Esquema Director de Seguridad

Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas
BASES PARA LA FORMULACIN DE POLTICAS DE SEGURIDAD INFORMATICA

1) Introduccin: La seguridad Informtica Institucional. 2) Seguridad Fsica y Lgica. 3) Continuidad Operativa. 4) Administracin de incidencias. 5) Operaciones y soporte. 6) Seguridad en el desarrollo de sistemas. 7) Servicios contratados. 8) Seguridad en redes informticas. 9) ANEXOS. 9.1) Seguridad en redes. 9.2) Anlisis de riesgos. 9.3) Seguridad fsica
NOTA: En esta segunda versin, se han reorganizado los contenidos de la primera en base a una estructura analizada en forma conjunta
Lic. E. Passarello-Polticas de seguridad informatica
1) Introduccin: La seguridad Informtica Institucional.

La aplicacin masiva de la tecnologa est cambiando la forma de Dirigir, Administrar, Controlar y Planificar a las Instituciones. La era actual, se caracteriza por una Sociedad que delega sus actividades manuales en forma incipiente en la utilizacin masiva de la Tecnologas de la Informacin. Esta transferencia de las acciones administrativas del personal en las empresas, presenta en particular la necesidad de normar y posteriormente gerenciar nuevas y complejas practicas relacionadas con el mundo de los negocios. Este cambio es veloz y constante para aprovechar las nuevas ventajas, cuando el personal amortiza un conocimiento, nuevas facilidades y mejoras justifican el cambio de tecnologas de las que en el corto plazo nos haban impactado. El da a da de nuestras empresas y su administracin se basa en la utilizacin masiva de equipamientos informticos ( PC, impresoras, scanner, modem, Web, redes cableadas, etc.) como herramienta de automatizacin de oficinas. La utilizacin de tecnologas informticas y de telecomunicaciones provoca a nivel institucional la posibilidad de que se produzcan nuevos riesgos producto de la vulnerabilidad propia de los recursos asignados (personal, equipamientos, software de base, software de aplicacin, etc.) La utilizacin de la potencialidad conjunta de las telecomunicaciones y la computacin (Por ej. La transferencia de informacin va con software de correo electrnico) nos hace avizorar ya no solo la empresa sin papel sino tambin la comunicacin entre empresas sin documentacion en forma totalmente electrnica y sin papel. Cambian en forma radical las practicas de control y auditora consolidados en el pasado, generadas a partir de contextos manuales y semiatomticos. Nuevos riesgos y amenazas an no estudiadas y reconocidas en su totalidad se asocian en cada innovacin tecnolgica que se implementa y en su posterior asimilacin humana (se realice en forma ordenada o no) por parte de cada Institucin. Esto se visualiza en cada nivel relacionado con cada operatoria, a las que estamos expuestos en forma interna y por lo tanto tambin lo estn en forma externa nuestros clientes y proveedores Poder lograr un equilibrio entre precauciones razonables y medidas excesivas puede resultar el desafo ms formidable cuando se implementa una estrategia de seguridad FACTORES QUE CONCUREN PARA PROVOCAR VULNERABILIDAD Concentracin de Informacin. Falta de registros visibles. Posibilidad de alterar programas y/o informacin sin dejar rastros visibles. Armonizar la eficiencia operativa con los aspectos de control (Sistemas en lnea tiempo real). Complejidad de la operatoria. Concentracin de funciones. Falta de enfoque orientado al control en la etapa de Desarrollo de los Sistemas de informacin. Empleo de personal altamente capacitado, en condiciones de eludir controles claves. El sistema ms seguro conlleva complejidades en su operacin diaria y el sistema ms fcil de operar no nos da la total seguridad
Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas 1.1. Propsitos y objetivos. el propsito de la seguridad informtica es la proteccin de los interese de quienes confian en la informacin, sistemas computarizados y comunicaciones asociadas, respecto a los daos que pudieran producirse por fallas en la disponibilidad, integridad y confidencialidad . INTERNATIONAL FEDERATION OF ACCOUNTANTS (IFAC) la habilidad para proteger la disponibilidad, integridad y confidencialidad de los datos y sistemas constituye un factor clave para las organizaciones que basan sus actividades y decisiones en la Tecnologa de Informacin . GENERAL ACCOUNTING OFFICE (EEUU). la disponibilidad, integridad y confidencialidad son los elementos claves entre los requisitos para alcanzar la Seguridad Informtica. Control for information and related Technology ( COBIT). Consideraciones y Condicionantes para la formulacin de propsitos y objetivos: Se deben analizar varios aspectos entre los que mencionamos: - No existe la seguridad absoluta. Antes de comenzar analizar en profundidad la SEGURIDAD debemos tener en cuenta que la seguridad total no existe porque siempre por ms recaudos que tomemos, pueden ocurrir imponderables no previstos que nos afecten, adems a mayor seguridad mayores costos. O sea que cuando establezcamos la poltica y el conjunto de normas de seguridad debemos tener en cuenta los costos adicionales que vamos a estar generando y ciertos controles, los que no deben traducirse en trabas para el normal desenvolvimiento pero que indiscutiblemente tambin tienen su costo asociado. La Informtica maneja grandes volmenes de informacin, por lo tanto es necesario preservarla de que sea: Mal utilizada. Divulgada. Alterada. Robada. Destruida. Esto puede ser accidental, con fines ilcitos o por no contar con las normas apropiadas, por ejemplo la manipulacion de listados de informacin con informacin operativa que no prevea su resguardo mientras se utiliza y su destruccin cuando se termina el uso. Un empleado puede tirarlo en forma completa a un cesto porque no preve la posibilidad que otro individuo lo levante, lo lee y como le ve utilidad se lo da a otro para que lo utilice para fines que vulneran la confidencialidad de los datos de los clientes (el caso mas conocido los mailing list de tarjetas de crdito. - Se deben definir metas de seguridad realizables. - Analizar en cuanto nos impacta la interrupcin del servicio. - Establecer los costos explcitos e implcitos de la poltica. - Evaluar si es apropiada la existencia de un Comit. - El rango a dar al rea de Seguridad Informtica.
Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas Estas consideraciones previas de contexto permiten construir objetivos plausibles y consensuados por todas las reas, lo que permitir lograr su operabilidad dentro de las necesidades y particularidades a cubrir. Cuidando su adecuacin a las estrategias vigentes para alcanzar su cumplimiento e implementacin efectiva. 1.2. Que entendemos por seguridad informtica. Definimos Seguridad Informtica al conjunto de criterios, medidas, normas, elementos fsicos y controles que se disponen para evitar cualquier problema, situacin o circunstancias que impida la disponibilidad, integridad y confidencialidad de los sistemas, datos e informacin, equipos de computacin, el software y el normal flujo de la informacin, manteniendo su privacidad y limitando el accionar de personas en forma errnea o intencional. 1.3. Que comprende una Poltica de seguridad informtica. La poltica de Seguridad Informtica que define una Institucin forma parte de su poltica integral de seguridad. Forma parte porque si no se cuenta con ella en una forma estructurada, la Poltica de Seguridad Informtica planteada en forma aislada podr ser deficitaria, en otros aspectos que no le incumben a la problemtica de sistemas. Definimos como Poltica de Seguridad Informtica al conjunto de lineamientos estratgicos que establece la Direccin de una Organizacin para proteger la actividad Informtica que se desarrolla en su mbito. Cada Institucin define su poltica en funcin al tipo de negocio en que se desenvuelve. Por ejemplo si en un banco la direccin establece como una de las polticas fundamentales es asegurar a sus clientes la continuidad operativa de las transacciones, lo que implica que las sucursales siempre deben seguir trabajando a pesar del tipo de problema que puedan ocurrir. Las Gerencias de Sistemas y de Seguridad establecern procedimientos, recursos y medidas para que ello ocurra y se pueda seguir con las operatorias involucradas en los procesos. Todas las medidas de seguridad informtica deben estar unificadas en una poltica que forma parte de la poltica general de la Institucin, donde se especifica la orientacin de la estrategia en cuestiones de seguridad. Estas medias de seguridad deben orientarse a la proteccin de los recursos de la Institucin ayudndolo al logro de sus fines y cumplimiento de sus misiones. Debe tener un enfoque integral, abarcando consideraciones dentro como fuera del campo de la Tecnologa de la Informacin, extendindose a lo largo de todo el ciclo de vida de la informacin. Las polticas deben redactarse para todo el personal de la Institucin, por lo tanto deben ser de fcil comprensin y manejo por parte de los diferentes niveles y especialidades. Debe especificar lo que se espera de los funcionarios en cuestiones de seguridad , as como las acciones disciplinarias a tomar en caso de que se produzcan incumplimientos.
Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas 1.4. Cumplimiento de regulaciones. Debe contemplar y exigir el cumplimiento de todas las leyes, regulaciones y disposiciones pertinentes, tanto externas como internas. 1.5. Responsabilidad por la poltica de seguridad informtica. 1.5.1. Para la definicin, seguimiento, implementacin y actualizacin de una Poltica de Seguridad Informtica es conveniente la creacin de un Comit de Seguridad Informtica el que tendr como funcin primordial: La definicin de los objetivos principales a cubrir y las estrategias para alcanzarlos. Los planes de trabajo basado en la Poltica autorizada por la Direccin. Someter el Plan al monitoreo y seguimiento de las reas de control (Auditoras y Contralorias internas y externas a la Institucin). Hacerlo conocer al personal de la Institucin. Lograr el consenso y adhesin de todas las Gerencias. Concensuar las medidas a tomar. Efectuar la implementacin. Realizar un seguimiento estricto de las medidas a tomar, en el caso de cambios. Tomar medidas correctivas ante desvos. Hacer evaluaciones peridicas del Plan en su conjunto. Si se producen ilcitos, accidentes o desastres evaluar los resultados y el plan de sanciones respectivo.
La Poltica de seguridad informtica y las medidas emergentes para su cumplimiento deben ser revisadas peridicamente, analizando la necesidad de cambios o adaptaciones para cubrir nuevas vulnerabilidades producidas por cambios en el entorno de la Tecnologas de Informacin. 1.5.2.. La responsabilidad por la ejecucin de la poltica de seguridad informtica debe ser asignada a un funcionario que mantenga independencia respecto a las funciones de operaciones, programacin o ingreso de datos, reportando a la mxima autoridad de lnea de la Institucin. En general se le denomina Administrador de la Seguridad Informtica. Su responsabilidad principal ser la de coordinar las interacciones entre las diversas reas involucradas en los planes y programas de seguridad. El rol del administrador de Seguridad Informtica es el de determinar los procedimientos, metodologa y controles que deben existir en cualquier instalacin para cubrir todos los aspectos atinentes a la seguridad, del mismo en todo lo referido al equipamiento y sistemas aplicativos. Este ROL por supuesto debe ser totalmente activo, jams pasivo. No se debe confundir con el Rol del Auditor de Sistemas, el que muchas veces va detrs del problema o ante el hecho consumado y a veces ante la realidad de un sistema ya implementado debe auditarlo y observar los problemas y deficiencias. El administrador de Seguridad se debe anticipar a los problemas suscitados en las deficiencias. Perfil del Administrador de Seguridad Conocimiento del ambiente tecnolgico
Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas Conocimiento de polticas y normas de seguridad Ser responsable Tener un pensamiento analtico Estar embebido de las polticas de la empresa No mantener malas relaciones interpersonales No ser impulsivo Tener capacidad para decir que no La poltica debe especificar la responsabilidad en materia de seguridad, de todos los funcionarios que estn en contacto con la Tecnologa de Informacin, incluyendo al personal de la Gerencia de Sistemas, los usuarios y cualquier individuo que tenga acceso a las mismas en el mbito institucional (proveedores, clientes, organismos, etc.) 1.5.3. La responsabilidad de cumplimiento de la poltica de seguridad informtica. Se debe auditar el cumplimiento de las especificaciones de la poltica de seguridad. Deben implementarse procedimientos y normativas conjuntas entre las reas de Administrador de Seguridad, Auditora, Contralora y Sistemas con el fin de asegurar el cumplimiento y tener previstas acciones en el caso de que se compruebe que ello no ocurra. La implementacin de herramientas de hardware y software que ayuden a llevar a cabo los controles y medidas de seguridad especificadas en la poltica de seguridad informtica son convenientes y necesarios. Estos mecanismos deben estar protegidos contra accesos o modificaciones no autorizadas. 1.5.4. El impacto en la implementacin y mantenimiento de Sistemas. La introduccin de una poltica de seguridad informtica institucional trae aparejado un impacto en las metodologas de trabajo para la implementacin de sistemas y en las formas de la administracin de los proyectos. Nuevas tareas, asociadas con las Prueba y certificacin de sistemas. Entorno de seguridad del sistema. Documentacin de todos los procesos y ambientes de trabajo. Estas nuevas tareas y la consiguiente asignacin de tiempos tienden a una mejora en la productividad y a su vez garantizar como producto final la calidad. El planeamiento de las actividades informticas de desarrollo de sistemas debe incluir las tareas y tiempos producto de la inclusin de pautas de seguridad informtica. La participacin del Administrador de Seguridad y del Auditor Informtico son fundamentales en el desarrollo de sistemas. 1.6. PERSONAL Es fundamental y todas las Organizaciones lo deben tener en cuenta, que el disponer de personal honesto e idneo para prestar el servicio informtico considerando los siguientes aspectos en forma particular: Contratacin. Evaluacin. Compromiso. Idoneidad. Poltica de Personal. Rotacin. Lic. E. Passarello-Polticas de seguridad informatica 6
Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas Personal Imprescindible.
1.6.1. Pautas a tener en cuenta para la asignacin del Personal en funciones clave El personal clave dentro de una organizacin debe estar asociado con distintos valores fundamentales desde su contratacin, ya que su intencionalidad puede ser el riesgo ms alto al que se puede exponer a la misma. En orden de frecuencia, las amenazas ms comunes creadas por el factor humano son: Errores de programacin. Intrusos no autorizados. Personal autorizado maligno. Atacantes externos. El personal autorizado constituye el problema ms comn y tambin el ms complicado. Cuando se trata de un usuario autorizado los problemas de seguridad pueden resultar difciles de detectar, probar y registrar; y con cualquier accin correctiva, se corre el riesgo de traumatizar a toda la organizacin. 1.6.2. Polticas de contratacin Toda organizacin debe contar con procedimientos de contrataciones bien estructurados y se deben aplicar evitando la flexibilidad. Las caractersticas ms importantes a tener en cuenta son: Referencias Antecedentes Pruebas psicolgicas Revisin mdica La verificacin de antecedentes normalmente se pasa por alto, debido a que las empresas se muestran renuentes a proporcionar referencias tiles debido a razones legales o de otra ndole. Las empresas de seguro o informes pueden ofrecer ayuda en el proceso de verificacin de antecedentes. En aras de la seguridad se debe tornar rutinaria la obtencin de antecedentes del personal. El uso de pruebas psicolgicas dentro de un proceso de contratacin constituye un importante valor potencial, ya que aportar elementos que ayudarn a conocer: Actitudes. Valores sociales Opiniones Estabilidad general Los exmenes mdicos permiten evaluar el estado fsico de un individuo como as tambin las actitudes y estabilidad del personal a contratar. Se deber analizar la habilidad de manejarse ante situaciones de estrs, muy especialmente cuando esta situacin forma parte de la exigencia del puesto. Se recomienda la poltica de realizar exmenes mdicos por lo menos una vez al ao. 1.6.3. Evaluacin del desempeo La actividad de evaluar el desempeo puede cooperar con la seguridad en forma significativa ya que sirve para evaluar problemas de tipo personal y la organizacin,
Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas ayudando a detectar problemas de tipo personal y/o de comportamiento que afecten la seguridad debido a accidentes o ataques deliberados. 1.6.4. Entrenamiento del personal para el cumplimiento de la poltica de seguridad informtica. Todo el personal que tenga vinculacin con la Tecnologa de Informacin debe ser entrenado respecto al cumplimiento de lo especificado en la Poltica de Seguridad Informtica. Este entrenamiento debe orientarse a destacar las responsabilidades individuales de cada funcionario, al cuidado preventivo de los activos relacionados con las Tecnologas de informacin (datos, sistemas, equipamientos, soportes, redes, etc.), a la capacidad de respuesta ante eventuales incidentes o contingencias, y a la deteccin y respuesta a situaciones anormales. Cada agente deber ser provisto de una copia. El personal de operaciones del rea de procesamiento de datos debe recibir en forma peridica, capacitacin respecto a los controles y los procedimientos de seguridad. 1.6.5. compromiso del personal Se debe obtener un compromiso firmado por parte del personal respecto al cumplimiento de las medidas de seguridad definidas en la Poltica de Seguridad Informtica, destacando especialmente el mantenimiento de la confidencialidad de las contraseas, la no divulgacin de informacin institucional, el cuidado de los recursos, la utilizacin de software sin licencia y el reporte de situaciones anormales. Este compromiso debe ser confirmado anulamente o cada vez que se produzcan cambios en las tareas asignadas al personal. 1.7. Formulacin de programas especficos Deben realizarse y documentarse programas de anlisis de riesgos con el fin de determinar los aspectos que resulten crticos para el cumplimiento de los propsitos y objetivos perseguidos. Deben definirse procedimientos para implementar las interacciones entre la poltica y los programas especficos, detallando la modalidad y personal encargados de las comunicaciones en ambos sentidos.
Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas 2) Seguridad Fsica y Lgica. En toda Gerencia que tenga la responsabilidad por su incumbencia funcional de Administrar los recursos informticos de una institucin debe realizarlo en base a la existencia de normas de seguridad; analizando la importancia que hoy tienen los sistemas de informtica en las Instituciones, en particular las financieras, bancarias, seguros, administradoras de fondos de pensin, etc, obtendramos como conclusin que cualquier recaudo tomado en este sentido es poco para evitar el impacto institucional. Los riesgos y la interrupcin del servicio, tienen que ser tomados muy en cuenta porque el impacto que presentan sobre la actividad comercial son muy significativos. Por ende al evaluar los riesgos a que estamos expuestos y el costo de las medidas a tomar los tendremos que comparar contra el impacto que tendramos si esto ocurre. Si bien la posibilidad de enumerar normas estndares de seguridad son variables y costosas, es necesario determinar una primera agrupacin global que abarque los siguientes aspectos: 2.1. Seguridad Fsica. Este es uno de los primeros aspectos que fue tenido en cuenta, a partir de la dcada de los setenta, por las Instituciones y Empresas cuando incorporaban la Informtica. La concientizacin en este sentido no solo fue producto del accionar de asesores en la materia sino tambin las exigencias que las empresas proveedoras ponan como condicin para instalar un computador. Elementos de seguridad tales como: instalacin elctrica, espacio entre los equipos, correcto cableado, etc., eran uno de los aspectos solicitados. Tambin lo eran alarmas, detectores y seguros a fin de proteger los equipos ya que estos eran alquilados a las empresas proveedoras. El equipamiento es uno de los bienes o elementos informticos que ms debemos tener en cuenta en la preservacin del servicio informtico. Los aspectos que hoy consideramos primordiales tener en cuenta en el Procesamiento Electrnico de Datos son: 2.1.1. Ubicacin de las instalaciones de procesamiento de datos y de almacenamiento de la informacin. La determinacin de la ubicacin de las salas donde se realizar el procesamiento de datos y donde se mantendrn los medios de almacenamiento de la informacin, as como la identificacin de las medidas de seguridad necesarias para protegerlas, debe basarse en un completo anlisis de las caractersticas de la zona geogrfica, considerando las amenazas naturales o por influencia del hombre como por ejemplo, posibles inundaciones, desordenes civiles, intercepciones en la transmisin de datos, etc.. Estas consideraciones deben abarcar a todos los lugares donde se encuentren equipos tecnolgicos sensitivos o los dispositivos auxiliares de soporte, como cableado, equipos generadores, dispositivos de red, almacenamiento de resguardos, etc. Todos los dispositivos de las instalaciones de procesamiento, incluyendo los circuitos elctricos, cableado telefnico, repuestos y elementos de reparacin, dispositivos de seguridad como detectores de humo, etc. Deben estar perfectamente documentados.
Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas 2.1.2. Acceso fsico a las instalaciones del computador. Debe identificarse todo el equipamiento informtico a fin de establecer medias de seguridad para restringir el acceso al mismo, acordes con su criticidad. Deben considerarse todos los dispositivos y equipos utilizados, como cableado, fuentes de energa ininterrumpida (UPS), equipos generadores de electricidad, equipos de comunicaciones, etc. El acceso fsico a las instalaciones donde se encuentra el equipamiento informtico sensitivo, debe estar restringido solo a los agentes que lo requieran para llevar a cabo sus tareas y que se cuenten con la debida autorizacin. Debe definirse un procedimiento para el ingreso y egreso de equipos o dispositivos informticos a las instalaciones del computador, que contemple la necesidad de contar con la autorizacin del responsable de la unidad encargada del procesamiento de la informacin. Debe existir un procedimiento definido para el acceso de visitas a las instalaciones del procesamiento de datos. Las personas ajenas al sector deben ser acompaadas por un miembro del personal autorizado. 2.1.3.Proteccin y mantenimiento de la seguridad contra incendios. Adoptar medidas de seguridad para la prevencin, deteccin y supresin de incendios en las instalaciones del computador y todas las dems instalaciones donde haya recursos informticos (cableados, UPS, caja de electricidad, etc.). Las normas y medidas para proteccin contra incendios implementadas, deben ser acordes con las normas generalmente aceptadas para tal tipo de actividades; detectores de humo, alarmas para intrusos, alarmas para incendios, escapes de gas, elctricas y excesos de humedad, especificaciones del fabricante, guardas de insumos, etc. Peridicamente se debe realizar un mantenimiento preventivo y prueba de los dispositivos de seguridad para la prevencin, deteccin y extincin del fuego.
2.1.4.. Mantenimiento del equipamiento informtico y de comunicaciones. Deben adoptarse procedimientos de mantenimiento preventivo para asegurar el adecuado funcionamiento de los equipamientos aplicados a las tareas de procesamiento y de comunicaciones informticas. Esto incluye la administracin de las garantas, servicios contratados de apoyo, previsin de suministros y repuestos, etc. 2.1.5.Provisin de energa elctrica alternativa. Deben instalarse dispositivos y/o equipamientos alternativos que aseguren la provisin de energa elctrica continua (UPS, generador), a fin de evitar interrupciones imprevistas en el procesamiento de datos, prdidas de informacin o deterioro de equipamientos y/o dispositivos si se produjeran cortes o cadas de niveles adecuadas en el suministro de energa. 2.1.6.Condiciones ambientales de las instalaciones de los equipamientos. El rea donde se hallen los equipos utilizados para el proceso de datos debe contar con adecuadas condiciones ambientales para permitir el adecuado funcionamiento de los equipos y desempeo de los agentes, considerando temperatura, ventilacin, agua potable, etc.
10
Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas 2.1.7. Seguros Riesgos a tener en cuenta: Propios de los edificios y el personal Fuego Terremoto Inundaciones Tumultos Daos por causas internas Hay riesgos que no se aseguran Propios de los sistemas Instalacin Hardware Software Datos/sistemas Corte del servicio Personal Interrelacin entre administracin y sistemas Considerar aquellos concurrentes y/o complementarios a la actividad informtica.
2.1.8. Proteccin de de resguardos datos y sistemas. Uno de los elementos primordiales y tradicionales que se debe considerar en cuanto a la proteccin fsica es el que se refiere a la informacin almacenada en medios magnticos abarcando los siguientes tpicos: Almacenamiento de seguridad en un lugar distante. Identificacin y control de archivos Precisin de los archivos. Acceso fsico restringido. Estructura y metodologa de resguardos. Auditora y control. Esto posibilita la continuidad del procesamiento de datos, ante distintas situaciones a la cul se expone cualquier tipo de organizacin permitiendo efectuar los siguientes procedimientos: Volver a arrancar todas las cadenas de proceso interrumpidas por: Falla de fluido elctrico, fallo del software, etc. Corregir un fallo de un soporte fsico como por ej.: un disco ilegible que obliga a su sustitucin fsica, adems de la recarga de su contenido a partir de una copia de seguridad. Arrancar de nuevo un emplazamiento exterior en caso de destruccin total del equipamiento de produccin (comnmente llamado Back-up del equipamiento). Responder a obligaciones legales en materia de archivo para cumplir con obligaciones comerciales, contables, fiscales, etc.) Elementos principales a proteger a travs de los resguardos o Backups: Software de base. Software y datos de aplicaciones en produccin. Software y datos de aplicaciones en desarrollo y mantenimiento.
11
Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas En definitiva preservar la informacin de la organizacin, por ende su ms valioso patrimonio. Estructura y metodologa Si bien no existe una nica recomendacin de cmo se deben estructurar las copias de resguardo las mas usuales y tradicionales son : 1. Estructura abuelo, padre, hijo. 2. Resguardo de archivos diarios parciales y completos por semana.
12
Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas 2.2. Seguridad Lgica. 2.2.1. Propiedad de la informacin. Se debe definir y asignar la propiedad de los datos y sistemas computarizados de informacin, a los responsables funcionales de las operaciones y procesos. 2.2.2.Clasificacin de la informacin. Toda la informacin manejada por el organismo debe estar clasificada en niveles de acuerdo a su sensitividad, se propone; Pblica, Restringida y Confidencial. Para cada nivel de sensitividad deben definirse medidas de seguridad con una adecuada relacin costo-beneficio. Los propietarios de la informacin deben clasificar los datos en los niveles especificados, considerando las medidas de seguridad a implementar sobre cada nivel a fin de prevenir errores, exposicin o actividades no autorizadas. 2.2.3. Restricciones de acceso lgico. En todos los accesos a la informacin debe identificarse al individuo responsable y debe verificarse su autorizacin para acceder a ese tipo de informacin. El acceso a los sistemas debe limitarse a travs de controles programados de manera que solo los funcionarios y perfiles autorizados tengan la posibilidad de ingresar. Aunque desarrollemos el mejor Sistema de Informacin si este no tiene previsto un correcto nivel de acceso, el sistema irremediablemente es malo y no se debe recomendar su uso. Se deben establecer reglas automatizadas que gobiernen el acceso a todos los recursos informticos sensitivos, abarcando sistemas de aplicacin, software de base, sistemas de administracin de bases de datos, sistemas de administracin de redes, sistemas de administracin de la seguridad, etc. El acceso lgico a la informacin computarizada debe estar restringido mediante la definicin de perfiles que abarquen los permisos mnimos requeridos para poder llevar a cabo las tareas asignadas a cada puesto de trabajo, y la utilizacin de tcnicas de identificacin y autentificacin individuales y seguras. La eleccin del procedimiento de identificacin y autentificacin debe basarse en la sensitividad de la informacin a proteger manteniendo una adecuada relacin de costo beneficio. El acceso lgico a los recursos informticos crticos debe limitarse, adems del procedimiento de identificacin y autentificacin seleccionado, mediante otras tcnicas como las restricciones de ubicacin, horario, roles o transacciones. Los permisos de acceso a los datos definidos deben incluir la especificacin de la modalidad de acceso : lectura, escritura, ejecucin, borrado, etc. Debe definirse un rea de trabajo lgica para las principales fases del ciclo de vida de los sistemas (desarrollo, prueba, produccin) protegiendo a los programas y datos almacenados en cada una mediante la restriccin de los accesos al personal autorizado. 2.2.4.Contraseas. Las claves de acceso que se utilicen deben ser individuales para cada uno de los agentes con acceso permitido a los sistemas de procesamiento de datos. En los casos en que se utilicen contraseas para la autenticacin de la identidad de los usuarios y el entorno de procesamiento lo permita, las claves deben contar con las
13
Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas siguientes caractersticas mnimas de seguridad: rotacin obligatoria cada 60 das, longitud de 6 caracteres e imposibilidad de repetir las ltimas 12 contraseas. Debe implementarse un procedimiento automtico para inhabilitar a los usuarios que realicen hasta tres intentos de acceso fallidos. El archivo donde se almacenan las contraseas, as como la informacin que permite efectuar la autenticacin de los usuarios, debe ser protegido con el mximo nivel de seguridad disponible. La identificacin de los usuarios (User ID) debe definirse de acuerdo a una norma homognea para todo el organismo, que permita identificar unvocamente a cada agente con acceso permitido a los recursos informticos. 2.2.5.Responsabilidad de los usuarios. Todo el personal con permiso de acceso a los recursos informticos deben firmar un compromiso que especifique su responsabilidad en la utilizacin de sus derechos de acceso a la informacin, y la obligacin de mantener la confidencialidad de sus contraseas y de no compartir los elementos utilizados para el control de acceso, como por ejemplo tarjetas magnticas. 2.2.6.Registro de actividades. Sobre el procesamiento de aplicaciones sensitivas, se debe mantener un registro de las actividades o rastro de auditora que almacene suficiente informacin como para permitir identificar al responsable de cada evento y reconstruir sucesos, as como detectar intrusos y/o analizar problemas. El archivo donde se almacene el registro de actividades debe contar con las medidas de seguridad suficientes como para asegurar su integridad y confiabilidad. Debe desarrollarse e implementarse un procedimiento para revisar peridicamente el registro de actividades, ya sea en forma automtica o manual, a fin de detectar y resolver las situaciones anormales. 2.2.7.Encriptamiento. Para todos los caso en que sea necesario establecer fehacientemente la responsabilidad por las transacciones, es decir asegurar la autenticidad del emisor, deber utilizarse el sistema de encriptamiento de claves donde las dos partes involucradas compartan una clave pblica y posean cada una, su correspondiente clave secreta. Esta tcnica deber utilizarse en situaciones en las que no pueda establecerse otra forma la confianza en la otra parte, tanto para comunicaciones internas como externas de la institucin. Los sistemas criptogrficos deben estar protegidos por el mximo nivel de seguridad posible. Debe existir un procedimiento para la administracin segura de las claves en los sistemas criptogrficos implementados. 2.2.8. Virus informticos. Prevencin. Se deben implementar medidas para la prevencin, deteccin o limpieza de virus informticos u otros programas destructivos, sobre todos los equipos que pudieran estar expuestos a este riesgo.
14
Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas 2.3. Administracin de la seguridad. 2.3.1. Administracin de los permisos de acceso. Se debe definir un procedimiento para la administracin de los permisos de acceso de los usuarios tanto fsico como lgico, que contemple el caso del personal temporario (contratados, proveedores y clientes). Este procedimiento debe exigir la autorizacin escrita de la habilitacin de los permisos de acceso, por parte del propietario de la informacin y del superior del usuario. Los permisos de acceso fsico y lgico definidos deben ser revisados peridicamente a fin de verificar su adecuacin respecto a los requerimientos operativos de cada puesto de trabajo, analizando las modificaciones en la estructura orgnica o en las funciones. Debe existir un procedimiento para dar de baja los permisos de los funcionarios que dejan de prestar funciones en el organismo, o que cambian su asignacin. 2.3.2. Pruebas sobre las medidas de seguridad. La efectividad de las medidas de seguridad fsica y lgica implementadas debe ser evaluada y probada peridicamente, en horarios normales de trabajo y en horas no habituales.
15
Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas 3. Continuidad operativa. 3.1.Plan de contingencias. Debe existir un Plan de Contingencias y recuperacin ante Desastres documentado y aprobado por la alta Gerencia que garantice la continuidad operativa de los servicios de procesamiento de la institucin, desarrollado en base a un completo anlisis de los riesgos que podran afectarla, donde se especifiquen las responsabilidades individuales y procedimientos a llevar a cabo en caso de eventuales siniestros. Asimismo debe establecer un orden de prioridades para la pronta recuperacin de los datos y sistemas que son crticos para el funcionamiento institucional. Se debe designar un funcionario responsable de la implementacin del plan de contingencias. Este conjunto de medidas y acciones que se deberan tomar en forma rpida, precisa y oportuna en el caso de que ocurra una contingencia (Por ej. si sale de servicio un servidor del centro de procesamiento de datos). Cada Institucin califica la verdadera exposicin a la que esta expuesta y en funcin a ella propone y pone en prctica distintas estrategias y tcticas que permitan establecer las normas de proteccin adecuadas. 3.1.1. Instrumentos para su formalizacin. Ejemplos. . Cuestionario con el fin de determinar la evaluacin de riesgos institucional. Participacin de las gerencias de la institucin en la determinacin de contingencias Estamos preparados para enfrentar distintas catstrofes de envergadura? Qu podra pasar si no existe una adecuada proteccin de los diferentes sistemas computacionales? Qu ocurrira si cualquiera pudiese acceder a los sistemas computacionales? Qu peligros existen si no se controla el hardware y software? Qu sucedera si se fuga informacin estratgica hacia la competencia? Qu sucedera si no estuviesen disponibles los sistemas por un tiempo prolongado? Qu pasara si no tuviramos polticas, normas y procedimientos adecuados? En resumen: mantendramos nuestros clientes y proveedores ?, Perdonarn nuestros atrasos los organismos de contralor externo?, en definitiva sobreviviramos financieramente, cuanto tiempo? Tipos usuales de contingencias. Salidas de servicio de los sistemas (hardware y software). Corte prolongado de energa elctrica. Inconvenientes o desperfecto en las redes de comunicaciones. Incendios. Catstrofes. Aspectos bsicos a describir en un plan de contingencias Copias adicionales de archivos y bibliotecas. Lugares alternativos de procesamiento. Responsables de normalizar el servicio. Lic. E. Passarello-Polticas de seguridad informatica 16
Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas Nuevos servicios de transporte y mensajera de la informacin, soportes, etc.. Convenio de back-up de equipamientos compatibles. 3.2. Pruebas sobre el plan de contingencias. Se deben efectuar pruebas peridicas sobre los procedimientos de emergencias definidos en el plan, a fin de probar la efectividad del entrenamiento brindado al personal y de las actividades ante eventuales contingencias. Se deben efectuar pruebas peridicas sobre los procedimientos, equipos alternativos y copias de resguardo especificadas en el plan de contingencias, a fin de asegurar su adecuado funcionamiento en caso de desastre. Controles y evaluaciones a efectuar en las pruebas para los diferentes aspectos de una contingencia. Ej. Segn la contingencia as ser el tiempo de normalizacin de la actividad. De corto plazo Inmediatas Posteriores Brindar un servicio de mnima Restablecer el servicio precariamente Restablecer el servicio similar al anterior a la contingencia
evaluar los problemas. determinar las medidas a adoptar. asignar recursos humanos. informar al resto de la organizacin. acondicionar un lugar fsico. utilizar el equipamiento para la contingencia. analizar las medidas a tomar para la normalizacin definitiva.
3.3. Previsiones alternativas. El plan de contingencias debe prever la ubicacin fsica, el equipamiento de respaldo y el software necesarios para restaurar las operaciones de procesamiento de informacin luego de la ocurrencia de un eventual desastre. El Plan debe prever el personal de programacin y operacin necesario para realizar las tareas de recuperacin y procesamiento luego de una eventual contingencia. El plan debe prever la disponibilidad de mas de una fuente de aprovisionamiento de insumos necesarios para utilizar en la reanudacin de las operaciones de procesamiento. Deben establecerse procedimientos alternativos de procesamiento de datos en forma manual, que puedan utilizarse hasta que la unidad de procesamiento est en condiciones de restaurar sus operaciones. Es el conjunto de medidas para preservar nuestra instalacin de la accin de los factores de riesgo. Si bien es cierto, como hemos descripto en puntos anteriores los aspectos referidos a la seguridad fsica, lgica y los controles a efectuar es algo que desde hace ya mucho tiempo se le a prestado. Tambin es cierto reconocer naturalmente esta debilidad de previsin ya que an en centros de alto nivel de tecnologa se siguen encontrando grandes deficiencias.
17
Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas Estas deficiencias obedecen por lo general a la ponderacin del flujo eficiente del trabajo como objetivo principal, relegando a la previsin de la seguridad a un segundo plano arriesgando de esta forma la continuidad en el procesamiento. Si bien estos aspectos se supone que deben ser tenidos en cuenta en el principio de la instalacin de un Centro de Procesamiento de Datos y antes que este se encuentre en produccin, en general ello no ocurre. Es por lo tanto mas necesario planificar en forma dinmica y cuidadosamente los factores claves que deben ser observados y generar las normas que ayuden a una revisin peridica de su correcto funcionamiento con el fin de salvaguardar las instalaciones.
3.4. Reconstruccin de la sede de procesamiento de datos. El plan de contingencias debe contener, cuando se estime necesario, los procedimentos para la reconstruccin de la sede de operaciones de procesamiento de informacin luego que ocurra un desastre. 3.5. Actualizacin del plan de contingencias. El plan de contingencias generado debe ser revisado peridicamente a fin de asegurar que se mantenga actualizado respecto a las necesidades y caractersticas tcnicas y operativas del organismo. 3.6. Personal. 3.6.1. Seguridad del personal. El plan de contingencias debe incluir procedimientos de emergencia para garantizar la seguridad del personal, quien debe recibir capacitacin peridica en la utilizacin de tales procedimientos. 3.6.2. Capacitacin del personal. Se debe brindar adecuado entrenamiento al personal responsable de llevar a cabo los procedimientos de emergencia especificados en el plan de contingencias. Debe mantenerse documentacin completa y actualizada sobre los procedimientos de operacin de los sistemas, equipo, dispositivos de hardware y software de base, a fin de prevenir la ocurrencia de errores y evitar la dependencia hacia determinado personal. 3.7. Copias de resguardo. Debe existir un procedimiento aprobado para generar copias de resguardo de toda la informacin necesaria para las operaciones del organismo, incluyendo software de base y de aplicacin, y datos , de donde se especifique la periodicidad y el lugar fsico donde se deben mantener los back ups generados. La periodicidad de la generacin de las copias debe ser acorde a la criticidad de la informacin y a frecuencia de cambios. 3.7.1. Identificacin de las copias de resguardo. Las copias de resguardo generadas sobre medios de almacenamiento externos deben ser adecuadamente rotuladas o etiquetadas en forma interna y externamente a fin de permitir una identificacin ordenada y segura.
3.7.2. Ubicacin de las copias de resguardo. Lic. E. Passarello-Polticas de seguridad informatica 18
Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas La ubicacin de los resguardos debe contar con adecuadas medidas de seguridad, no debiendo estar expuesto a las mismas contingencias que las instalaciones de procesamiento, es decir que estos deben almacenarse en un lugar fsico diferente de las instalaciones de procesamiento de la informacin. 3.7.3. destruccin y traslado de copias de resguardo. Debe existir un procedimiento documentado que especifique los pasos a seguir para la destruccin y el traslado de los medios de almacenamiento una vez que cumplieron su vida til.
19
Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas 4. Administracin de incidentes relativos con la seguridad. 4.1. Procedimientos de respuesta ante la ocurrencia de incidentes. La ocurrencia de incidentes es una posibilidad que debemos evaluar constantemente, debiendo tomar las medidas y recaudos necesarios para que no se produzcan. Como ante la eventualidad de cualquier hecho no solamente debemos tomar una medida protectora y luego no ocuparnos ms del tema, sino por el contrario debemos verificar y comprobar que las medidas tomadas sean correctas, controlando el mal funcionamiento y perfeccionarlo de ser posible. Debe existir un procedimiento documentado para el manejo de incidentes relativos a la seguridad informtica, que centralice la administracin de los mismos y que cuente con adecuados medios de respuesta a los problemas reportados y comunicacin de riesgos a las reas de incumbencia. Debe definirse un rea responsable de atender en forma centralizada todos los reportes de incidentes ocurridos en la institucin. Debe llevarse un registro de los incidentes relativos a seguridad acontecidos en el organismo, detallando el curso de accin seguido para su solucin, a fin de permitir seguir los pasos correctos en caos de reiterarse algn inconveniente. El mecanismo adoptado para el manejo de incidentes debe ser adecuadamente documentado y comunicado al personal. Asimismo, la respuesta de los responsables ante la solicitud de los usuarios debe ser gil y productiva. Esto permitir que los agentes de la institucin confen en el procedimiento y lo lleven a cabo. Los eventos incidentales que se producen en cascada y no son oportunamente solucionados constituyen potenciales accidentes. Ejemplo: Un reporte de corto circuito, no evaluado correctamente puede desembocar en un accidente; persona electrocutada. Un accidente de posible ocurrencia, es una eventualidad contra la cual debemos estar constantemente alerta. El tratar de evitar todas las causas a travs de una correcta instalacin elctrica contando con disyuntores, etc., nos dar la tranquilidad de haber eliminado ese factor de riesgo potencial de incidentes. 4.2. Actualizacin de la matriz de anlisis de riesgos. La conformacin de un repositorio de incidentes permitir tener informacin cuantitativa y estadstica de las ocurrencias no deseadas (dimensin), o no previstas inicialmente, como as evaluar condiciones y situaciones nuevas debido a cambios que no fueron informados oportunamente. 4.3. Actualizacin de polticas y normas de seguridad. El nivel de incidencias demostrar si la estructura montada y las personas a cargo de ejecutar la seguridad lo cumplen bajo ciertos niveles de cumplimiento que cumplan con los fines perseguidos.
20
Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas 5. Operaciones y Soporte. Administracin de las configuraciones. Todos los cambios a la configuracin del hardware o software de base deben estar autorizados. Debe verificarse que no afecten a las medidas de seguridad establecidas. Debe realizarse el seguimiento y control del procesamiento computarizado generando reportes con todas las situaciones de excepcin que se observen. Este anlisis debe realizarse de manera oportuna, promoviendo la investigacin de los casos que presenten riesgos potenciales.
21
Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas 6. Seguridad en el desarrollo de sistemas. Durante el desarrollo de un Sistema debemos tener en cuenta mltiples aspectos y elementos de seguridad y cmo aplicar criterios de Seguridad Informtica. Rodear al Sistema de una adecuada proteccin para impedir el acceso a funcionarios no autorizados, definirlo con distintos niveles de autorizacin y de acceso, tener en cuenta perodos de retencin para los datos comprenden alguno de los aspectos que deberemos tener en cuenta ya en el momento de su desarrollo. -Los desarrollos, el control de proyectos, la participacin de profesionales de auditora y seguridad configuran otro de los aspectos a considerar. Al construirse un Sistema de informacin basado en Computadoras se debe tener muy presente que el mismo debe contener controles y limitaciones, adems de una adecuada cobertura de seguridad que impida o atene la realizacin de ilcitos. Asimismo que existan controles que eliminen o disminuyan la posibilidad de cometer errores. Como asegurarnos que un aplicativo no pueda ser llevado fuera del mbito de la Institucin para su comercializacin? Debemos prever este tipo de delito tecnolgico, para el desarrollo y mantenimiento de Sistemas deben existir normas y criterios que se apliquen para el control tanto en la fase de proyecto como de su operacin rutinaria. El trmino seguridad de las aplicaciones abarca todos los componentes del procesamiento de datos, como los que no lo son. Por parte de procesamiento de datos se deben tener en cuenta los datos, programas y los archivos. Los otros elementos a considerar dependen de la recoleccin de datos, control y distribucin, en definitiva se trata de la relacin estrecha entre el proceso y el usuario. Segn como son las organizaciones, la actividad que desarrollan y cual es el sistema en cuestin, depender del nivel de seguridad que el mismo tendr.
6. 1. Nivel de seguridad de la Institucin . Actividad de la organizacin. Envergadura de la organizacin. Contexto jurdico y administrativo en el que se desenvuelve. 6.1.1. Relaciones externas a. Superintendencias b. Banco Central c. Organismos de Control d. Grandes empresas comerciales e. otros Bancos internacionales Bancos locales Compaias de seguros AFJP Empresas multinacionales Empresas medianas Organismos del Estado
22
Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas 6.1.2. Segn la actividad de las operatorias, tienen relacin con las reas funcionales, como ser; Siniestros. Cobranzas. Gestin comercial. Inversiones financieras. 6.1.3. Tambin depende en la forma en que se construyen: Desarrollo interno Desarrollado por terceros 6.1.4. Tipo de previsin de riesgos, como ser: Prdida de programas fuentes. Acceso indebido a programas fuentes Identificacin de responsables. Deficiencia. Falta de resguardos actualizados Grado creciente de dependencia ( Caja Negra). Ilegitimidad. Ausencia de independencia de ambiente de produccin y desarrollo. Falta de adecuada documentacin sobre mantenimiento de sistemas.
6.2.Metodologa del CVDS. La misma debe contemplar la planificacin, diseo y administracin de medidas de seguridad a lo largo de todo e proceso de desarrollo. Todos los sistemas de informacin deben ser clasificados de acuerdo a su nivel de sensibilidad, teniendo en cuenta la informacin procesada y funcionalidad, aspectos legales, polticas de la Institucin, etc.. La definicin del grado de criticidad de cada aplicacin debe efectuarse lo mas cerca posible del inicio del ciclo de vida del sistema y permitir establecer la necesidad de medidas de seguridad especiales. La fase de diseo del sistema debe contemplar las especificaciones respecto a medidas de seguridad, controles y pistas de auditoras a incluir en la aplicacin. Todas las medidas de seguridad especificada en el diseo del sistema deben ser documentadas, probadas e implementadas. 6.3. Cambios sobre los sistemas. Debe establecerse un procedimiento para asegurar el control y autorizacin de todas las modificaciones practicadas sobre los sistemas. Este procedimiento debe contemplar la formalizacin de las solicitudes de cambios, el anlisis del impacto de los mismos, la documentacin, la restriccin del personal de desarrollo al ambiente de produccin y la aceptacin formal de los cambios efectuados, entre otros. Todos los cambios efectuados a los programas deben ser exhaustivamente probados por un funcionario que no forme parte del grupo de desarrollo en un ambiente diferente al de produccin, y probados y aceptados formalmente por la o las reas usuarias antes de la implementacin definitiva.
23
Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas 6.3. Sistemas aplicativos y seguridad informtica en operacin. 6.3.1. Controles de parte del Usuario. El usuario es quien tiene la responsabilidad primaria de asegurar que los datos recolectados para el procesamiento estn completos y sean precisos; tambin se debe asegurar que todos los datos se procesen y se incluyan en los informes que le regresan. En el anlisis final, no es aceptable culpar a los procesamientos computadorizados por las decisiones que se basen en datos imprecisos. El usuario no puede evadir esta responsabilidad. La implantacin de controles puede ser costosa, por lo tanto debe hacerse una evaluacin realista y pragmtica respecto de la posibilidad de que un riesgo especfico afecte un activo o bien al mecanismo que sirve para la toma de decisiones por parte de la direccin superior, y luego evaluar las eventuales prdidas si el hecho se llega a producir y a partir de all confrontar el costo de implementar el control. De all determinamos la conveniencia de evaluar controles a implementar manteniendo el sistema dentro de la mayor sencillez posible. A esto apuntan las tcnicas ms modernas que evitan la transcripcin manual de datos, por ejemplo: tarjetas magnticas, comprobantes con caracteres pticos o magnticos ( Ej. cheques, cdigo de barras, boleta de servicios pblicos, etc.) 6.3.2. Control de Datos La necesidad de controlar eficientemente el ingreso de los datos se pone en evidencia ante la circunstancia de que un dato incorrectamente ingresado puede llegar a recorrer todo el sistema en esas condiciones. En ese sentido es necesario tener en cuenta factores tales como: Complejidad del sistema. Volumen de datos a procesar. Mentalizacin del personal. Que ayudarn en la eleccin de los controles a implementar. Los controles limitarn la ocurrencia de errores y sus consecuencias apuntando a determinar que todas las transacciones se hayan registrado correctamente en su punto de origen y sean transmitidas hacia el procesamiento. CONTROLES RESUELVE Impiden omisiones, abusos, siniestros, y Disuasivos violaciones a secreto previo a las operaciones de entrada de datos (Ej.: tarjeta de crdito, bancaria, etc.). Actan en el momento del ingreso de datos Preventivos rechazando los invlidos y obligando a su correccin previo al procesamiento de datos (Ej.: Cdigo de Cuenta Corriente tipeada por un cajero) Advierten sobre errores producidos, Detectivos permitiendo al sistema corregir el problema. Acciones que permiten a un sistema Correctivos efectuar las modificaciones necesarias en el menor tiempo posible y de esa forma mantener su capacidad de procesamiento.
24
Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas 6.3.3.controles para el procesamiento. Se trata del control especfico de los procesos a travs de rutinas y procedimientos tanto lgicos como aritmticos. El principal propsito de estos controles es garantizar el proceso completo y preciso de los datos con el uso de los programas correctos al principio (ingreso de datos), durante (proceso efectivo) y al final del procesamiento ( emisin de resultados) , asegurndose que solo se procesen transacciones sin error y por nica vez. Debern existir procesos de correccin para cada tipo de error a efectos de que los errores puedan ser corregidos. CONTROLES Validez Paridad RESUELVE Determina si el carcter a ingresar es vlido o no (Ej.: numrico o alfabtico). Detecta si el dato ha sido modificado (Ej.: transmisin de datos, agrega un bit para llegar a paridad par o impar). Compara las dos lecturas para asegurar su integridad. Compara contra un dgito verificador (Ej.: nro. De cuenta bancaria). Controla contra una tabla (Ej.: porcentaje de descuento) Cruce de totales (Ej.: total de registros procesados o total de ventas procesadas contra importe a cargar en cuenta de deudores). Dos campos vinculantes de un registro (Ej.: legajo corresponda al departamento que se est asignando). Valores entre rango de mnima y mxima (Ej.: nro de cuenta igual o mayor a la primer cuenta del archivo o igual o menor a la ltima). Que sea procesada en la secuencia que le corresponda.
Lectura doble Unvoco Referencial Totalizador
Lgico
Rango
Secuencia
25
Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas 7. Servicios contratados. Contratos con terceras partes. En los contratos donde se terceriza alguna de las actividades vinculadas al procesamiento de datos del organismo, deben incluirse consideraciones para asegurar el cumplimiento de los objetivos de control referidos a Seguridad, especialmente respecto a la continuidad de los servicios, la confidencialidad de la informacin, la administracin de la seguridad de accesos y el control sobre los cambios.
26
Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas 8. Seguridad en Redes informticas. Introduccin. Debemos considerar al hablar de seguridad en redes la visin de que una red es nica en estructura, diseo, equipos, software y aplicaciones. Por lo tanto el ambiente en el cual funciona es variable en sentido operacional e institucional, por lo que las guas y recomendaciones aqu presentadas en amplitud son adaptables al momento de tener que implementarlas en diferentes entornos y ambientes tecnolgicos. Apreciando sus distintos niveles podemos visualizar que abarcan todo el mbito informtico actual, alcanzando a grandes, medianas y pequeas empresas, hacindose extensiva en todas las reas. Tipos de redes Tipo de Red Alcances LAN (locales) Local rea Network Son Redes localizadas en un rea geogrficamente reducida, con topologa y arquitecturas que las caracterizan. Operan a altas velocidades. MAN( Metropolitanas) Metropolitan Son redes expandidas por Lan rea Network interconectadas en un rea geogrfica extendida, tpicamente una ciudad. Operan en un amplio rango de velocidades. WAN ( Amplias) Wide rea Network Son redes expandidas en un rea Wide geogrfica amplia, tpicamente un pas. Operan en un amplio rango de velocidades e incluyen diversos medios de enlace. Como consecuencia de ello, cada vez se vuelve ms necesario una proteccin eficaz a una indebida lectura, modificacin o prdida de datos. Los objetivos de un sistema se orientan a minimizar la oportunidad de intrusiones, la rpida deteccin de las mismas y si es necesario, la reconstruccin del status de los datos en el momento de la violacin. En definitiva la seguridad de una Red debe prever mecanismos adecuados para la identificacin del usuario receptor y emisor as como controles de acceso a los recursos. Es importante que su administracin no sea engorrosa de implementar en funcin de su crecimiento. Como ltimo punto y no menos importante debe procurarse el seguimiento de su uso bajo la forma de pistas de auditora. El solo conocimiento pblico de que hay una auditora corriendo constituye un importante freno a las tentativas de violacin. Necesidad de: Identificacin Autenticacin Encriptado de datos Control de accesos a recursos Auditora
27
Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas 8.1. Servicios en Internet. Debido a que en plan estratgico aprobado por la superioridad de la institucin planifica en el mediano y largo plazo implementar servicios de redes extendidas. Todos los servicios provistos a los usuarios internos para acceder por Internet (telnet, ftp, etc.), as como para los usuarios externos a travs de la red interna, deben estar documentados y correspondientemente autorizados. 8.2. Capacitacin a los usuarios. Los usuarios de la institucin que utilicen servicios provistos a travs de la red Internet deben recibir capacitacin especfica respecto a su funcionalidad y a los riesgos y medidas de seguridad pertinentes. 8.3. Firewalls. En los caso en que se cuente con una conexin con la red Internet, debe implementarse un Firewall que controle a la totalidad del trfico entrante y saliente de la red interna, prohibiendo el pasaje de todo el trfico que no se encuentre expresamente autorizado. El sistema operativo del firewall debe estar configurado de modo de garantizar que los usuarios o eventuales atacantes no puedan eludir los controles establecidos. Cada uno de los servicios prestados con relacin a Internet debe contar con una versin segura (denominada proxy) en el firewall instalado. La configuracin del firewall implementado debe revisarse peridicamente y al producirse cambios sobre los sistemas relacionados con Internet. Asimismo, todos los cambios que se practiquen sobre la configuracin deben estar autorizados. 8.4. Encriptamiento en forma sensitiva. Toda la informacin calificada como confidencial o restringida que se transmita a travs de Internet entre la que se destacan las claves, deber encriptarse a fin de evitar su exposicin a individuos no autorizados. 8.5. Herramientas de anlisis de redes. Deben utilizarse herramientas que aseguren la administracin de la seguridad de las redes, las que monitorean peridicamente en busca de posibles debilidades de seguridad, las cuales deben ser solucionadas. Segn como son las organizaciones, la actividad que desarrollan y cual es el sistema en cuestin, depender del nivel de seguridad que el mismo tendr.
28
ANEXOS.
1. SEGURIDAD EN REDES.
2. ANLISIS DE RIESGOS.
3. SEGURIDAD FISICA.
29
Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas 3. Anexo1: Seguridad en redes Criterios para la definicin de la seguridad La seguridad puede ser dirigida por tres fases: 1. Minimizar la probabilidad de que una amenaza pueda concretarse. 2. Minimizar el dao que pueda ocurrir. 3. Recuperar la red fcil y efectivamente. Encriptado La forma ms antigua y mejor conocida de encriptacin son los sistemas de claves privadas (por lo general un nmero) para disimular datos y mantenerlos en secreto aplicando un conjunto de operaciones matemticas. Los criptogramas de las revistas de crucigramas son ejemplos simples de esta tcnica. La encriptacin es la mejor forma de proteger uno de los productos econmicos ms importantes: La Informacin El elemento ms importante cuando se utiliza un mtodo de encriptado en la clave pero otros elementos que deben ser resguardados son los equipos, programas y algoritmos de encriptado. Los elementos ms importantes para la administracin de claves son: Tcnicas o mtodos de generacin de claves. Desempeo de las terminales. Distribucin de claves. Eliminacin y destruccin de claves. El administrador de Seguridad y el Auditor, debern asegurarse de que existe un adecuado mtodo de control sobre estos elementos y que estos se cumplan. 1. La generacin de las claves debe hacerse en un lugar seguro y su conocimiento debe ser limitado. Desarrollar una poltica para la generacin de claves, indicando los responsables, estndares y frecuencias de cambio. Esta poltica tambin debe definir que informacin va a ser encriptada y que nivel de seguridad requiere dicha informacin. La generacin de las claves debe ser limitada a personal con niveles de seguridad confiables para la empresa. Limitar la cantidad de personas que deben conocer estas claves. Mantener la documentacin de las claves y el algoritmo de encriptado en lugares muy seguros. Los perifricos de encriptado deben localizarse en reas seguras y de acceso restringido. Los cambios de las claves maestras, deben ser previamente aprobadas y documentadas. El manejo de las claves debe ser especficamente asignado a un nmero limitado de personas. Deben realizarse peridicos y sorpresivos controles sobre las claves, algoritmos y personal encargado del manejo de las mismas.
30
2. La Distribucin de las claves debe ser controlado para asegurar una adecuada y necesaria distribucin. El procedimiento de distribucin de clave maestra debe ser seguro y al menor numero de personas posibles. Se debe confeccionar y mantener actualizada una lista con todas las personas con acceso a las claves y cualquier cambio debe ser autorizado. El centro de distribucin de claves debe ser seguro y contar con un proceso de autenticacin de identificacin de los sectores en servicio que requieran el uso de las claves. Utilizar fechas y tiempos de expiracin de las claves. Emplear personal capacitado, cuando se requiera la implementacin de sistemas de encriptado en lugares remotos. Todos los algoritmos o claves debe ser almacenadas en lugares seguros.
3. Las claves y su documentacin deben ser destruidas para que no caigan en mal uso. Las claves deben ser borradas o destruidas cuando estas expiran o son retiradas. Debe haber un procedimiento que verifique que las claves han sido borradas y destruidas. Toda la documentacin perteneciente a una clave que ha expirado o ha sido borrada, debe ser destruida y verificar fehacientemente su destruccin ( con la intervencin de dos personas). Se debe evaluar: Nivel de seguridad necesario Complejidad del mtodo utilizado Tamao y control de las claves Tasa de errores en el proceso de encriptado El volumen y tamao de los mensajes a ser encriptados
31
Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas Seguridad e Integridad en una Red: Matriz de Riesgos.
Categora/ Riesgo Ubicacin Acceso desautorizado
Expuesto a
. Destruccin de datos . Acceso a informacin confidencial
Personal Errores y omisiones Ingreso de datos inexactos intencionalmente Inhabilidad de uso Fraude Transmisin Errores de lnea Errores de hardware Software de comunicaciones Cambio de modificaciones impropias
. Inexactitud en la Informacin . Entradas ineficientes . Reportes inexactos . Prdidas varias
. Inexactitud de la Informacin . Pobre performance
Poca calidad en el soft
. Ineficiente operacin . Falta de integridad en la informacin . Prdida de calidad y exactitud
Software de aplicaciones Procesamiento impropio Errores y omisiones Modificacin Archivos Accesos desautorizados Recuperacin fallida Modificacin
. Informacin inexacta . Informacin incompleta . Operacin ineficiente
Destruccin
. Compromiso de datos . Prdida de datos . Prdida de la confidencialidad y/o privacia . Prdida o reduccin de la integridad de la Base de datos . Inexactitud de la . Inoperabilidad del negocio . Ineficiente operacin . Pobre performance
Hardware Fallas informacin Vandalismo Obsolescencia
32
Anexo 2. Anlisis de riesgos. 1. Accidentes La ocurrencia de un accidente en la instalacin es una posibilidad que debemos evaluar constantemente, debiendo tomar las medidas y recaudos necesarios para que no se produzcan. Como ante la eventualidad de cualquier hecho no solamente debemos tomar una medida protectora y luego no ocuparnos ms del tema, sino por el contrario debemos verificar y comprobar que las medidas tomadas sean correctas, controlando el mal funcionamiento y perfeccionarlo de ser posible. Un electrocutado ( un accidente de posible ocurrencia) es una eventualidad contra la cual debemos estar constantemente alerta. El tratar de evitar todas las causas a travs de una correcta instalacin elctrica contando con disyuntores, etc., nos dar la tranquilidad de haber eliminado ese factor de riesgo.
2. Catstrofes naturales Hay lugares que estn ms expuestos que otros a la ocurrencia de una catstrofe natural; en nuestro pas por ejemplo hay ciudades que han sufrido inundaciones o terremotos. Si bien en la Ciudad de Buenos Aires no hay peligro de terremoto y desborde del Ro de la Plata por una sudestada es poco probable que afecte zonas de oficinas, inundaciones por lluvias han producido problemas de anegamiento en algunas zonas de la Capital y el Gran Buenos Aires. En algunas ciudades del interior se han producido grandes inundaciones y se tiene conocimiento de centros de Cmputos que han sido gravemente afectados por estas desgracias naturales. 3. Incendios La abundancia de material combustible (papeles, insumos, alcohol isoproplico, etc.) con la presencia de instalacin elctrica es uno de los riesgos a los que debemos prestar ms atencin. 4. Errores de utilizacin u operacin de los sistemas informatizados de informacin. Cuando no existen Manuales de Usuario o de Operaciones y no se ha capacitado correctamente al personal se pueden presentar problemas con respecto al manejo y utilizacin de los Sistemas. Tambin es posible que los mismos ocurran producto de una actitud de sabotaje. No ser la primera vez que un operador renuncia a su trabajo y se lleva la documentacin, o el conocimiento porque nunca se document.
33
Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas 5. Delitos La utilizacin de la Informtica es algo que de por s representa un valor agregado a la actividad, es por ello y porque los elementos y aspectos que lo rodean son de valor que hacemos hincapi en el funcionamiento correcto de nuestros recursos Informticos. Actualmente los medios periodsticos dan mucha difusin a las acciones ilcitas que rodean a la actividad informtica. Incluso a veces el sensacionalismo puede exponer a una empresa a la duda de sus clientes. Si se publica que en el Banco XX, empleados deshonestos utilizaban los equipos de computacin para adulterar los saldos de las cajas de ahorro. Seguramente los clientes se replantearan seguir operando con esa Entidad y se ver afectada su cartera de depsitos. De la misma forma las operaciones de tipo corporativo, especficamente con las empresas, prestan especial atencin a la seguridad con que las instituciones de servicios aseguran sus operaciones. Que se conozca la deuda de un cliente particular es grave, pero en el caso de ser perteneciente a los activos de una empresa tiene consecuencias muy graves. Tipos de Delito La depredacin o robo de elementos fsicos. La destruccin de archivos. La adulteracin de registros. La difusin de informacin. El acceso no autorizado a travs de las comunicaciones. El robo de un sistema. La utilizacin de software no autorizado. Activos Informticos El Equipamiento. El Software Original. Los Sistemas Desarrollados. Las Claves de Acceso a los Sistemas. La Metodologa de Trabajo. Los Datos: Nuestros y De los Clientes o Usuarios. Los Listados y Comprobantes que se Desechan. La continuidad del servicio. Actualmente los datos constituyen un patrimonio que no es ni tangible ni activable, pero de altsimo valor. El conocimiento por parte de la competencia de informacin financiera o contable de cualquier empresa puede constituirse en una situacin de significativa exposicin. Si mantenemos datos de nuestros clientes y usuarios, la difusin de esta informacin perjudicar no solo a ellos sino tambin nuestra imagen, al margen de los daos y perjuicios que debemos afrontar. En algunos casos como las empresas que brindan informacin sobre particulares, su principal patrimonio son los datos. Por lo tanto debern protegerlos de los robos y de las adulteraciones de personal deshonesto. La utilizacin de software no autorizado tiene implicancias legales y compensaciones econmicas que debemos afrontar. Adems la posibilidad de ser noticia periodstica nos debe alentar a no tomar actitudes de este tipo.
34
Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas 6. La matriz de riesgo informtico. 6. 1. Cmo construirla La construccin de un elemento grfico como este nos facilita el anlisis de los problemas que se pueden presentar y su impacto econmico. De la evaluacin de los riesgos resultar las medidas que se tomarn para su correccin, las que pueden ser: Totales Parciales Otros Para su construccin se deber volcar en forma vertical los RIESGOS que pueden ocurrir, menores prdidas en la parte superior y mayores en la inferior, horizontalmente se ubicarn de izquierda a derecha segn su frecuencia.
Frecuencia Poca Baja P r d i d a Alta

Cada de Equipo Virus Accidentes
Mucha
Inun Dacin
Incendio Terremo to
35
7. Matriz de riesgo por sistema Del conjunto de Sistemas Informatizados de Informacin se debe determinar cuales son ms crticos para prestarle mayor atencin y evaluar si los controles son los apropiados. 7.1.Elementos a tener en Cuenta Hay varios aspectos a tener en cuenta para la determinacin de la criticidad de los Sistemas Informatizados de Informacin los que detallamos a continuacin clasificados por su nivel de criticidad: Han ocurrido fraudes. Mueve dinero. Mucho mantenimiento. Transacciones de montos importantes. Ingreso de usuarios de otras empresas. Muchas transacciones Cmo se procesa. Muchas pantallas de ingreso de datos. Muchos usuarios. Utiliza comunicaciones. 7.2. Valuacin del Riesgo por Aspecto A cada uno de los Factores de Riesgo explicitados para los Sistemas, le debemos asociar un valor de ponderacin lo que nos ayudar a centrar nuestro esfuerzos en el seguimiento de los problemas atinentes. A continuacin detallamos estos valores de ponderacin: Han ocurrido fraudes 10 Mueve Dinero 10 Mucho mantenimiento 10 Transacciones de montos importantes 10 Ingreso de usuarios de otras empresas 10 Muchas Transacciones 8 Como se Procesa: a. En Tiempo Real 8 b. En forma Batch 6 Muchas pantallas de ingreso de datos 6 Muchos Usuarios 4 Utiliza comunicaciones 4 7.3.Determinacin de la matriz por sistemas Por cada uno de los Sistemas se debe establecer cada uno de los aspectos que se han detallado en el punto anterior, una vez establecido se deben volcar en forma matricial colocando cada una de las valuaciones y realizando la sumatoria por cada Aplicacin. Una vez obtenida el total por Aplicacin debemos ordenarlas por puntaje de mayor a menor, as podremos construir la matriz ponderada por Mayor Nivel de Riesgo.
36
Sistema 1 2 3 4 5 6 7 8 9 10
A 5
B 10
C 2
D 8
E 6 4
G 10
I 4
J 1
Total 50
A B C D E F G H I J
1 2 3 4 5 6 7 8 9 10
37
Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas Anexo 3: Seguridad fsica. Es el conjunto de medidas para preservar nuestra instalacin de la accin de los factores de riesgo. La seguridad fsica y los controles a efectuar es algo que desde hace ya mucho tiempo se le a prestado demasiada atencin, pero al mismo tiempo todos sabemos que por reconocer naturalmente esta debilidad muchas veces y en Centros de Cmputos de alto nivel se siguen encontrando grandes deficiencias. Estas deficiencias obedecen por lo general a la ponderacin del flujo eficiente del trabajo como objetivo principal, relegando a la seguridad a un segundo plano arriesgando de esta forma la continuidad en el procesamiento. Ya que este aspecto debe ser tenido en cuenta en el principio de la instalacin de un Centro de Procesamiento de Datos y antes que este se encuentre en produccin, se debe planificar cuidadosamente los factores claves que deben ser observados y generar las normas que ayuden a una revisin peridica de su correcto funcionamiento con el fin de salvaguardar las instalaciones. Los puntos de chequeo mnimos a efectuar deben ser los siguientes: 1. Ubicacin y Construccin. 2. Energa Elctrica. 3. Accesos. 4. Catstrofes Naturales. 5. Alarmas/ extintores. 6. Criterio de resguardos. 1. Ubicacin y Construccin La ubicacin de las instalaciones principales debern estar ubicadas lejos de las reas de transito de gran escala a efectos de salvaguardarla de los riesgos inherentes a la cercana de personas o cosas, por lo general este requisito interfiere con la eficiencia del flujo de trabajo pero es indispensable para conservar una adecuada seguridad, mitigando los riesgos y reduciendo la exposicin. En cuanto a la construccin, los administradores han aprendido poco acerca de los requisitos de diseo para las instalaciones informticas, por otra parte los arquitectos rara vez son expertos en los principios de diseo de las instalaciones que contemplen un alto nivel de seguridad, quizs por este motivo se realizan malos diseos. Se debe priorizar una adecuada ubicacin orientndose no solo a la salvaguarda del mismo, sino que tambin garantice un buen mantenimiento y acceso a todos los procedimientos de proteccin y deteccin de distinta ndole. Aspectos a tener en cuenta Lejos de reas de transito. Lejos de ventanas. Que no de al exterior. Elementos no combustibles. Puertas de seguridad.
38
Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas 2. Energa Elctrica El suministro de energa es de fundamental importancia debindose apuntar a conservar la continuidad del servicio y su estabilidad. Es de priorizar el apoyo a los elementos componentes de los sistemas de informacin, como as tambin a los dems elementos que hacen a su proteccin como ser el aire acondicionado y los distintos sistemas de alarma. Es de destacar que para el caso de redes y terminales distribuidas dentro de la organizacin, se hace dificultoso su mantenimiento, pero se debe vigilar y dar atencin a los elementos claves de los componentes de la red. A) Tener ms de una lnea de alimentacin. B) Fuentes de poder alternativas: Generadores Ups (Unit Power System) C) Alarmas con respecto al servicio: Amperaje Voltaje, etc. Estabilizadores Luz de emergencia 3. Accesos En cuanto a los accesos al centro de cmputos, se debe prever el control que permitir protegerlo contra: dao, uso no autorizado, perdida de informacin o modificacin de la misma. Este aspecto en especial debe ser estudiado para poder definir las polticas a seguir para dotar a la instalacin a los controles que a continuacin se detallan: Restriccin de acceso a instalaciones. Mantener un estricto control de personal autorizado a acceder. Evaluar el o los medios de acceso durante las distintas horas del da. Procedimientos para el acceso de terceras personas. Dotar a las terminales de claves de acceso, password, o por tcnicas similares. Identificacin de los usuarios y efectuar controles sobre los mismos para verificar que las passwords no son transmitidas a otros individuos. Que las passwords sean cambiadas en forma obligatoria en periodos a determinar. Vigilar los procedimientos de anulacin y/o cancelacin de passwords en el momento adecuado. Tener establecidos planes de seguridad de acceso, vigilar su cumplimiento y verificar si los mismos son lo suficientemente detallados, comprensibles y han sido sometidos a pruebas.
39
4. Catstrofes Naturales En muchas partes el riesgo de inundacin es algo comn causando daos considerables, es en estos lugares de riesgo que se debe optar por ubicar al Centro de procesamiento de datos en lugares altos en estructuras de varios pisos. No por lo descripto solamente se evitarn daos por inundacin, ya que estas han ocurrido cuando esta situacin es provocada por rotura de caeras y obstrucciones de drenaje. Es por esta razn que se debe extremar los cuidados en la ubicacin del centro de procesamiento de datos evitando la cercana de caeras y distintos tipos de conductores de este tipo de elemento. De no ser posible se debern instalar detectores de agua o inundacin, como as tambin la ubicacin estrategia de bombas de emergencia para evitar inundaciones inesperadas.
40
Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas 5. Alarmas / Extintores (estas consideraciones se deben mantener actualizadas con los proveedores) Deteccin: Alarmas detectoras de humo, Alarmas detectoras de calor. Extintores: Extintores que se accionan automticamente, Rociadores de agua (para algunos de los lugares de la instalacin), Extintores manuales. Extintores para distintas clases de Fuego(Ej.)
CLASE DE FUEGO AGUA HALON POLVO SECO 1211 BCF SI S NO NO NO SI Absorbe Enfra y No apaga Se funde No es No es especfico para ese sofoca este tipo uso sobre los especfico el calor fuegos elementos para ese uso Si Si Si Si Si NO Sofoca a l Rompe la Rompe la Rompe la No es especfico para ese Sofoca por medio desplazar cadena de cadena de cadena de uso el oxigeno combusti combusti combusti de n n n espumige no Si Si Si Si NO NO No es No es No es Conduce No es No es especfico para ese conductor conductor conductor conductor uso la de de de electricida de electricida electricida electricida electricida d d d d d NO NO NO NO NO SI No es No es No es No es No es Es necesario utilizar el especfico especfico especfico especfico especfico polvo adecuado para cada para ese para ese para ese para ese para ese riesgo uso uso uso uso uso No es No peligro Recomendable AGUA Y AFFF ANHID. CARBO. POLVO ABC POLVO BC
Materiales que producen brasas (madera, papel, cartn y otros) Lquidos inflamables (naftas, alcoholes y otros)
S Accin de enfriamie nto NO Esparce el combustib le
Equipos energizados elctricamente
NO Conduce la electricida d NO No es especfico para ese uso
Materiales combustibles (aluminio, magnesio y otros) SI
Caractersticas Capacidad Modo de Uso
MATAFUEGOS MANUALES 1Kg. 2Kg. 5Kg. 10Kg. Quitar el precinto y la traba. Colocarse a distancia conveniente del fuego y segn tipo y capacidad de extintor. Oprimir la palanca de accionamiento Dirigir el chorro a la base del fuego.
MATAFUEGOS RODANTES 25Kg. 50Kg. 70Kg. 100Kg. Quitar el precinto y la traba. Desenrollar la manguera Colocarse a distancia conveniente del fuego y segn tipo y capacidad de extintor. Accionar la palanca de la vlvula del recipiente. Abrir la vlvula de salida del extremo de la manguera. Dirigir el chorro a la base del fuego
41
6. Criterio de resguardos Uno de los elementos primordiales y tradicionales que se debe considerar en el control del procesamiento es la seguridad de la informacin abarcando los siguientes tpicos: Almacenamiento de seguridad en un lugar distante. Identificacin y control de archivos Precisin de los archivos. Acceso fsico restringido. Estructura y metodologa de resguardos. Auditora y control. Esta actividad posibilita la continuidad del procesamiento de datos, ante distintas situaciones a la cul se expone cualquier tipo de organizacin permitiendo efectuar los siguientes procedimientos: Volver a arrancar todas las cadenas de proceso interrumpidas por: Falla de fluido elctrico, fallo del software, etc. Corregir un fallo de un soporte fsico como por ej.: un disco ilegible que obliga a su sustitucin fsica, adems de la recarga de su contenido a partir de una copia de seguridad. Arrancar de nuevo en un emplazamiento exterior en caso de destruccin total del equipamiento de produccin (comnmente llamado Back-up del equipamiento). Responder a obligaciones legales en materia de archivo para cumplir con obligaciones comerciales, contables, fiscales, etc.)
Elementos a retener a travs de los resguardos o Back-up: Software de base. Software y datos de aplicaciones en produccin. Software y datos de aplicaciones en desarrollo y mantenimiento. En definitiva reservar la informacin de la organizacin, por ende su ms valioso patrimonio. Si bien no existe una nica recomendacin de cmo se deben estructurar las copias de resguardo podemos enunciar dos alternativas distintas: Estructura ABUELO, PADRE, HIJO. Resguardo de archivos diarios parciales y completos por semana.
42

Esquema Director de Seguridad

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Esquema Director de Seguridad

Загружено:

Авторское право:

Доступные форматы

Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas

BASES PARA LA FORMULACIN DE POLTICAS DE SEGURIDAD INFORMATICA

Lic. E. Passarello-Polticas de seguridad informatica

Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas

1) Introduccin: La seguridad Informtica Institucional.

Lic. E. Passarello-Polticas de seguridad informatica

Lic. E. Passarello-Polticas de seguridad informatica

Lic. E. Passarello-Polticas de seguridad informatica

Lic. E. Passarello-Polticas de seguridad informatica

Lic. E. Passarello-Polticas de seguridad informatica

Lic. E. Passarello-Polticas de seguridad informatica

Lic. E. Passarello-Polticas de seguridad informatica

Lic. E. Passarello-Polticas de seguridad informatica

Lic. E. Passarello-Polticas de seguridad informatica

Lic. E. Passarello-Polticas de seguridad informatica

Lic. E. Passarello-Polticas de seguridad informatica

Lic. E. Passarello-Polticas de seguridad informatica

Lic. E. Passarello-Polticas de seguridad informatica

Lic. E. Passarello-Polticas de seguridad informatica

3.7.2. Ubicacin de las copias de resguardo. Lic. E. Passarello-Polticas de seguridad informatica 18

Lic. E. Passarello-Polticas de seguridad informatica

Lic. E. Passarello-Polticas de seguridad informatica

Lic. E. Passarello-Polticas de seguridad informatica

Lic. E. Passarello-Polticas de seguridad informatica

Lic. E. Passarello-Polticas de seguridad informatica

Lic. E. Passarello-Polticas de seguridad informatica

Lectura doble Unvoco Referencial Totalizador

Lic. E. Passarello-Polticas de seguridad informatica

Lic. E. Passarello-Polticas de seguridad informatica

Lic. E. Passarello-Polticas de seguridad informatica

Lic. E. Passarello-Polticas de seguridad informatica

Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas

Lic. E. Passarello-Polticas de seguridad informatica

Lic. E. Passarello-Polticas de seguridad informatica

Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas

Lic. E. Passarello-Polticas de seguridad informatica

Categora/ Riesgo Ubicacin Acceso desautorizado

. Destruccin de datos . Acceso a informacin confidencial

. Inexactitud en la Informacin . Entradas ineficientes . Reportes inexactos . Prdidas varias

. Inexactitud de la Informacin . Pobre performance

Poca calidad en el soft

. Ineficiente operacin . Falta de integridad en la informacin . Prdida de calidad y exactitud

. Informacin inexacta . Informacin incompleta . Operacin ineficiente

Hardware Fallas informacin Vandalismo Obsolescencia

Lic. E. Passarello-Polticas de seguridad informatica

Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas

Lic. E. Passarello-Polticas de seguridad informatica

Lic. E. Passarello-Polticas de seguridad informatica

Frecuencia Poca Baja P r d i d a Alta

Lic. E. Passarello-Polticas de seguridad informatica

Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas

Lic. E. Passarello-Polticas de seguridad informatica

Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas

Lic. E. Passarello-Polticas de seguridad informatica

Lic. E. Passarello-Polticas de seguridad informatica

Lic. E. Passarello-Polticas de seguridad informatica

Polticas de Seguridad Informtica Segundo documento de trabajo elevado al Comit de Sistemas

Lic. E. Passarello-Polticas de seguridad informatica

S Accin de enfriamie nto NO Esparce el combustib le

Equipos energizados elctricamente

NO Conduce la electricida d NO No es especfico para ese uso

Materiales combustibles (aluminio, magnesio y otros) SI

Caractersticas Capacidad Modo de Uso

Lic. E. Passarello-Polticas de seguridad informatica