento físico del Centro de cómputos y sitios donde se encuentren los
equipamientos;
• Revisión del plan de copias de respaldo, medios físicos y lugar en los que se
conservan los mismos;
156
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Luego de la elaboración de la Política de Seguridad, ésta debe ser validada con los
responsables de referencia y aprobada por el nivel gerencial de la compañía.
Las normas deben ser validadas por los responsables de las áreas afectadas, pero no
necesitan la aprobación gerencial ya que éstas se ajustan a los principios enunciados
en la Política General, y conforman el instrumento por el cual se implementan tales
lineamientos.
157
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
158
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
En los casos en que sea preciso una capacitación formal, como en los aspectos
técnicos, se debe garantizar la adquisición de los conocimientos necesarios para
poder implementar las Normas correspondientes, proveyendo a los usuarios de los
medios educativos adecuados (cursos, manuales, bibliografía, etc)
Cada tarea desarrollada en esta etapa implica un período de pruebas o revisión de los
controles efectuados. Así, por ejemplo luego de efectuar una restricción de permisos
de usuarios se debe realizar una revisión sobre los accesos para verificar su correcta
asignación, y una prueba de acceso a los recursos para detectar excesos de
autorización o restricciones que no permitan desarrollar el trabajo normal del usuario
afectado.
159
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Dado que un proyecto de esta clase puede tener una magnitud considerable en un
entorno amplio, se sugiere realizar las revisiones y pruebas necesarias luego de
finalizada cada subetapa, correspondiente a los niveles antes mencionados.
Revisiones y pruebas
Luego de realizar los cambios o controles, se realizan las revisiones y pruebas
pertinentes sobre equipos de procesamiento, equipos de comunicación, dispositivos
electrónicos, unidades de cinta, etc.
Protección de la información
En esta parte se procede a proteger la información del entorno como activo
fundamental del negocio.
160
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Revisiones y pruebas
Una vez realizados los cambios o controles, se realizan las revisiones y pruebas sobre
las aplicaciones, el software de base como sistemas operativos y bases de datos y los
datos.
Protección de la organización
Se realiza la implantación de medidas correctivas y preventivas sobre la estructura
de la organización, sobre los roles y responsabilidades de los individuos involucrados
con el entorno, el comportamiento de los empleados en la oficina, etc.
Revisiones y pruebas
Siempre luego de realizar los cambios o controles, se realizan las revisiones y
pruebas para asegurar un control interno adecuado, y que no surgieron incoherencias
generadas por las medidas aplicadas.
161
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
De esta forma es crucial contar con un plan para sostener el flujo de los negocios
ante emergencias que imposibiliten el uso de los recursos de computación o del
entorno completo.
162
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
163
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Para alcanzar este tipo de operación, es posible que haya que considerar una
suspensión programada de alcance total o parcial de las prestaciones, para lo cual
es necesario acotar el tiempo de interrupción al mínimo indispensable, y que
preferentemente sea imperceptible por los usuarios.
En función del impacto producido por la suspensión de las prestaciones del entorno
informatizado, se determina la criticidad y el tiempo máximo de tolerancia de corte
de las mismas.
Los documentos que registran las criticidades los organizamos en tablas llamadas:
Tabla de Criticidades por Equipo, Tabla de Criticidades por Servicios y Tabla de
Criticidades por Aplicaciones.
164
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Sistema Tolerancia
Operativo Máxima
# Equipo Función Impacto
Sistema Tolerancia
Operativo Máxima
# Equipo Función Impacto
165
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
166
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
# Aplicación Proveedor Plataforma Descripción Criticidad Período Parada Proced. Interde- Usuarios
Crítico Máxima Alternt pendencias
# Aplicación Proveedor Plataforma Descripción Criticidad Período Parada Proced. Interde- Usuarios
Crítico Máxima Alternt pendencias
1 MANTEC Datastream Windows NT Sistema de Media Fin de mes 2 días --- Almacén,
para la mantenimient procesos,
publicación o preventivo Mantenimiento.
de la de maquinas.
aplicación de
la Base de
Datos Oracle.
167
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Ante una situación de desastre se debe tener en claro cuál debe ser la prestación
mínima que debe recuperarse de manera prioritaria, para preservar la
continuidad del negocio.
Los riesgos considerados para el plan de recuperación ante desastres, son aquellos
que presentan una probabilidad de ocurrencia no despreciable en función de las
características del entorno:
• Ubicación geográfica;
• Características meteorológicas de la región;
• Características generales del edificio;
• Condiciones ambientales;
• Equipamiento alojado;
• Condiciones de acceso;
• Condiciones de las oficinas contiguas.
En función del impacto producido por una contingencia, se definen 3 grandes tipos
de desastres:
168
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
El ES presenta las distintas alternativas al cliente quién decide por cuál opta.
169
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
El PRED suele ser requerido por auditorías, por lo que a veces el cliente se ve
presionado por las fechas y se decide dejar ciertos elementos fuera del Alcance.
170
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
El ERED tiene como fin determinar y asignar distintas responsabilidades para lograr
una exitosa recuperación del entorno ante una emergencia, según el Plan (PRED)
establecido.
Para ello se establecen ciertas pautas que las personas que lo componen deben
cumplir:
171
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
172
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
ECU ERC
EDEC
ERS ERH
• Dirigir y coordinar las actividades del resto de los equipos que conforman el
Equipo de Recuperación del Entorno ante Desastres;
• Realizar las declaraciones de los distintos estados: emergencia, contingencia y
reestablecimiento de las condiciones normales;
• Determinar el nivel de desastre producido por una contingencia: total o mayor,
parcial, menor;
• Elaborar los planes de recuperación de las prestaciones y reestablecimiento de
las condiciones normales;
• Controlar la ejecución de los planes, detectar desvíos y realizar los ajustes de
los planes en función de los inconvenientes, problemas y errores hallados
durante la aplicación de los mismos;
• Interactuar con personal de mantenimiento para la resolución de contingencias
físicas del Centro de Cómputos.
• Identificar los elementos de hardware que hayan sido dañados por una
contingencia;
• Coordinar con los proveedores de hardware el cumplimiento de los contratos de
mantenimiento, garantías y niveles de soporte;
• Participar en las instalaciones de sistemas operativos que realicen los
proveedores;
173
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
• Identificar los servicios, procesos, bases de datos y aplicaciones que hayan sido
afectados por una contingencia;
• Instalar, configurar y ajustar todo el software que haya sido afectado por una
contingencia.
174
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Más allá del alcance del PRED, se deben especificar procedimientos claros que
ayuden a alcanzar el reestablecimiento de las condiciones normales del entorno
informatizado.
• Abarca desde la detección del desastre hasta que el mismo es comunicado a los
afectados;
• Durante el mismo no se procede a recuperar nada, simplemente se evalúa los
daños causados;
• Se encuentra conformado por los siguientes sub-procedimientos:
o Respuesta inicial ante la detección de un siniestro o contingencia;
o Evaluación del nivel de desastre;
o Notificación de la emergencia.
175
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
176
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
5 ESTABILIZACIÓN
Contenido:
177
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Es por eso que en esta etapa uno de los objetivos es verificar la evolución del
entorno a partir de los cambios propuestos, y realizar los ajustes necesarios para
corregir errores, adecuar los controles y minimizar las diferencias entre el Plan y la
Implantación de la solución.
Todo Plan sufre cambios continuos a través del tiempo, que deben acompañar la
transformación del entorno. Estos cambios deben ser considerados dentro del Plan
de Aseguramiento, en los distintos modelos propuestos para cada etapa.
En particular los modelos que deberán revisarse al menos una vez por año para su
adaptación a los cambios son:
• Informe de Riesgos;
• Mapa de Usuarios;
• Mapa de Red;
• PRED.
178
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
5.2 Ajuste
La etapa de ajuste está dedicada a realizar ajustes sobre el Plan de Aseguramiento
según los resultados obtenidos y analizados en la etapa anterior de esta misma fase
y los inconvenientes o nuevos requerimientos que pudieran surgir en la etapa de
implantación.
También, a medida que se implantan los controles para asegurar el entorno, surgen
nuevos requerimientos susceptibles a ser considerados en una segunda etapa de
Aseguramiento.
Se debe considerar siempre en esta disciplina que los avances científicos son muy
rápidos, y se deben considerar las nuevas soluciones tecnológicas ofrecidas en el
mercado, que pueden traducirse, muchas veces, en cambios funcionales y en las
técnicas procedimentales de implantación.
Los puntos de control que necesiten cambios, mejoras o los que surjan durante el
proyecto se tomarán en cuenta para completar y adaptar el Plan de aseguramiento
para una segunda implementación, delimitando nuevamente su Alcance, que podrá
reducirse a aplicar solamente los cambios surgidos en esta etapa para lograr un
completo aseguramiento del entorno.
179
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Se deberá dejar constancia de que el usuario fue informado respecto de las Políticas
de Seguridad, y su completa comprensión, y su conformidad respecto de su
cumplimiento.
Para todas las técnicas de capacitación aquí presentadas, y las que se escapan a
este trabajo, se sugiere contar con una fuerte documentación que pueda ser
consultada por los usuarios, acompañada por gráficos y todo tipo de material que
colabore al rápido aprendizaje e incorporación de los conceptos de seguridad.
180
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
5.4.1.1 Temario
A continuación se presenta un temario básico de capacitación general que deberá
ser analizarlo para aplicar en detalle los temas que correspondan según las Políticas
aplicadas en la empresa objetivo:
1. Qué es la información?
Explicar qué se entiende por información, sus diferentes formas, cómo se genera,
dónde y cómo se puede guardar, y su valor para la empresa. Esto último se
relaciona directamente con el nivel de confidencialidad de información que se
maneje en el negocio dependiendo de sus características.
2. Qué es la Seguridad.
Presentar el concepto de Seguridad, sus implicancias y sus consecuencias.
3. Intrusos y amenazas.
Definir los intrusos externos e internos, sus amenazas y formas de presentación.
Los usuarios deben estar consientes de este peligro y deben conocer su alcance e
implicancias.
181
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Los usuarios deben conocer la diferencia entre los distintos elementos del Manual
de Seguridad como la Política General, las Normas y procedimientos y demás
documentos técnicos, su responsabilidad y las posibles consecuencias sobre el
incumplimiento de las mismas.
8. Soluciones Tecnológicas:
• Firewalls;
• Antivirus;
• Sistemas de Detección de Intrusos;
• Redes Virtuales (VPN);
• Sistemas de Backup;
• Plan de Recuperación del Entorno ante Desastres (PRED).
9. Formación en Seguridad
Evaluar la posibilidad de capacitación en temas específicos de seguridad, tanto
técnicos como funcionales para los distintos roles y niveles jerárquicos de la
empresa.
10. Responsabilidades:
Administradores de Seguridad y nuevas responsabilidades.
El rol de cada usuario.
182
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
6 MANTENIMIENTO
Contenido:
183
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Durante la vida del entorno ocurren incidencias y cambios que deben ser analizados
y documentados, así como también se deben llevar a cabo controles periódicos y
aplicar las correspondientes actualizaciones para mantener un nivel confiable de
seguridad en el entorno.
Las incidencias pueden ser de muchos tipos. Entre ellos se encuentran los eventos
de mantenimiento, los pedidos de reparación de hardware y servicios de los
usuarios, nuevos requerimientos de los usuarios, errores en los datos e incidencias
de seguridad.
184
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
La información fluye en los distintos ámbitos de las empresas. Para nuestro estudio
nos concentraremos en el entorno informatizado que pretendemos asegurar.
• Un ente informante que entregue el resultado del manejo del incidente al ente
denunciante.
185
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
186
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Receptor –Derivador
(Help Desk
Denunciante o Atención Oficial de
(Usuario) al Cliente) Responsable Seguridad
Deriva
Registra el
denuncia de
incidente
incidente
Analiza el
incidente
Incidente Sí
Analiza el
grave de
incidente
seguridad?
No
Toma medidas
para prevenir Toma medidas
el incidente en para prevenir
el futuro el incidente en
el futuro
Tiene Sí
solución?
No
Informa
medidas
preventivas
Cierra caso de
tomadas y
Help Desk
acciones a
tomar por el
usuario
Se notifica del
cierre del caso
Informa cierre
y de las
de caso Resuelve el
medidas a
tomar incidente
Informa
solución del
Cierra caso de incidente y
Help Desk medidas a
tomar por el
usuario
Se notifica del
cierre del caso Informa cierre
y de las de caso
medidas a exitoso
tomar
187
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
El Oficial de Seguridad debe mantener una lista de contactos actualizada sobre las
personas que deberán ser notificadas ante la ocurrencia de incidencias de
seguridad.
6.1.3 Documentación
188
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Todos estos datos deben ser completados con el mayor detalle posible por el
usuario afectado, salvo el campo correspondiente al número de incidente, que
deberá ser completado por el responsable.
189
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
REPORTE DE INCIDENCIAS
UBICACIÓN FÍSICA:
_____________________
FIRMA DEL DENUNCIANTE
_____________________
FIRMA DEL RESPONSABLE
190
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
191
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Todas las evidencias deberán ser recolectadas en una manera consistente utilizando
técnicas apropiadas que garanticen la autenticidad, integridad, exactitud y
veracidad de las mismas. Las evidencias físicas deben ser conservadas en una
forma segura, tal como guardarlas en una caja fuerte.
192
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
193
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
6.1.8 Investigación
El Oficial de Seguridad debe garantizar que todas las incidencias de seguridad sean
analizadas en función de la causa de origen, a fin de prevenir la ocurrencia de
incidencias similares en el futuro y de mejorar la metodología de respuesta ante
incidencias en función de lo aprendido durante la resolución de los mismos.
194
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Se deben considerar cambios que afecten cualquier elemento del entorno, como:
Los cambios deben pasar por un circuito de autorizaciones desde que nace el
requerimiento hasta que se implanta el cambio.
Desde un punto de vista macroscópico, se podría decir que un cambio pasa por
cuatro estados durante su vida:
195
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Una vez que un requerimiento nuevo o cambio es solicitado, deben existir varios
niveles de aprobación.
Inicialmente, el jefe del sector o área de trabajo del usuario solicitante, debe
analizar la coherencia y factibilidad del cambio solicitado, para su aprobación.
• Planificar, priorizar, autorizar y coordinar las tareas a realizar por los distintos
involucrados ante la necesidad de realización de cambios de sistemas en
producción;
• Definir los criterios sobre los cuales se realiza la evaluación de impacto y
criticidad de los cambios;
• Liderar los procesos de cambio a realizar ante situaciones de emergencia;
• Evaluar periódicamente el registro de los cambios realizados en los sistemas de
producción, a fin de ajustar los criterios de evaluación, planificación y
priorización de tareas.
196
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Las siguientes son las responsabilidades de las personas que forman el comité de
cambios:
• Usuario solicitante:
o Detectar mejoras a implantar en el entorno, ya sean cambios de
configuraciones, mejoras de performance, mejoras de operatoria, mejoras
de estética, etc;
• Analista de aplicaciones:
o Analizar que los cambios a realizar en el entorno no afecten la funcionalidad
del mismo, evaluando no solo el impacto sino también la criticidad;
o Planificar e implantar el cambio, y en caso de ser necesario realizar las
pruebas adecuadas y las acciones necesarios para volver a atrás en caso
que se produzca alguna contingencia durante la implantación en producción;
o Mantener actualizada la documentación de configuración de los sistemas;
• Oficial de Seguridad:
o Evaluar el impacto de los cambios para que no se realicen cambios en
configuraciones que estén en contra de la normativa de seguridad.
197
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Fase de Análisis
198
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Comité de cambios
(coordinación)
Reciben la solicitud de cambio de configuración. Registro de la solicitud en
Administrador de la el Formulario de Control
Analizan todos los elementos del entorno que podrían infraestructura técnica
Identificar la necesidad real del de Cambios
verse afectados por el cambio solicitado. (responsable)
cambio y las implicancias en el Documentación técnica
03 Una vez comprendidos todos los factores afectados por resto de los sistemas de la Administrador de base de datos del cambio a realizar junto
el cambio, se realiza una evaluación del posible impacto Compañía. (responsable) con todos los sistemas
y la criticidad que tendrá el cambio solicitado.
Analista de aplicaciones afectados y el evaluación
(responsable) del impacto
Comité de cambios
En función al análisis realizado se determinada si el (coordinación)
cambio podrá ser aplicado o no.
Administrador de la
Algunos de los motivos por los cuales no se aplicará infraestructura técnica
un cambio solicitado son: (responsable)
- No recomendado por el proveedor. Documentación con las
04 - Costos no aceptados. Administrador de base de conclusiones del
- Alto impacto y muy pocos beneficios. datos (responsable) análisis realizado
Analista de aplicaciones
En caso que el cambio no se vaya a implantar, se (responsable)
continúa en el paso # 20.
Oficial De Seguridad
(implicado)
Comité de cambios
(coordinación)
Identifican todas las actividades necesarias para realizar
el cambio, entre las que se encuentran: Administrador de la
infraestructura técnica
Identificación exacta de los cambios a realizar. Determinar las tareas a realizar Plan de implantación del
05 (responsable)
Identificación de los sectores involucrados en el cambio. para realizar el requerimiento cambio
Administrador de base de datos
Identificación del momento más adecuado para realizar (responsable)
el cambio.
Analista de aplicaciones
(responsable)
199
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Comité de cambios
(coordinación)
Luego de la planificación de las actividades a realizar
Administrador de la
para implantar los cambios, se determina la necesidad
infraestructura técnica
de realizar pruebas previas en entornos no productivos
06 (responsable)
antes de realizarlos en producción.
Administrador de base de datos
En caso de no ser necesarias las pruebas se continúa en
(responsable)
el paso # 11.
Analista de aplicaciones
(responsable)
Fase de Pruebas
Administrador de la
Definen las pruebas unitarias e integrales que se deben infraestructura técnica
realizar para garantizar que los cambios realizados sean (responsable) Documentación con el
Prever adecuadamente las
los adecuados y no generen inconvenientes a los detalle de las pruebas a
07 actividades a realizar durante la Administrador de base de datos
sistemas vigentes. realizar junto su
ejecución de las pruebas (responsable)
planificación
Planifican la realización de las pruebas identificadas. Analista de aplicaciones
(responsable)
Administrador de la
infraestructura técnica
(responsable)
Ejecutan las pruebas según la planificación realizada
Identificar los problemas que Documentación con el
08 oportunamente, identificando los problemas que se Administrador de base de datos
pueden ocasionar los cambios. resultado de las pruebas
suscitan y las posibles causas. (responsable)
Analista de aplicaciones
(responsable)
Administrador de la
infraestructura técnica
(responsable)
Si las pruebas no han sido satisfactorias, continúan en
09 Administrador de base de datos
el paso # 20.
(responsable)
Analista de aplicaciones
(responsable)
200
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Comité de cambios
(coordinación)
Otorgan la aceptación formal a la realización de los Administrador de la
cambios planificados en el entorno de producción. infraestructura técnica Documentación formal de
Infundir la toma de
(responsable) la aceptación de la
10 responsabilidad en las decisiones
implantación del cambio
tomadas. Administrador de base de datos
En caso de ser necesario modifican las especificaciones en producción
realizadas en la etapa de planificación. (responsable)
Analista de aplicaciones
(responsable)
Fase de Implantación
Comité de cambios
Identifican todas las actividades necesarias para realizar (coordinación)
el cambio y todas las precauciones a considerar antes
de realizarlo a fin de poder volver atrás sin mayores Administrador de la
inconvenientes. infraestructura técnica
Coordinar las tareas entre todas (responsable) Plan de implantación del
11
las áreas. cambio
Administrador de base de datos
Adicionalmente se planificará con todos los (responsable)
Administradores y Analistas involucrados el momento
más adecuado de implantación. Analista de aplicaciones
(responsable)
Administrador de la
infraestructura técnica Documentación de las
Ejecutan todas las tareas identificadas en la Concientizar a los administradores (responsable) configuraciones anteriores
planificación para realizar la vuelta atrás en las de la necesidad de contar con un del entorno y
12 Administrador de base de datos
modificaciones de configuración en caso de existir algún plan de recuperación ante una documentación de las
(responsable)
inconveniente. contingencia. acciones para volver al
Analista de aplicaciones estado inicial.
(responsable)
201
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Administrador de la
infraestructura técnica
(responsable)
Si las tareas previas a la implantación del cambio en
13 producción no se han podido realizar, no se realizará el Administrador de base de datos
cambio y se continúa en el paso # 20. (responsable)
Analista de aplicaciones
(responsable)
Administrador de la
infraestructura técnica
(responsable)
Ejecutan las tareas acordadas en la planificación,
Implantar los cambios en Configuración implantada
14 realizando previamente la notificación a los usuarios Administrador de base de datos
producción. en producción
afectados en caso de ser necesario. (responsable)
Analista de aplicaciones
(responsable)
Administrador de la
infraestructura técnica
(responsable)
Si los cambios de configuración de los sistemas en
15 producción han sido satisfactorios se continúa en el Administrador de base de datos
paso # 17. (responsable)
Analista de aplicaciones
(responsable)
Administrador de la
infraestructura técnica
(responsable)
Ejecutan todas las tareas planificadas para la vuelta a la Documentación de las
Conservar el entorno productivo
16 configuración inicial de los sistemas, y continúan en el Administrador de base de datos acciones de vuelta atrás
en caso de contingencia.
paso # 20. (responsable) realizadas
Analista de aplicaciones
(responsable)
202
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Comité de cambios
(coordinación)
Administrador de la
Asegurarse de que los sistemas infraestructura técnica Documentación formal de
Aceptan formalmente la implantación del cambio de (responsable)
17 continúan funcionando la aceptación de la
configuración realizado.
correctamente Administrador de base de datos solución realizada
(responsable)
Analista de aplicaciones
(responsable)
Administrador de la
infraestructura técnica
(responsable) Documentación
Identifican y actualizan toda la documentación de los Mantener vigente la actualizada de las
18 Administrador de base de datos
sistemas involucrados en el cambio de configuración. documentación. configuración de los
(responsable)
sistemas
Analista de aplicaciones
(responsable)
Criticidad
203
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
0
2 Comunica No 4
el cambio Se aplicará el cambio?
a realizar
Sí
0
5
Planifican el cambio
0
6 No
Requiere pruebas?
Sí
0
7
Definen y planifican pruebas necesarias
0
Pruebas
8 Ejecutan pruebas
0
No 9
Pruebas OK?
Sí
1
0
Autorizan realización del cambio
1
1
Definen y planifican tareas para realizar el cambio
1
2 Ejecutan tareas previas para permitir una vuelta
atrás
1
3
No
Tareas previas OK?
1
Sí
4
Implantan el cambio
Implantación
1
No 5
Cambio OK ?
1 Sí
6
Ejecutan tareas de vuelta atras
1
7
Aceptan formalmente el cambio
1
8 Actualizan documentación
1
9
2 Registran el cambio
0
Fin
204
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
El objetivo de este registro es dejar asentados los datos de la persona que realizó el
requerimiento (usuario solicitante), las autorizaciones correspondientes, los
requisitos para su implantación en el entorno productivo y la aceptación del
responsable del sitio vivo y el personal del área usuaria.
NÚMERO: FECHA:
Nombre:
Puesto:
Departamento:
Sede/Sucursal:
Ubicación (Ciudad/País):
E-mail:
Teléfono:
Tamaño:
Menor (menor de 50 usuarios afectados)
Medio / grande (más de 50 usuarios afectados)
Motivo:
Alta
Modificación
Baja
Descripción:
205
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Responsable:
3. SERVICIO(S) AFECTADO(s)
Aplicación(es):
Infraestructura:
Observaciones:
4. PRUEBAS
Resultados esperados:
Responsable:
Aprobación:
5. CANCELACIÓN Y RECUPERACIÓN
Procedimientos de recuperación:
Notificación:
6. AUTORIZACIONES
_______________________ _________________________
Firma del usuario Firma del Jefe del
Solicitante departamento
206
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
7. AUTORIZACIONES ADICIONALES
_______________________ _________________________
Nombre Firma
_______________________ _________________________
Nombre Firma
Observaciones:
_______________________ _________________________
Nombre Firma
207
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
208
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
209
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Por lo que en este trabajo se ofrece una forma de llevar a cabo este control de
cambios de activos mediante un documento con forma de tabla, donde se registra
todo cambio realizado en el sistema ya sea a nivel físico o lógico:
Tiene directa relación con el Inventario de Activos ya que ABM Activos hace
referencia a los activos registrados de la compañía.
ACTIVOS
RELACIONADOS
FECHA CÓDIGO ABM CAUSA
210
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
• A: Alta;
• B: Baja;
• M: Modificación;
CAUSA: es una descripción de la razón por la que el elemento sufrió el ABM en
cuestión.
ACTIVOS RELACIONADOS: En este campo se deben mencionar los activos que se
ven afectados por el cambio, por ejemplo unidades de hardware en que se ubicaba
un elemento de software al que se le da de baja.
En el ABM Activos:
ACTIVOS
RELACIONADOS
FECHA CÓDIGO ABM CAUSA
En el Inventario de Activos:
211
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
En la tabla de ABM Activos está indicado con azul el código del activo que ingresó
en el documento para registrar un cambio.
En el campo ABM se indica la eliminación del activo ingresando una “B”, se indica la
causa de la baja y los activos relacionados: HW0024 (indicado en verde, la
unidad de cinta que lo contenía) y BK0174 (el nuevo backup que reemplaza al
eliminado, indicado en rojo)
En este caso se trata de una baja, lo que significa que el activo dejará el estado A
(dado de Alta) para pasar al estado B (dado de Baja). Esto se debe ver reflejado en
el Inventario de Activos.
212
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Esta sirve no solo para ordenar y organizar la instalación, sino para controlar el
comportamiento de las máquinas actualizadas.
213
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
V. CONCLUSIÓN
Con este análisis logramos formalizar una metodología práctica, y factible para
convertir entornos informatizados inseguros en entornos protegidos, y lograr una
clara evaluación de los mismos.
214
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Estos son los documentos asociados a las distintas tareas que desarrollamos en
esta metodología:
A su vez este análisis se puede reducir a un nivel o dos, según el deseo del cliente y
su presupuesto.
• Plan de Trabajo: ofrece una organización del proyecto con las tareas a realizar
con su duración aproximada y los recursos destinamos a cada una;
215
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
216
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
o Instructivos;
• Comunicados: medios escritos por los cuales se informan los usuarios y
empleados;
• Presentaciones: medios por los cuales se capacita a los usuarios y empleados;
• Documentación de Capacitación: documentos que sirven para la capacitación de
los usuarios y empleados;
• Tabla de Criticidades por Equipo: documento que sirve para establecer las
criticidades de los equipos del entorno;
• Tabla de Criticidades por Servicio: documento que sirve para establecer las
criticidades de los servicios del entorno;
• Tabla de Criticidades por Aplicación: documento que sirve para establecer las
criticidades de las aplicaciones del entorno;
• PRED: Plan de Recuperación del Entorno ante Desastres: establece las medidas
a tomar para prevenir catástrofes y recuperar el entorno una vez ocurridas,
preservando los objetivos del negocio:
o Procedimiento de Declaración de la Emergencia: conjunto de tareas a
realizar ante un acontecimiento que afecte las prestaciones del entorno;
o Procedimiento de Recuperación de las Prestaciones: tareas a realizar una
vez declarada la emergencia, para recuperar el funcionamiento en
emergencia de los equipos y servicios
o Procedimiento de Reestablecimiento de las Condiciones Normales: tareas a
realizar una vez recuperadas las prestaciones en contingencia, para
recuperar el funcionamiento normal de los equipos y servicios;
• Informe de Implantación: documento con los detalles del avance del proyecto
de aseguramiento del entorno y de los cambios realizados;
• Informe de Cierre de Implantación: es un documento que contiene los detalles
de los resultados del proyecto de aseguramiento del entorno y de los cambios
realizados;
• Manual de Procedimientos sobre Reporte de Incidencias: manual que capacita a
los usuarios en el proceso de reporte de incidencias de seguridad en el entorno;
• Reportes de Incidencias: documento que se utiliza para registrar las incidencias
ocurridas en el entorno;
• Registro de Incidencias: es un documento que recompila todas las incidencias
ocurridas y las centraliza para su posterior análisis y estudio estadístico;
• Formulario de Control de Cambios: es un documento que creamos con el fin de
registrar todos los requerimientos de cambios surgidos en el entorno, y su
prueba e implantación;
217
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
218
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
VI. BIBLIOGRAFÍA
219
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
o http://xforce.iss.net/
.
• [10laws-MS] Microsoft Technet. The Ten Immutable Laws of Security. 2003
o http://microsoft.com/technet/colums/security/assays/10imlaws.asp
220
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
221
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
2 Relevamiento.
2.1 Elaboración del Relevamiento General.
2.2 Elaboración del Relevamiento de Usuario.
2.3 Análisis de vulnerabilidades.
2.4 Análisis de Riesgos.
3 Planificación .
3.1 Elaboración del Plan de Aseguramiento.
3.2 Aprobación del Plan de Aseguramiento.
4 Implantación.
4.1 Elaboración del Relevamiento de Activos.
4.2 Clasificación de la Información.
4.3 Elaboración/ adaptación de la Normativa de Seguridad.
4.4 Publicación de la Normativa de Seguridad.
4.5 Implantación del Plan de Aseguramiento.
4.6 Elaboración del Plan de Recuperación del Entorno ante Desastres (PRED).
5 Estabilización.
5.1 Análisis de resultados.
5.2 Ajuste.
5.3 Cierre de la implantación.
5.4 Capacitación de usuarios.
6 Mantenimiento.
6.1 Control de incidencias.
6.2 Control de cambios.
222
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Esta sección describe cómo se deben tratar los datos de entrada: “Los datos de
entrada en sistemas de aplicación deben ser validados para asegurar que son
correctos y apropiados. Los controles deben ser aplicados a las entradas de las
transacciones de negocios, datos permanentes (nombres y direcciones, límites de
crédito, números de referencia al cliente) y tablas de parámetros (precios de venta,
tasa de impuestos, índice de conversión de dinero).” También especifica controles
de procesamiento interno, asegurando que “el diseño de aplicaciones debe asegurar
que las restricciones se implementen para minimizar los riesgos de fallas de
procesamiento, conducentes a una pérdida de la integridad.” Y controles en los
datos de salida.
223
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
La sección “Seguridad de los archivos del sistema” trata el control del software
operativo y la protección de los datos de prueba del sistema. Los relevamientos que
forman parte de esta tesis se efectúan según lo dispuesto en la Ley Orgánica
española 15/1999, de 13 de Diciembre, de Protección de datos de carácter
personal, en adelante LOPD y Real Decreto 994/1999, de 11 de Junio, por el que se
aprueba el Reglamento de Medidas de Seguridad (en adelante RMS) de los archivos
automatizados que contengan datos de carácter personal.
Para validar la forma de realización de los cambios se han considerado los puntos
referidos en la sección “Seguridad de los procesos de desarrollo y soporte”.
Cobit
Objetivos de Control para la Información y Tecnologías - 2000, emitido por
el Comité directivo del Cobit y la Information Systems audit. and Control
Fundation
224
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Cobit es un estándar que pretende conciliar el negocio con los recursos (personas,
aplicaciones, datos, tecnología, instalaciones) del ambiente de IT, haciendo énfasis
en la organización y en la planificación.
Define 34 procesos de IT que considera como unidades controlables, sobre los que
establece objetivos de control. Éstos se agrupan en cuatro dominios:
• Planificación y organización
• Adquisición e implantación
• Entrega y soporte
• Monitorización
Cobit define 318 objetivos detallados que involucran a todas las áreas de la
empresa.
• Planificación y organización:
• Adquisición e implantación:
225
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
• Entrega y soporte:
En el análisis de la administración de la seguridad informática se estudiaron los
objetivos de control de “Garantía de la seguridad de los sistemas”.
• Monitoreo:
Los objetivos agrupados en “Evaluación de la idoneidad del control interno” se
consideran a la hora de evaluar la coherencia, efectividad y adecuación del control
interno.
MAGERIT
Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información de las Administraciones Públicas
• Activos
• Amenazas
• Vulnerabilidades
• Impactos
226
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
• Riesgo
• Salvaguardas
Estos seis elementos son estudiados durante todo el proceso que presentamos en
nuestra metodología de revisión de aplicaciones, donde se realiza el relevamiento
que abarca, entre otras cosas, la evaluación de la aplicación a revisar como activo
lógico de la organización, y los elementos relacionados con ésta como bases de
datos y otras aplicaciones, para pasar a la etapa donde se identifican las amenazas,
las vulnerabilidades y se estudia su riesgo asociado, para finalmente recomendar la
mejor salvaguarda que corresponda.
227
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Autorización: Garantizar que todos los accesos a datos y/o transacciones que los
utilicen, cumplan con los niveles de autorización correspondientes para su
utilización y divulgación.
228
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
229
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Firewall (cortafuegos): Dispositivo que se coloca entre una red local e Internet y
cuyo objetivo es asegurar que todas las comunicaciones entre los usuarios de dicha
red e Internet se realicen conforme a las normas de seguridad de la organización
que lo instala.
Gateway (pasarela): Punto de una red que actúa como punto de entrada a otra
red.
230
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Legalidad: Asegurar que toda la información y los medios físicos que la contienen,
procesen y/o transporten, cumplan con las regulaciones legales vigentes en cada
ámbito.
231
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
232
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
Spooled data: Datos en cola de espera. Los mismos pueden hallarse en dicha
situación para su ingreso o su salida, impresión.
233
Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.
234