Está en la página 1de 64

I.P.N.

U.P.I.I.C.S.A.

SEGURIDAD INFORMTICA

Adrin Palma,CISSP,CISA,CISM,CRISC,BSA adrian.palma@integridata.com.mx adrian palma@integridata com mx


Agosto, 2011

Contenido

1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

INTRODUCCION A LA SEGURIDAD INFORMATICA SEGURIDAD DE PERSONAL SEGURIDAD FISICA SEGURIDAD DE DATOS SEGURIDAD DEL SW DE APLICACIONES SEGURIDAD DEL SW DEL SISTEMA SEGURIDAD EN TELECOMUNICACIONES SEGURIDAD EN PC`s y LANs SEGURIDAD DEL CENTRO DE COMPUTO SEGURIDAD EN INTERNET

1. INTRODUCCION A LA SEGURIDAD INFORMTICA

Conceptos p

SEGURIDAD
Es la proteccin de los activos: - Personas - Instalaciones - Informacin - Equipo q p - Software - Accesorios - Medios de Comunicacin - Capacidades de Cmputo - Dinero

Conceptos p

Propsito de un Sistema de Seguridad


Reducir la probabilidad de prdida, a un nivel mnimo aceptable, a un costo razonable, y asegurar la adecuada y pronta recuperacin

Conceptos p

Definicin de Seguridad Informtica Seguridad Informtica

Es la Proteccin de la informacin y los activos relacionados con su captacin, p , almacenamiento, transmisin, proceso, distribucin y uso uso

Situaciones que afectan la Seguridad Informtica 1/2 q g /


1. No existe una funcin formal de Seguridad Informtica en la organizacin. organizacin 2. Las debilidades en la Seguridad Informtica se ven como problemas tcnicos y no como riesgos del negocio. 3. Problemas de comunicacin entre el personal de seguridad informtica y el personal Gerencial de la organizacin. 4. La Seguridad Informtica es considerada un requerimiento de menor prioridad en comparacin con los requerimientos financieros y operacionales. 5. Falta de un programa de motivacin y entrenamiento al personal para llevar a cabo buenas prcticas de seguridad. 6. El personal no est consciente de las polticas, procedimientos, guas, estndares y sanciones relacionados con la seguridad informtica de la organizacin.

Situaciones que afectan la Seguridad Informtica 2/2

7. La propiedad y responsabilidad sobre los datos y/o aplicaciones no est establecida claramente. t t bl id l t 8. El procedimiento de contratacin de empleados no incluye un adecuado proceso de Investigacin previa sobre ellos. 9. El proceso de terminacin de la relacin laboral de un empleado, no es llevado a cabo en forma adecuada y completa. 10. 10 Los incidentes de fraude, robo y desfalco relacionados con un fraude sistema computarizado no son reportados a las instancias legales. 11. 11 La seguridad auditabilidad control mantenibilidad y facilidad de seguridad, auditabilidad, control, uso, no son consideradas con la importancia debida, durante el desarrollo y mantenimiento de las aplicaciones. 9. No se tienen establecidos objetivos y estndares para el desarrollo, mantenimiento y operacin de las aplicaciones.

Objetivos de la Seguridad Informtica

1. 1

Proteger y conservar los activos de la organizacin de riesgos de desastres naturales o actos mal intencionados. Asegurar la capacidad de supervivencia de la organizacin ante eventos que pongan en peligro su existencia. Proveer el ambiente que asegure el manejo adecuado de datos y programas. Asegurar la confidencialidad, integridad y disponibilidad de los datos y programas.

2. 2

3.

4.

Poltica de Proteccin de Informacin


Una Poltica tpica debe incluir los siguientes puntos: * La L proteccin de la informacin relativa al negocio t i d l i f i l ti l i es una responsabilidad bsica de la Gerencia Los Gerentes son responsables de identificar y proteger todos los activos de informacin dentro de su rea asignada de control gerencial p q p Los Gerentes son responsables de certificar que todos sus empleados entienden su obligacin de proteger los activos de informacin de la empresa p p p Los Gerentes son responsables de implantar procedimientos de seguridad y recuperacin en caso de desastre que sean consistentes con la poltica de la empresa y el valor de los activos. Los Gerentes son responsables de vigilar las desviaciones de lo establecido en las prcticas de seguridad y de iniciar las acciones correctivas

Responsabilidades sobre la Seguridad de la Informacin

DIRECTORES/GERENTES PROPIETARIOS USUARIOS INFORMATICA ADMON DE SEGURIDAD SEGURIDAD FISICA AUDITOR

Responsabilidades en la Seguridad Informtica 1/4 p g /

Responsabilidades de la Alta Gerencia 1. Establecer objetivos de seguridad y emitir polticas de seguridad. 2. Establecer formalmente la funcin de Seguridad Informtica. 3. Establecer un Comit de Seguridad Informtica. 4. Monitorear l f la funcin d Seguridad Informtica de d d f

Responsabilidades en la Seguridad Informtica 2/4 p g /

Responsabilidades de la Gerencia de Informtica. 1. Llevar a cabo un anlisis y evaluacin de riesgos e implantar las medidas de proteccin adecuadas 1. Emitir estndares, procedimientos y guas sobre seguridad informtica. 2. Establecer un Programa para la Clasificacin y proteccin de datos, programas y aplicaciones de acuerdo a su sensitividad e importancia importancia. 3. Emitir boletines y publicaciones relacionadas con la seguridad. 4. Asegurar que las Aplicaciones sean controladas y auditables. 1. Monitorear continuamente la seguridad.

Responsabilidades en la Seguridad Informtica 3/4 p g /


Responsabilidades de la Gerencia Usuaria. 1. 1 Consultar al personal de seguridad sobre mtodos de proteccin adecuados adecuados. 2. Incluir la participacin del personal de seguridad en el desarrollo y mantenimiento de aplicaciones. 1. Calendarizar continuos programas de entrenamiento sobre seguridad. 2. Notificar al rea de seguridad sobre la terminacin de la relacin laboral de cada empleado que est en esta situacin. 1. Estimular a los empleados a respetar la confidencialidad de los datos y la informacin. 1. Desarrollar un Programa de Retencin de Registros Vitales. 2. Desarrollar Planes alternos para continuar trabajando en caso de falla del equipo de cmputo o cualquier otro malfuncionamiento del sistema. 1. 1 Entender el rol del usuario en la administracin y confidencialidad de las Passwords.

Responsabilidades en la Seguridad Informtica 4/4 p g /

Responsabilidades del Auditor Interno.


1. Efectuar auditoras peridicas a la seguridad informtica. 2. Participar en el anlisis de riesgos. 3. Participar en el proceso de desarrollo y mantenimiento interno de software de aplicaciones as como en el proceso de evaluacin, adquisicin e instalacin de paquetes de software de aplicacin. q p q p 1. Participar en el proceso de seleccin de Hardware y Software de sistemas de seguridad.

Responsabilidades en la Seguridad Informtica

LA PROTECCION DE LOS ACTIVOS DE INFORMACION ES RESPONSABILIDAD DE TODOS !!!!

reas de la Seguridad Informtica

1. 1 Seguridad relacionada con el personal 2. Seguridad Fsica 3. 3 Seguridad de Datos 4. Seguridad del Software de Aplicaciones 5. Seguridad del Software del Sistema 6. Seguridad en Telecomunicaciones g 7. Seguridad en PCs y LANs.
8.

Seguridad del Centro de Cmputo

9. 9 Seguridad en INternet

2. 2

SEGURIDAD RELACIONADA CON EL PERSONAL

Seguridad relacionada con el p g personal

Alcance. Al Polticas, procedimientos y prcticas para la contratacin de empleados y terminacin de la relacin laboral laboral. Programas de concientizacin de los empleados sobre la seguridad.

Seguridad relacionada con el p g personal


Objetivos. Asegurar el establecimiento de polticas, estndares, procedimientos y guas para que el personal desempee sus funciones y actividades adecuadamente, de tal manera que se reduzcan los riesgos potenciales (ejem robo fraude desfalco) que (ejem.robo, fraude, resultan de contratar personal no calificado, deshonesto o con antecedentes cuestionables. Asegurar la observancia continua del personal en las buenas prcticas de seguridad informtica. Asegurar el establecimiento de un sistema de registro de las actividades del personal sobre el sistema y recursos de cmputo y que permita conocer las consecuencias de acciones impropias. Asegurar el acceso controlado, de agentes de riesgo, al sistema de cmputo, cmputo equipo perifrico datos programas archivos y bases de perifrico, datos, programas, datos para minimizar la vulnerabilidad potencial.

Seguridad relacionada con el p g personal


Guas y Tcnicas de control 1/2 1. Efectuar una completa verificacin de los antecedentes de los candidatos a contratar. 1. Establecer unas claras polticas y procedimientos para el proceso de terminacin de la relacin laboral con empleados. 1. Establecer un adecuado programa de administracin de passwords e identificaciones de usuarios. 1. Entrenar al personal informtico en aspectos de seguridad informtica. 2. Rotar a los empleados clave involucrados en el manejo de entrada y salida de datos del sistema computarizado. 1. Mantener una adecuada separacin fsica de responsabilidades entre funciones incompatibles tales como: operaciones del centro de cmputo, desarrollo, mantenimiento, control de entradas y salidas, control de la red, base de datos, programacin de sistemas, control de la produccin. Asimismo, separar responsabilidades en las reas funcionales usuarias.

Seguridad relacionada con el p g personal

Guas y Tcnicas de control 2/2 7. Si la separacin fsica de responsabilidades no es prctica, establecer una separacin electrnica de responsabilidades mediante el uso de passwords p para el acceso a las funciones del sistema o mediante revisiones gerenciales. g 8. Asegurar que no existan relaciones familiares entre empleados que trabajan en reas sensitivas de la organizacin. 9. Distribuir 9 Di t ib i a cada empleado su descripcin de puesto, donde se defina d l d d i i d t d d d fi claramente sus responsabilidades, la forma en que ser evaluado as como su nivel de autoridad. 7. Asegurar que los empleados tomen sus vacaciones cuando les corresponda. 7 A l l d t i d l d 8. Promover entre los empleados el desarrollo de una conciencia sobre la seguridad informtica.

3. Seguridad Fsica

Seguridad Fsica g
Alcance
Controles de acceso fsico. Control de condiciones ambientales. Proteccin contra incendios, inundaciones y desastres naturales. Procedimientos de emergencia.

Objetivos
1. Asegurar el establecimiento de polticas, estndares, procedimientos y guas de seguridad fsica, que reduzcan los riesgos potenciales de dao y destruccin que resultan del acceso no autorizado a edificios, equipo e instalaciones informticas. 2. Asegurar que slo al personal autorizado se le permita el acceso al centro de cmputo y que todos los visitantes sean acompaados por un empleado responsable de ellos durante su visita. 3. Asegurar que existan controles adecuados para las condiciones ambientales (calor, polvo, humedad, aire acondicionado), que reduzcan el riesgo por fallas o malfuncionamiento del equipo, del SW, de los datos y de los medios de almacenamiento. Controlar el acceso de agentes de riesgo al equipo y sistema de cmputo para acceso, riesgo, minimizar la vulnerabilidad potencial.

4. 4

Seguridad Fsica g
Guas y Tcnicas de Control 1. 1 Requerir que todos los empleados usen su gafete de identificacin identificacin. 2. Establecer una adecuada seguridad fsica sobre el centro de cmputo, terminales, PCs, workstations y la documentacin. 3. Controlar t d l 3 C t l entrada al centro de cmputo. t d t 4. Instalar detectores de metal en las diferentes entradas a las instalaciones. 5. Instalar dispositivos para la deteccin y extincin de fuego. p p g 6. Mantener un inventario del equipo y accesorios de cmputo y realizar verificaciones peridicas. 7. Instalar mecanismos o dispositivos para la vigilancia continua de reas. 8. Instalar controles de respaldo tales como generadores de electricidad que usan diesel. 9. 9 Mantener apropiados controles ambientales para la humedad y el aire acondicionado.

4. Seguridad de Datos

Seguridad de Datos g
Alcance.
Evaluacin de la funcin de seguridad de datos. Administracin de passwords. Clasificacin y proteccin de datos acorde a su grado de sensitividad y criticidad. Definicin y administracin de perfiles de usuario con propsitos de definir sus niveles de acceso. Reportes de integridad de archivos y bases de datos. Manejo, Manejo almacenamiento y disposicin de datos sensitivos o confidenciales almacenados en registros de papel, mecnico o electrnicos.

Objetivos.
1. Asegurar el establecimiento de polticas, estndares, procedimientos y guas de seguridad de g p p g g datos, que reduzcan los riesgos potenciales de modificacin, destruccin o revelacin de datos que resultan del acceso no autorizado a archivos y bases de datos. Asegurar la existencia de un sistema de asignacin de privilegios para el acceso a los datos acorde con la sensitividad de los mismos y las responsabilidades y nivel de autoridad de cada empleado. Asegurar que la creacin y mantenimiento de archivos y bases de datos se realice en forma apropiada y que sea revisada peridicamente. Controlar el acceso, de agentes de riesgo, a las entradas al sistema tales como documentos fuente, formatos, fuente formatos archivos y salidas del sistema tales como reportes y microfichas para minimizar microfichas, la vulnerabilidad potencial.

1. 1. 1.

Seguridad de Datos g
Guas y Tcnicas de Control 1/4 1. 1 Adquirir o desarrollar software de seguridad de control automatizado de acceso. 2. Implantar adecuadas tcnicas de identificacin y autenticacin de usuarios. 3. 3 Establecer los principios de seguridad de menor privilegio y requiere menor privilegio requiere saber. 4. Restringir los privilegios para procesar transacciones desde terminales (agregar, cambiar, borrar, consultar, dar override). 5. Emitir guas para el manejo, almacenamiento y destruccin de registros usados, ya sean registros en papel (cartas, memoranda, documentos y reportes), registros mecnicos (microfichas y microfilms), o registros 6. 6 electrnicos (cintas cartuchos diskettes etc ) (cintas, cartuchos, diskettes, etc.). 7. Implantar un sistema que registre la fecha de la ltima actividad o el ltimo sign-on de un usuario sobre el sistema. 8. Revisar l 8 R i los l d actividad d l sistema, l logs de ti id d del i t los j journals, y reportes d l t de excepcin para detectar violaciones a la seguridad.

Seguridad de Datos g
Guas y Tcnicas de Control 2/4 9. 9 Insertar nombres dummy y direcciones conocidas como trampas en listas de correo relacionadas con sistemas financieros para detectar su uso no autorizado. 10. Instalar controles para el manejo apropiado de datos a travs de todas las fases d operacin d l sistema. f de i del i t 11. Donde sea apropiado y se justifique, aplicar tcnicas criptogrficas para proteger datos confidenciales. 12. Instalar el log-off automtico de las terminales, despus de un perodo de inactividad. 13. Establecer un sistema de convenciones para el etiquetado standard de archivos. 14. Implantar adecuadas tcnicas para el diseo de documentos de entrada y diseo de pantallas. 15. Instalar controles en el log-on / sign-on para prevenir o detectar intentos de log-on impropios o no vlidos.

Seguridad de Datos g
Guas y Tcnicas de Control 3/4 Disear incluir ti Di e i l i rutinas d control para l validacin y edicin d d t en el de t l la lid i di i de datos l software para asegurar la integridad y seguridad de los datos. Producir reportes de imagen anterior y posterior para corregir errores durante el mantenimiento de archivos archivos. Disear reportes de auditora, reportes de control, reportes de antigedad de registros y reportes de excepcin para que sean revisados y analizados por usuarios y auditores auditores. Proveer a los usuarios, para su revisin, reportes de error generados por la aplicacin. Establecer guas para el reinicio y recuperacin de la aplicacin. Disear controles de checkpoint dentro del software de la aplicacin. Establecer un sistema de catalogacin de data-sets archivos y data-set s, procedimientos.

Seguridad de Datos g
Guas y Tcnicas de Control 4/4 Establecer guas respecto a la proteccin de derechos de autor de todo el software y l documentacin. f la d Informar al usuario de cualquier intento no autorizado para adivinar su password. Mantener una adecuada separacin fsica de responsabilidades entre funciones incompatibles tales como: operaciones del centro de cmputo, desarrollo, mantenimiento, control de entradas y salidas, control de la red, base de datos, programacin de sistemas, control de la produccin. Asimismo, Asimismo separar responsabilidades en las reas funcionales usuarias usuarias. Si la separacin fsica de responsabilidades no es prctica, establecer una separacin electrnica de responsabilidades mediante el uso de passwords para el acceso a las funciones del sistema o mediante revisiones gerenciales. Asegurar que no existan relaciones familiares entre empleados que trabajan en reas sensitivas de la organizacin. Distribuir a cada empleado su descripcin de puesto, donde se defina claramente sus responsabilidades, la forma en que ser evaluado as como su nivel de autoridad.

5.

SEGURIDAD DEL SW DE APLICACIONES

SEGURIDAD DEL SW DE APLICACIONES

ALCANCE: Aplicaciones en desarrollo. Administracin del proyecto de desarrollo. Aplicaciones en produccin. Controles de acceso sobre cambios a programas.

OBJETIVOS: (1/2) 1. Asegurar el establecimiento de polticas, estndares, procedimientos y guas de seguridad para el software de aplicaciones que reduzcan los riesgos potenciales de modificacin, destruccin o revelacin de programas que resultan del acceso no autorizado a archivos de programas. 2. Asegurar que el diseo del sistema incluya controles, componentes de auditabilidad y seguridad, as como facilidades para su uso y mantenimiento. (Ejemplo: uso de tcnicas estructuradas en el diseo, programacin y prueba del sistema para proveer una razonable certeza de que el software ser fcil de usar, fcil de mantener, controlado, auditable, flexible, legible y entendible).

SEGURIDAD DEL SW DE APLICACIONES

OBJETIVOS: (2/2) 3. Asegurar que todo nuevo programa sea probado completamente. d b d l 4. Asegurar que toda nueva aplicacin seaprobada completamente, se le apliquen pruebas de aceptacin y/o pruebas de paralelo/piloto, donde los usuarios preparen los datos de prueba y verifiquen los resultados. 5. Asegurar que a los empleados se les restrinja el acceso, a los programas de produccin, de acuerdo a sus descripciones de puesto o sea de acuerdo a sus puesto, sea, responsabilidades y nivel de autoridad establecidos. 6. Asegurar que el mantenimiento a programas y sistemas incluya revisiones y pruebas apropiadas realizadas p los y p p p por usuarios funcionales. 7. Controlar el acceso, de agentes de riesgo, a los productos de la aplicacin tales como listados de programas fuente, especificaciones de programas y diseos, documentacin y diseos formatos de la aplicacin, archivos y bibliotecas de programas fuente y ejecutables, con el fin de minimizar la vulnerabilidad potencial.

SEGURIDAD DEL SW DE APLICACIONES

GUIAS Y TECNICAS DE CONTROL. (1/5) 1. Adquirir o desarrollar software de seguridad de control automatizado de acceso. 2. Implantar adecuadas tcnicas de identificacin y autenticacin de usuarios. 3. Establecer los principios de seguridad de menor privilegio y requiere saber. 4. Restringir los privilegios para procesar transacciones desde terminales (Por ejemplo: capacidad para leer, grabar, ejecutar, copiar, modificar, dar overrides o desplegar programas). 5. Restringir el proceso de programas y el uso de terminales. 6. Instalar controles para el manejo apropiado de datos a travs de todas las fases de operacin del sistema. 7. Disear aplicaciones que requieran la mnima intervencin de los operadores del centro de cmputo. 8. Proveer proteccin criptogrfica apropiada a los programas durante el almacenamiento y transmisin de los mismos. 9. 9 Implantar adecuadas tcnicas para el diseo de documentos de entrada y diseo de pantallas.

SEGURIDAD DEL SW DE APLICACIONES

GUIAS Y TECNICAS DE CONTROL. (2/5) 10. Construir programas modulares estructurados durante el desarrollo y mantenimiento de las aplicaciones. 11. 11 Desarrollar y promover estndares de programacin para el desarrollo y mantenimiento de sistemas. 12. Establecer la funcin de aseguramiento de calidad la cual pruebe e inspeccione independientemente los programas y aplicaciones durante su desarrollo. 13. 13 Simular transacciones sensitivas mediante el reproceso para detectar cambios e impropiedades. 14. Utilizar peridicamente utileras de comparacin de cdigo fuente para detectar cambios e impropiedades. 15. Asegurar que en produccin se usen las versiones correctas de programas. 15 A d i l i t d 16. Probar peridicamente las aplicaciones en produccin para asegurar la integridad de datos. 17. Controlar los cambios a programas para asegurar que slo se hagan cambios autorizados. 18. Comparar peridicamente el uso de los recursos de produccin.

SEGURIDAD DEL SW DE APLICACIONES

GUIAS Y TECNICAS DE CONTROL. (3/5) 19. Disear e incluir rutinas de control para la validacin y edicin de datos en el software de aplicaciones para asegurar la integridad y seguridad de los datos. 20. Aplicar tcnicas de debugging de software (deteccin e implantacin deliberada de ) p pruebas. errores) durante la etapa de p 21. Llevar a cabo revisiones del sistema (Revisiones Estructuradas (Walkthroughs), Inspecciones, Revisiones de fase, peer reviews, etc.). 22. Donde sea aplicable, usar Diccionario de Datos para estandarizar el uso y nombres de los data items . data items. 23. Disear e incluir dentro de la aplicacin, componentes de correccin automtica de errores. 24. Utilizar tcnicas y herramientas de rastreo (tracing) de programas. 25. 25 Aplicar tcnicas de validacin y verificacin de software. software 26. Disear controles de checkpoint dentro del software de la aplicacin. 27. Disear reportes de auditora, reportes de control, reportes de antigedad de registros y reportes de excepcin para que sean revisados y analizados por usuarios y auditores. auditores

SEGURIDAD DEL SW DE APLICACIONES

GUIAS Y TECNICAS DE CONTROL. (4/5) 28. Utilizar monitores de software de terminacin anormal (ABEND) para el ili i d f d i i l( ) l debugging de programas. 29. Utilizar herramientas de debugging para programas interactivos. 30. 30 Utilizar herramientas de debugging para dumps de memoria. memoria 31. Desarrollar y actualizar la documentacin 32. Proveer a los usuarios reportes de error generados por la aplicacin para su revisin. 33. Establecer guas para el reinicio y recuperacin de la aplicacin. 34. Establecer guas respecto a la proteccin de derechos de autor de todo el software y la documentacin. 35. C t l 35 Catalogar todos los datasets, archivos, procedimientos y t d l d t t hi di i t programas. 36. Informar al usuario de cualquier intento no autorizado para adivinar su password.

SEGURIDAD DEL SW DE APLICACIONES

GUIAS Y TECNICAS DE CONTROL. (5/5) 37. Mantener una adecuada separacin fsica de responsabilidades entre funciones incompatibles tales como: operaciones del centro de cmputo, desarrollo, mantenimiento, control de entradas y salidas, control de la red, base de datos, programacin de sistemas, control de la produccin. Asimismo, separar responsabilidades en las reas funcionales usuarias. Si la separacin fsica de responsabilidades no es prctica, establecer una separacin electrnica de responsabilidades mediante el uso de passwords para el acceso a las funciones del sistema o mediante revisiones gerenciales. 38. Asegurar que no existan relaciones familiares entre empleados que trabajan en reas sensitivas de la organizacin. 39. Distribuir a cada empleado su descripcin de puesto, donde se defina claramente sus responsabilidades, la forma en que ser evaluado as como su nivel de autoridad. autoridad

6. SEGURIDAD DEL SW DEL SISTEMA

SEGURIDAD DEL SW DEL SISTEMA

ALCANCE:

Sistemas de Base de Datos. Diccionario de Datos. Sistema operativo. Programas de Utilera. Control de acceso al sistema de cmputo. Control de actividades de System Programmers.

OBJETIVOS: 1. Asegurar el establecimiento de polticas, estndares, procedimientos y guas de seguridad del software del sistema que reduzcan los riesgos potenciales de modificacin, destruccin o revelacin de programas que resultan del acceso no autorizado a archivos de programas. 2. Asegurar que todas los cambios y actualizaciones al software del sistema sean probados ampliamente por los programadores antes de que se les ponga en produccin. 3. Asegurar que se restrinja a los empleados, el acceso a los archivos y programas del sistema, de acuerdo a sus descripciones de puesto, o sea, de acuerdo a sus responsabilidades y nivel de autoridad establecidos. 4. Controlar el acceso, de agentes de riesgo, a listados de programas fuente, programas fuente y ejecutables, archivos del sistema, y bibliotecas de programas fuente y ejecutables, con el fin de minimizar la vulnerabilidad potencial.

SEGURIDAD DEL SW DEL SISTEMA

GUIAS Y TECNICAS DE CONTROL. 1. 1 Proveer proteccin criptogrfica apropiada a los datos y programas confidenciales confidenciales. 2. Proteger del uso no autorizado, a los programas de utilera que desempeen funciones poderosas. q g 3. Adquirir o desarrollar software de seguridad de control automatizado de acceso. 4. Implantar adecuadas tcnicas de identificacin y autenticacin de usuarios. 5. Establecer los principios de seguridad de menor privilegio y requiere saber. 6. R t i i l 6 Restringir los privilegios para accesar el software del sistema desde cualquier terminal. i il i l ft d l i t d d l i t i l 7. Establecer guas para el reinicio y recuperacin del software del sistema. 8. Llevar a cabo auditoras peridicas del software del sistema (sistema operativo, software de interfase, monitores) para determinar su integridad y seguridad. 9. Establecer seguridad en las bases de datos a nivel de segmento o elemento de dato. 10. Establecer guas respecto a la proteccin de derechos de autor de todo el software y la documentacin. 11. Catalogar todos los datasets, archivos, procedimientos y programas.

SEGURIDAD DEL SW DEL SISTEMA

GUIAS Y TECNICAS DE CONTROL. 12. Asegurar que todas las opciones y parmetros de los productos de software del sistema sean instalados apropiadamente. apropiadamente 13. Adquirir o desarrollar un paquete de software que contabilice el uso de los recursos de cmputo en forma automatizada (Job Accounting, SMF, etc.). 14. Informar al usuario de cualquier intento no autorizado para adivinar su password. 15. Asegurar que los empleados tomen sus vacaciones cuando les corresponda. 16. Controlar el acceso al sistema por parte del personal de servicio de mantenimiento de Hardware y/o Software. 17. Mantener una adecuada separacin fsica de responsabilidades entre funciones incompatibles tales como: operaciones del centro de cmputo, desarrollo, mantenimiento, control de entradas y salidas, control de la red, base de datos, programacin de sistemas, control de la produccin. Asimismo, separar responsabilidades en las reas funcionales usuarias. Si la separacin fsica de responsabilidades no es prctica, establecer una separacin electrnica de responsabilidades mediante el uso de passwords para el acceso a las funciones del sistema o mediante revisiones gerenciales. 18. Asegurar que no existan relaciones familiares entre empleados que trabajan en reas sensitivas de la organizacin. 19. Distribuir a cada empleado su descripcin de puesto, donde se defina claramente sus responsabilidades, la forma en que ser evaluado as como su nivel de autoridad.

7.

SEGURIDAD EN TELECOMUNICACIONES

SEGURIDAD EN TELECOMUNICACIONES

ALCANCE: Proteccin del HW de Telecomunicaciones. Proteccin de circuitos de la red. Proteccin del Software de comunicaciones. Seguridad fsica. Control y monitoreo en lnea.

OBJETIVOS: (1/2) 1. Asegurar el establecimiento de polticas, estndares, procedimientos y guas de seguridad en Telecomunicaciones que reduzcan los riesgos potenciales de modificacin, destruccin o revelacin de programas de telecomunicaciones, o destruccin del equipo de la Red, que resultan del acceso no autorizado a equipo, archivos y programas. p g 2. Asegurar que se restrinja el acceso, tanto de localidades remotas como locales de acuerdo con las descripciones de puesto de cada empleado, o sea, de acuerdo a sus responsabilidades y nivel de autoridad.

SEGURIDAD EN TELECOMUNICACIONES

OBJETIVOS: (2/2) 3. Asegurar que todos los cambios y actualizaciones al software de telecomunicaciones sean probadas ampliamente por analistas y programadores de la Red con asistencia de los System Programmers. 4. Asegurar que los todos los usuarios remotos sean positivamente identificados y verificados mediante una combinacin de dispositivos protectores de HW y SW, antes de que se les conecte a los recursos del sistema. 5. A 5 Asegurar que los datos, archivos y programas sensitivos y crticos l d t hi iti ti estn protegidos durante su transmisin de una localidad a otra, mediante una combinacin de mecanismos de HW y SW. 6. Controlar el acceso, de agentes de riesgo, al equipo de la red y a los programas y archivos y que estos sean controlados para minimizar la archivos, vulnerabilidad a intromisiones e interferencias.

SEGURIDAD EN TELECOMUNICACIONES

GUIAS Y TECNICAS DE CONTROL. (1/2) 1. Establecer un grupo de control de la Red Centralizado y separado. 2. Proveer proteccin criptogrfica apropiada a los datos y programas confidenciales. Tener mucho cuidado en la proteccin de las claves usadas en la encripcin. 3. Proteger del uso no autorizado, a los programas de utilera que desempeen funciones poderosas. 4. Administrar un buen programa de User-IDs y Passwords. 5. Establecer guas para el reinicio y recuperacin del software de telecomunicaciones. 6. Considerar el segmentar archivos y bases de datos durante su transmisin, de tal manera que si es recibida por personas no autorizadas,carezca de significado. 7. 7 Donde sea necesa io y se j stifiq e utilizar lneas dedicadas en lugar de lneas pblicas. necesario justifique, tili a l ga pblicas 8. Solicitar que un nmero de identificacin de cada terminal remota sea transmitido al Host o al FEP de comunicaciones con la intensin de que sea validado positivamente. 9. Emplear la tcnica de protocolo call back para la identificacin positiva de un usuario call-back remoto conectado a una lnea de comunicacin conmutada.

SEGURIDAD EN TELECOMUNICACIONES

GUIAS Y TECNICAS DE CONTROL. (2/2) 10. Cambiar frecuentemente el el nmero telefnico, incluyendo el nmero local que da el acceso directo al sistema de cmputo. 11. Monitorear las lneas de telecomunicaciones para detectar condiciones anormales, tales como problemas de balanceo de la carga y volmenes pico de transacciones. 12. Fsicamente proteja el equipo de acceso no autorizado. 13. Mantener una adecuada separacin fsica de responsabilidades entre funciones incompatibles tales como: operaciones del centro de cmputo, desarrollo, mantenimiento, control de entradas y salidas, control de la red, base de datos, programacin de sistemas, control de la produccin. Asimismo, separar responsabilidades en las reas funcionales produccin Asimismo usuarias. Si la separacin fsica de responsabilidades no es prctica, establecer una separacin electrnica de responsabilidades mediante el uso de passwords para el acceso a las funciones del sistema o mediante revisiones gerenciales. g 14. Asegurar que no existan relaciones familiares entre empleados que trabajan en reas sensitivas de la organizacin. 15. Distribuir a cada empleado su descripcin de puesto, donde se defina claramente sus responsabilidades, l forma en que ser evaluado as como su nivel de autoridad. bilid d la f l d i ld id d 16. Establecer guas respecto a la proteccin de derechos de autor de todo el software y la documentacin.

8.

SEGURIDAD EN PC`S

SEGURIDAD EN PC`S

ALCANCE: Controles Administrativos. Controles de Sistema. Controles Fsicos.

OBJETIVOS: (1/2) 1. Asegurar que existen adecuados componentes de seguridad y control, tanto en el HW como en el Sw de PCs y que funcionan de acuerdo a lo especificado. 2. 2 Asegurar que existan controles razonables de integridad de datos en el SW para asegurar que los datos en las PCs estn protegidos y libres de error. 3. Asegurar que exista un adecuado sistema de seguridad en las PCs para p prevenir y/ detectar a usuarios y transacciones no autorizados. y/o

SEGURIDAD EN PC`S

OBJETIVOS: (2/2) 4. Asegurar que los controles de respaldo y recuperacin permitan la continuidad de las operaciones del negocio y del servicio al cliente. 5. Controlar el acceso, de agentes de riesgo, al equipo, a los programas y archivos, para minimizar la vulnerabilidad potencial. 6. Asegurar que los 5 tipos de controles (Directivos, Preventivos, Detectivos, Correctivos y de Recuperacin) as como las 3 clases de controles (Administrativos, de Sistema y Fsicos) se aplican adecuadamente al ambiente de PCs de tal manera que se reduzcan los riesgos potenciales. PC s, potenciales 7. Asegurar que no existan reas sobrecontroladas ni fuera de control en relacin con la seguridad de PCs en trminos de conveniencia, control y costo. 8. Asegurar que el ambiente de seguridad y control sobre las PCs sea PC s razonable y costo-efectivo y que el proceso de control se lleve a cabo de acuerdo a las polticas y procedimientos, estndares y guas sobre seguridad en PCs publicadas en la organizacin.

SEGURIDAD EN PC`S

GUIAS Y TECNICAS DE CONTROL. Controles Administrativos. (1/3) 1. Establecer y supervisar el cumplimiento de polticas, estndares, procedimientos y guas para el correcto uso de la informacin en PCs, en los cules se identifiquen los tipos de informacin que requieren ser protegidos as como las medidas de seguridad y control recomendables. recomendables 2. Promover que las gerencias funcionales usuarias lleven a cabo revisiones de autoevaluacin de controles y seguridad sobre el uso de las PCs de su departamento o funcin. 3. Establecer un programa continuo de entrenamiento sobre el uso de las PCs y el SW de PC, asegurando que cada usuario sea entrenado oportunamente. 4. Colocar anuncios en las diversas reas que prohiban el fumar, beber y comer alimentos junto a las PC`s y promuevan la limpieza en las reas de trabajo as como las prcticas de escritorio limpio. (El humo puede daar los diskettes y cassettes; las partculas de comida o lquidos que caen en el teclado puede provocar cortocircuitos o malfuncionamientos en el HW) 5. Promover prcticas adecuadas para el manejo de diskettes y otros medios de almacenamiento para evitar su dao. mal manejo o uso inapropiado.

SEGURIDAD EN PC`S

GUIAS Y TECNICAS DE CONTROL. Controles Administrativos. (2/3) 6. Promover prcticas adecuadas para la proteccin de los recursos de PC (equipo, diskettes, manuales, reportes, etc.) durante las horas no laborables o cuando estos recursos estn desatendidos desatendidos. 7. Establecer procedimientos para la destruccin de diskettes, microcassettes, manuales y otros documentos cuando ya no son tiles. Asegurar que los diskettes sean cortados en dos o ms partes, y que manuales y documentos sensitivos sean triturados o quemados para prevenir su uso no autorizado. 8. Establecer procedimientos y guas para la obtencin peridica de respaldos de a chi os y programas en diskettes y/o en disco Asimismo establece archivos p og amas /o disco. Asimismo, establecer procedimientos y guas para la recuperacin de archivos y programas. 9. Establecer un programa de mantenimiento preventivo y limpieza de las PC s, PCs, y sus componentes, tanto internos como externos. (ejem: limpiar peridicamente las cabezas lectoras/grabadoras de drives de diskettes y disco para quitar partculas de polvo y basura, las cuales puden daar los datos y los programas).

SEGURIDAD EN PC`S

GUIAS Y TECNICAS DE CONTROL. Controles Administrativos. (3/3) 10. Instalar rutinas que desplieguen en forma peridica la fecha en que se obtuvo el ltimo respaldo, despus del primer sign-on al sistema o despus de bootear el sistema. 11. Prohibir el uso, dentro de las PCs de la organizacin, de SW de dominio pblico el cual es intercamvbiado libremente por usuarios interno y externos, para evitar el contagio de virus. 12. Instalar en todas las PCs, antivirus que detecten y eliminen virus al momento de leer diskettes. 13. Prohibir el downloading de SW de bulletin boards electrnicos cuestionables. 14. Concientizar a los empleados de las consecuencias de copiar ilegalmente SW con derechos de autor. 15. Contratar un seguro de proteccin de HW y SW de PC contra daos por negligencia de usuarios, incendios, inundaciones y desastres naturales. Cuando se justifique, incluir en la cobertura el pago de los costos por recuperacin de datos y programas.

SEGURIDAD EN PC`S

GUIAS Y TECNICAS DE CONTROL. Controles de Sistema. (1/2) 1. Establecer un procedimiento para asegurar que la informacin sensitiva y confidencial en discos que se mandan a reparar, haya sido debidamente eliminada. (No es suficiente con borrar los archivos con los comandos del sistema como erase o delete; el procedimeinto debe incluir la sobregrabacin (overwriting) de ceros y unos, o por un procedimiento de unos magnetizacin (degaussing) y ser verificada con algn programa de utilera de debugging de bajo nivel. 2. Instalar candados de encendido para restringir el acceso a la PC. 3. Donde se justifique instalar procedimientos o sistemas de encripcin de HW o SW para proteger datos sensitivos y confidenciales durante su transmisin o almacenamiento. 4. Vigilar la actividad del personal de mantenimiento o reparacin de HW y SW tanto interno como externo a la organizacin.

SEGURIDAD EN PC`S

GUIAS Y TECNICAS DE CONTROL. Controles de Sistema. (2/2) 5. Restringir la salida de tarjetas y componentes electrnicos de PCs removidos por propsitos de mantenimiento o reparacin, mediante la revisin y it d t i i t i di t l i i autorizacin escrita de personal autorizado. 6. Promover el uso y prueba peridica del dispositivo de Proteccin contra Grabacin que traen los diskettes, para evitar o reducir riesgos de daos accidentales o intencionales a los datos y programas. programas 7. Instalar un sistema de control de acceso a la PC, ya sea de HW o de SW, que permita verificar la identificacin y autenticacin del usuario mediante el uso de USER-ID y Passwords como en el ambiente de mainframes, antes de permitir el acceso al sistema, ya sea para entrada de datos, actualizaciones, respaldo de archivos, consultas o impresin de reportes. 8. Instalar un sistema de control de acceso a la red local de PCs donde stas comparten e intercambian datos.(User-IDs, passwords, etc.). 9. 9 Establecer y probar peridicamente los procedimientos de respaldo y recuperacin de datos, programas y archivos en la Red Local (LAN).

SEGURIDAD EN PC`S

GUIAS Y TECNICAS DE CONTROL. Controles Fsicos. 1. Instalar candados o dispositivos que aseguren el equipo y sus perifricos al escritorio o a la mesa de trabajo, para evitar que sean robados e extrados del trabajo rea en la que deben estar instalados. 2. Promover el uso de fundas de plstico para proteger al equipo cuando no sea usado y evitar que sea daado por fugas de agua. 3. Instalar reguladores y sistemas No-Break para proteger al equipo contra altas descargas de voltaje o cadas de corriente elctrica. 4. Instalar extintores de fuego cerca del equipo. 5. Revisar que los cables de conexin del equipo no estn sobre el piso y al paso del personal que puedan tropezarse o provocar corto-circuitos.

9.

SEGURIDAD DEL CENTRO DE COMPUTO

SEGURIDAD DEL CENTRO DE COMPUTO

ALCANCE: - Operacin del equipo de Cmputo. - Programacin de trabajos en produccin. - Facturacin de servicios. - Actividades de operadores. - JCL (Job Control Language). - Servicios externos. - Centro de Informacin. - Administracin de medios de almacenamiento (discos cintas) y sus respaldos. (discos, respaldos - Administracin de bibliotecas. - Control de acceso al centro de cmputo.

SEGURIDAD DEL CENTRO DE COMPUTO

OBJETIVOS: 1. Asegurar el establecimiento de polticas, estndares, procedimientos y guas de seguridad para el Centro de cmputo que reduzcan los riesgos potenciales de modificacin, destruccin o revelacin de datos y programas, o destruccin del equipo, que resultan del acceso no autorizado a equipo, archivos y programas. 2. Asegurar que se restrinja el acceso al HW, datos, archivos y a los programas de utilera en funcin de la responsabilidad y nivel de autoridad del empleado. 3. Asegurar que se prueben y documenten los planes de contingencia, tales como el plan de respaldo, el plan de recuperacin y el plan de emergencia, para permitir que la organizacin contine operando en caso de interrupciones debidas a incendios, inundaciones o malfuncionamiento del sistema. 4. Asegurar la existencia y adecuado funcionamiento de un progarma de retencin de registros vitales as como que exista un seguro que cubra la proteccin de la organizacin en caso de incendios otros desastres naturales. 5. Controlar el acceso, de agentes de riesgo, al equipo, a los programas y archivos, para minimizar la vulnerabilidad potencial.

SEGURIDAD DEL CENTRO DE COMPUTO

GUIAS Y TECNICAS DE CONTROL. (1/4) 1. Promueva la participacin del personal de operaciones del centro de cmputo en el desarrollo de aplicaciones y principales proyectos de mantenimiento. 2. Rotar empleados clave que manejan datos de entrada y salida de los sistemas computarizados. computarizados 3. Llevar a cabo respaldos peridicos de datos y programas y administrar el programa de registros vitales. 4. Mantener un almacn de papelera, formatos y accesorios para asegurar una p p , p g operacin contnua. 5. Desarrollar un Plan de contingencias y probarlo peridicamente para asegurar su efectividad. 6. Documentar procedimientos d emergencia ( j di i de i (ejemplo: evacuacin, supresin de l i i d conatos de incendio), y probarlos peridicamente para asegurar su efectividad. 7. Contratar un cobertura de seguro suficiente para la proteccin contra interrupciones de servicios y prdidas. 8. Implementar un Programa de Retencin de Registros Vitales. 9. Proteger del uso no autorizado, a los programas de utilera que desempeen funciones poderosas.

SEGURIDAD DEL CENTRO DE COMPUTO

GUIAS Y TECNICAS DE CONTROL. (2/4) 10. 10 Mantener un inventario del equipo de cmputo y accesorios y llevar a cabo inspecciones fsicas peridicas. 11. Emitir guas para el manejo, almacenamiento y destruccin de registros usados, ya sean registros en papel (cartas, memoranda, documentos y reportes), registros mecnicos (microfichas y microfilms), o registros electrnicos (cintas, cartuchos, diskettes, etc.). 12. restringir el uso de programas de aplicacin y el uso de terminales. 13. Establecer un grupo de control y soporte de software para la administracin automatizada de bibliotecas de programas. 14. Controlar documentos negociables y formatos sensitivos. 15. Establecer controles para el manejo apropiado de datos atravs de todo el ciclo de operacin del sistema. 16. Disear aplicaciones de tal manera que requieran la mnima intervencin de los operadores. 17. Utilizar un sistema de administracin de cintas para mejorar la securidad en el manejo de las mismas. 18. Establecer un sistema de convenciones para el etiquetado standard de archivos.

SEGURIDAD DEL CENTRO DE COMPUTO

GUIAS Y TECNICAS DE CONTROL. (3/4) 19. Disear e incluir dentro de la aplicacin, componentes de correccin automtica de errores. 20. Disear controles de checkpoint, reinicio y recuperacin, dentro del software de aplicacin y de base de datos. 21. Asegrar que todos los operadores tomen perodos de vacaciones contnuas de al menos una semana de duracin. 22. Asegurar que todos los empleados tomen sus vacaciones cuando les p corresponda. 23. Asegurar que no existan relaciones familiares entre empleados que trabajan en reas sensitivas de la organizacin. 24. Distribuir a cada empleado su descripcin de puesto, donde se defina claramente sus responsabilidades, la forma en que ser evaluado as como su nivel l bilid d l f l d i l de autoridad. 25. Establecer guas respecto a la proteccin de derechos de autor de todo el software y la documentacin. 26. Catalogar todos los datasets, archivos, procedimientos y programas.

SEGURIDAD DEL CENTRO DE COMPUTO

GUIAS Y TECNICAS DE CONTROL. (4/4) 27. Mantener una adecuada separacin fsica de responsabilidades entre funciones incompatibles tales como: operaciones del centro de cmputo, desarrollo, mantenimiento, control de entradas y salidas, control de la red, base de datos, programacin de sistemas, control de la produccin. Asimismo, separar responsabilidades en las reas funcionales usuarias. Si la separacin fsica de responsabilidades no es prctica, establecer una separacin electrnica de responsabilidades mediante el uso de passwords para el acceso a las funciones del sistema o mediante revisiones gerenciales. 28. Asegurar que todas las opciones y parmetros de los productos de software del sistema sean instalados apropiadamente. 29. Adquirir o desarrollar un paquete de software que contabilice el uso de los recursos de cmputo en forma automatizada (Job Accounting, SMF, etc.). 30. Informar al usuario de cualquier intento no autorizado para adivinar su password. 31. Controlar el acceso al sistema por parte del personal de servicio de mantenimiento de Hardware y/o Software.