Tema 1.2
ELABORA EL PLAN DE SEGURIDAD EN COMPUTO ACORDE CON LOS RIESGOS DETERMINADOS Y ESTANDARE DE PROTECCION.
Contenidos:
A) Analiza
modelos y buenas prácticas de seguridad informática.
*ITIL:
La Biblioteca de
Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information
Technology Infrastructure Library), es un conjunto de conceptos y
prácticas para la gestión de
servicios de tecnologías de la información, el desarrollo de tecnologías de la información y las operaciones relacionadas con la misma en general.
ITIL da descripciones detalladas de un extenso conjunto de procedimientos de
gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia
en las operaciones de TI. Estos procedimientos son independientes del proveedor
y han sido desarrollados para servir como guía que abarque toda
infraestructura, desarrollo y operaciones de TI.
*COBIT:
COBIT (Control Objectives Control
Objectives for Information and related Technology) es el marco aceptado
internacionalmente como una buena práctica para el control de la información,
TI y los riesgos que conllevan. COBIT se utiliza para implementar el gobierno
de IT y mejorar los controles de IT. Contiene objetivos de control, directivas
de aseguramiento, medidas de desempeño y resultados, factores críticos de éxito
y modelos de madurez.
Para ayudar a las organizaciones
a satisfacer con éxito los desafíos de los negocios actualmente, el IT
Governance Institute® (ITGI) ha publicado la versión de COBIT® 4.1
- COBIT es un framework de Gobierno de TI y un conjunto de herramientas de soporte para el gobierno de T.I. que les permite a los gerentes cubrir la brecha entre los requerimientos de control, los aspectos técnicos y riesgos de negocio.
- COBIT hace posible el desarrollo de una política clara y las buenas prácticas para los controles de T.I. a través de las organizaciones.
- COBIT enfatiza en la conformidad a regulaciones, ayuda a las organizaciones a incrementar el valor alcanzado desde la TI, permite el alineamiento y simplifica la implementación de la estructura COBIT.
*SMB:
Server Message Block o SMB es
un Protocolo
de red (que pertenece a la capa de aplicación en el modelo OSI) que
permite compartir archivos e impresoras (entre
otras cosas) entre nodos de una red. Es utilizado principalmente en ordenadores
con Microsoft
Windows y DOS,
Los servicios de impresión y el SMB para compartir
archivos se han transformado en el pilar de las redes de Microsoft, Con la
presentación de la Serie Windows 2000 del software, Microsoft cambió la
estructura incremento continuo para el uso del SMB. En versiones anteriores de
los productos de Microsoft, los servicios de SMB utilizaron un protocolo que no
es TCP/IP para implementar la resolución de nombres de dominio. Comenzando con
Windows 2000, todos los productos subsiguientes de Microsoft utilizan
denominación DNS. Esto permite a los protocolos TCP/IP admitir directamente el
compartir recursos SMB.
SMB fue originalmente inventado por IBM, pero la versión
más común hoy en día es la modificada ampliamente por Microsoft. Microsoft
renombró SMB a Common Internet File
System (CIFS) en 1998 y añadió más características, que incluyen soporte
para enlaces
simbólicos, enlaces duros (hard links), y mayores tamaños de
archivo.
Hay características en la implementación de SMB de
Microsoft que no son parte del protocolo SMB original.
También existe Samba, que es una
implementación libre del
protocolo SMB con las extensiones de Microsoft. Funciona sobre sistemas
operativos GNU/Linux y en
otros UNIX.
B) ANALIZA ESTANDARES
INTERNACIONALES DE SEGURIDAD INFORMATICA.
*BS 17799:
BS 17799 es un código de prácticas o de orientación
o documento de referencia se basa en las mejores prácticas de seguridad de la
información, esto define un proceso para evaluar, implementar, mantener y
administrar la seguridad de la información.
Características
BS 17799 se basa en BS 7799-1 de control consta de 11 secciones, 39 objetivos de control y controles de 134 no se utiliza para la evaluación y el registro de esta tarde fue rebautizado con la norma ISO 27002OBJETIVO.
BS 17799 se basa en BS 7799-1 de control consta de 11 secciones, 39 objetivos de control y controles de 134 no se utiliza para la evaluación y el registro de esta tarde fue rebautizado con la norma ISO 27002OBJETIVO.
*SERIE ISO 27000:
En fase de desarrollo; su fecha prevista de
publicación es Noviembre de 2008. Contendrá términos y definiciones que se
emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de
un vocabulario claramente definido, que evite distintas interpretaciones de
conceptos técnicos y de gestión. Esta norma está previsto que sea gratuita, a
diferencia de las demás de la serie, que tendrán un coste.
*ISO.27001
La ISO 27001 es un Estándar Internacional de Sistemas de Gestión de Seguridad de la Información que permite a una organización evaluar su riesgo e implementar controles apropiados para preservar la confidencialidad, la integridad y la disponibilidad del valor de la información.
El objetivo fundamental es proteger la información de su organización para que no caiga en manos incorrectas o se pierda para siempre.
*ISO.27002
Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO 27002:2005. En España, aún no está traducida (previsiblemente, a lo largo de 2008). Desde 2006, sí está traducida en Colombia (como ISO 17799) y, desde 2007, en Perú (como ISO 17799; descarga gratuita).
Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO 27002:2005. En España, aún no está traducida (previsiblemente, a lo largo de 2008). Desde 2006, sí está traducida en Colombia (como ISO 17799) y, desde 2007, en Perú (como ISO 17799; descarga gratuita).
*ISO.20000
La norma ISO 20000 se concentra en la gestión de problemas de tecnología de la información mediante el uso de un planteamiento de servicio de asistencia - los problemas se clasifican, lo que ayuda a identificar problemas continuados o interrelaciones. La norma considera también la capacidad del sistema, los niveles de gestión necesarios cuando cambia el sistema, la asignación de presupuestos financieros y el control y distribución del software.
La norma ISO 20000 se denominó anteriormente BS 15000 y está alineada con el planteamiento del proceso definido por la IT Infrastructure Library (ITIL - Biblioteca de infraestructuras de tecnología de la información) de The Office of Government Commerce (OGC).
La norma ISO 20000 se concentra en la gestión de problemas de tecnología de la información mediante el uso de un planteamiento de servicio de asistencia - los problemas se clasifican, lo que ayuda a identificar problemas continuados o interrelaciones. La norma considera también la capacidad del sistema, los niveles de gestión necesarios cuando cambia el sistema, la asignación de presupuestos financieros y el control y distribución del software.
La norma ISO 20000 se denominó anteriormente BS 15000 y está alineada con el planteamiento del proceso definido por la IT Infrastructure Library (ITIL - Biblioteca de infraestructuras de tecnología de la información) de The Office of Government Commerce (OGC).
C) DEFINICION DEL PLAN DE SEGURIDAD INFORMATICA
*DESCRIPCION DEL PLAN DE SEGURIDAD INFORMATICA:
El plan de seguridad en
desarrollo, pretende presentar la información sobre los riesgos de tecnología
de información, plantear políticas de seguridad para la empresa y una serie de
etapas con las cuales se llegan a implementar las restricciones y procedimientos
planteados en las políticas, comprendiendo la revisión de las siguientes
funciones al interior del área de sistemas:
-Políticas y procedimientos para administrar los riesgos
de TI.
-Actividades de desarrollo y mantenimiento de sistemas informáticos.
-Seguridad de la información
-Administración de la seguridad de la Información.
-Aspectos de la seguridad de la información (lógica y física).
-Inventario periódico de activos asociados a TI
-Operaciones computarizadas.
-Administración de las operaciones y comunicaciones
-Procedimientos de Respaldo.
-Actividades de desarrollo y mantenimiento de sistemas informáticos.
-Seguridad de la información
-Administración de la seguridad de la Información.
-Aspectos de la seguridad de la información (lógica y física).
-Inventario periódico de activos asociados a TI
-Operaciones computarizadas.
-Administración de las operaciones y comunicaciones
-Procedimientos de Respaldo.
-Planeamiento para la continuidad de negocios
- Auditoria de sistemas.
*DEFINICION DE LOS METODOS DE SEGURIDAD A ALCANSAR EN UN PERIODO DE TIEMPO
ESTABLECIDO.
Integridad
Los componentes del
sistema permanecen
inalterados a menos
que sean modificados por los
usuarios autorizados.
Disponibilidad
Los usuarios deben
tener disponibles todos los
componentes del
sistema cuando así lo deseen.
PRIVACIDAD.
Los componentes del
sistema son accesibles sólo
por los usuarios
autorizados.
CONTROL:
Solo los usuarios
autorizados deciden cuando y
como permitir el
acceso a la información.
Autenticidad
Definir que la
información requerida es válida y
utilizable en tiempo,
forma y distribución.
No Repudio
Evita que cualquier entidad
que envió o recibió
información alegue,
que no lo hizo.
Auditoria
Determinar qué,
cuándo, cómo y quién realiza
acciones sobre el
sistema.
*DEFINICION DE
POLITICA.
·
Definición de políticas de acceso físico a equipos: Al crear perfiles se puedo establecer
las diferentes categorías de acceso deseadas por ejemplo a un "empleado de
mantenimiento" se le podrá restringir las áreas a las cuales tendrá acceso
con horarios limitados, mientras que el perfil de usuario de un
"ejecutivos administrativos" puede crearse con mayores atributos.
Esto les permite a los administradores del sistema que el empleado del aseo no
pueda acceder a la puerta de un área restringida en otro horario que no sea el
que se le asigno en el sistema de control de acceso. Por nuestra experiencia en
la implementación de nuestros sistemas de control garantizamos la perfecta
instalación de nuestros equipos en cualquier tipo de puerta o portón de acceso,
utilizando partes y accesorios de primera calidad de fabricante lideres a nivel
mundial. Nuestros sistemas están desarrollado para utilizar los dispositivos
más avanzados del mercado, por ejemplo las credenciales con las accederá a las
aéreas están dotadas de un microchip inteligente en donde el o los
administradores del sistema podrá almacenar la información necesaria o
requerida para atribuir los accesos a cada colaborador y esto se almacena
directamente en la credencial (ver productos) y adicionalmente lograr alcanzar
un mayor nivel de seguridad, implementando sistemas BIOMÉTRICOS (huella
dactilar, palma de la mano, iris del ojo) dando acceso en forma conjunta con la
credencial inteligente(smartcard).
Control de Acceso Físico: Esta
solución permite el control de los puntos estratégicos de una compañía mediante
equipos que verifican la identidad de las personas en el momento de ingresar a
las instalaciones. Este tipo de control maneja políticas totales o parciales de
acceso, mantiene. Control de tiempo de las personas que realizan transacciones.
Mediante un manejo avanzado credencialización que permite controlar, limitar,
monitorear y auditar el acceso físico. Este tipo de sistema es ideal para
organizaciones que desea controlar una única área restringida o múltiples
puertas de acceso.
- Definición de políticas de acceso lógico
a equipos: Todos
trabajamos a diario con la ayuda inestimable de los ordenadores y de la
informática. Por ello, cuando llegamos a nuestro puesto de trabajo, lo
primero que hacemos es encender el ordenador o el portátil que nos han
adjudicado, esperar a que el sistema arranque y continuar con aquel
informe que debemos terminar o escribir un correo electrónico a un
cliente, en definitiva, comenzamos a trabajar. Somos, por tanto, los
llamados usuarios. Al acceder al sistema e introducir el correspondiente
nombre de usuario y contraseña, nos identificamos y autenticamos en el
sistema, y a continuación accedemos a los documentos, ficheros,
aplicaciones a los que tenemos permiso de acceso, permisos que han sido
implementados por otras personas, a las que llamamos administradores. Pues
bien, en este artículo lo que voy a tratar es de recordar algunas de las
normas habituales de seguridad respecto del acceso a los sistemas de
información, especialmente el acceso por medios electrónicos. Y todo ello
con el objetivo de acercarnos a la tan manida seguridad de los datos en
una organización, es decir, aquel conjunto de controles que tratan de
mantener la confidencialidad, la integridad y la disponibilidad de la
información. Empezaremos por una definición sencilla, ¿qué es el acceso a
un sistema de información? El acceso al sistema en cualquier organización
es la capacidad de realizar una actividad con un recurso informático, por
ejemplo, la capacidad de leer, modificar o eliminar un archivo, ejecutar
un programa etc. ¿Qué tipos de accesos hay? El acceso al sistema, a los
recursos de información, puede ser lógico o físico. Los controles de
acceso (lógicos y físicos) se diseñan para proteger contra la entrada o el
acceso no autorizado. El establecimiento de las reglas debe basarse en la premisa
“está prohibido todo lo que no esté permitido explícitamente”.
Comenzaremos por los controles de acceso lógico al sistema. Estos proveen
un medio técnico para controlar qué información pueden utilizar los
usuarios, qué programas pueden ejecutar, y las modificaciones que pueden
hacer. Los controles de acceso lógico se pueden definir como las
políticas, procedimientos y controles de acceso electrónico diseñados para
restringir el acceso a los archivos de datos. Dichos controles pueden
estar incorporados en el sistema operativo, en los programas o
aplicaciones, en las bases de datos, los dispositivos de control de red
etc. Los derechos de acceso, también llamados permisos o privilegios, que
son otorgados a los usuarios por el administrador, determinan las acciones
que pueden ejecutar, por ejemplo, leer, grabar, eliminar etc. en los
archivos de los servidores. No menos importantes son los controles de
acceso físico al sistema. Estos restringen la entrada y salida del
personal, y a menudo, los equipos y los medios, desde un área, como por
ejemplo, un edificio, un centro de proceso de datos o una sala que
contenga un servidor de la red de área local (LAN). Hay muchos tipos de
controles de acceso físico, que incluyen tarjetas inteligentes, llaves,
barreras etc. Ya sabemos que en todas las organizaciones deben existir
unos controles y unos derechos de acceso. Pero vamos al meollo de la
cuestión, ¿cómo deben otorgarse estos derechos de acceso? Se deben
establecer procedimientos formales para controlar la asignación de los
derechos de acceso a los sistemas. El acceso físico o lógico a la
información debe ser otorgado por escrito sobre la base de la necesidad de
saber, y basado en los principios de menor privilegio (sólo se deben
otorgar a los usuarios los accesos requeridos para realizar sus tareas)
(“necesita saber, necesita hacer”) y segregación de tareas. El propietario
de la información o el gerente responsable (por ejemplo, el jefe del
departamento) debe ser la persona encargada entregar una autorización directamente
al administrador de seguridad, documentada por escrito (en soporte físico
o electrónico), para que los usuarios tengan acceso a los recursos de
información. Del párrafo anterior se desprenden una serie de ideas
básicas. En primer lugar, los usuarios sólo deben tener acceso autorizado
a aquellos datos y recursos que precisen para el desarrollo de sus
funciones. En segundo lugar, el acceso a los datos siempre debe ser
autorizado por escrito. En tercer lugar, sólo los propietarios de los
datos deben otorgar dichas autorizaciones. Y por último, el propietario de
los datos no implementa directamente los derechos de acceso de los
usuarios que dependen de él. Efectivamente, las capacidades o derechos de
acceso son implementadas por el administrador de seguridad por medio del
establecimiento de un conjunto de reglas de acceso que estipulan cuales
usuarios (o grupos de usuarios) están autorizados para acceder a un
recurso y con qué nivel (por ejemplo, lectura, grabación, borrado,
ejecución), es decir, quién puede tener acceso a qué. Evidentemente, el
tipo menos peligroso de acceso es el de lectura. El mecanismo de control
de acceso aplica estas reglas cada vez que un usuario trata de acceder o
de usar un recurso protegido. Es recomendable establecer perfiles estandarizados,
según las categorías comunes de trabajos, para implementar reglas
eficientes de acceso y que simplifiquen la administración de la seguridad.
Asimismo, es recomendable que las políticas de control de accesos sean
coherentes con la clasificación de la información, y por supuesto, con la
Política de Seguridad de la Información de la organización, si es que
existe. Por último, indicar que las autorizaciones de acceso deben ser
evaluadas regularmente por el propietario de la información para asegurar
que sean aún válidas.
- Definición de políticas para la creación
de cuentas: Propósito: Dar a conocer las políticas generales para el uso de las cuentas
(usuario - contraseña) de acceso a los Sistemas Web Institucionales.
Alcance:
El alcance de estas políticas incluye a todo usuario de sistema Web que tenga
un rol, cuyas actividades sean de administración del sistema, de gestión o
cualquier otro acceso que sí esté permitido.
Política
General
<
!--[if !supportLists]-->· <!--[endif]-->El uso de la cuenta de usuario
es responsabilidad de la persona a la que está asignada. La cuenta es para uso
personal e intransferible.
<
!--[if !supportLists]-->· <!--[endif]-->La cuenta de usuario se
protegerá mediante una contraseña. La contraseña asociada a la cuenta de usuario,
deberá seguir los Criterios para la Construcción de Contraseñas Seguras
descrito más abajo.
<
!--[if !supportLists]-->· <!--[endif]-->Las cuentas de usuario
(usuario y contraseña) son sensibles a mayúsculas y minúsculas, es decir que
estas deben ser tecleadas como están.
<
!--[if !supportLists]-->· <!--[endif]-->No compartir la cuenta de
usuario con otras personas: compañeros de trabajo, amigos, familiares, etc.
<
!--[if !supportLists]-->· <!--[endif]-->Si otra persona demanda hacer
uso de la cuenta de usuario hacer referencia a estas políticas. De ser
necesaria la divulgación de la cuenta de usuario y su contraseña asociada,
deberá solicitarlo por escrito y dirigido al Administrador del Sistema.
<
!--[if !supportLists]-->· <!--[endif]-->Si se detecta o sospecha que
las actividades de una cuenta de usuario puede comprometer la integridad y
seguridad de la información, el acceso a dicha cuenta será suspendido
temporalmente y será reactivada sólo después de haber tomado las medidas
necesarias a consideración del Administrador del Sistema.
<
!--[if !supportLists]-->· <!--[endif]-->Tipos de Cuentas de Usuario
Para
efectos de las presentes políticas, se definen dos tipos de cuentas de usuario:
1.
Cuenta de Usuario de Sistema de Información: todas aquellas cuentas que sean utilizadas por
los usuarios para acceder a los diferentes sistemas de información. Estas
cuentas permiten el acceso para consulta, modificación, actualización o
eliminación de información, y se encuentran reguladas por los roles de usuario
del Sistema.
2.Cuenta de Administración de Sistema de Información: corresponde a
la cuenta de usuario que permite al administrador del Sistema realizar tareas
específicas de usuario a nivel directivo, como por ejemplo:
agregar/modificar/eliminar cuentas de usuario del sistema.
<
!--[if !supportLists]-->· <!--[endif]-->Todas las contraseñas para
acceso al Sistema Web con carácter administrativo deberán ser cambiadas al
menos cada 6 meses.
<
!--[if !supportLists]-->· <!--[endif]-->Todas las contraseñas para acceso
al Sistema Web de nivel usuario deberán ser cambiadas al menos cada 12 meses.
<
!--[if !supportLists]-->· <!--[endif]-->Todas las contraseñas deberán
ser tratadas con carácter confidencial.
<
!--[if !supportLists]-->· <!--[endif]-->Las contraseñas de ninguna
manera podrán ser transmitidas mediante servicios de mensajería electrónica
instantánea ni vía telefónica.
<
!--[if !supportLists]-->· <!--[endif]-->Si es necesario el uso de
mensajes de correo electrónico para la divulgación de contraseñas, estas deberán
transmitirse de forma cifrada.
<
!--[if !supportLists]-->· <!--[endif]-->Se evitará mencionar y en la
medida de lo posible, teclear contraseñas en frente de otros.
<
!--[if !supportLists]-->· <!--[endif]-->Se evitará el revelar
contraseñas en cuestionarios, reportes o formas.
<
!--[if !supportLists]-->· <!--[endif]-->Se evitará el utilizar la
misma contraseña para acceso a los sistemas operativos y/o a las bases de datos
u otras aplicaciones.
<
!--[if !supportLists]-->· <!--[endif]-->Se evitará el activar o hacer
uso de la utilidad de ?Recordar Contraseña? o ?Recordar Password? de las
aplicaciones.
<
!--[if !supportLists]-->· <!--[endif]-->No se almacenarán las
contraseñas en libretas, agendas, post-it, hojas sueltas, etc. Si se requiere
el respaldo de las contraseñas en medio impreso, el documento generado deberá
ser único y bajo resguardo.
<
!--[if !supportLists]-->· <!--[endif]-->No se almacenarán las
contraseñas sin encriptación, en sistemas electrónicos personales (asistentes
electrónicos personales, memorias USB, teléfonos celulares, agendas
electrónicas, etc.).
<
!--[if !supportLists]-->· <!--[endif]-->Si alguna contraseña es
detectada y catalogada como no segura, deberá darse aviso al(los) usuario(s)
para efectuar un cambio inmediato en dicha contraseña.
D) ESTABLESE METICAS Y MECANISMOS DE
PARA LA EVALUACION DE LOS CONTROLES IMPLEMENTADOS.
*DEFINE INDICADORES PARA EVALUAR LA EFICIENCIA DE LOS CONTROLES IMPLEMENTADOS:
La definición más usual de un indicador es: un hecho cuantificado que mide la eficacia y/o la eficiencia de todo o parte de un proceso o de un sistema (real o simulado), con referencia a una norma, un plan o a un objetivo, determinado o aceptado en un cuadro estratégico de la empresa .Esta definición pone el acento sobre la función "medición" del indicador .
DEFINE EL MODO EN QUE LOS INDICADORES SERAN MEDIDOS:
