UNIVERSIDAD NACIONAL DE SAN CRISTBAL DE HUAMANGA

FACULTAD DE INGENIERA DE MINAS, GEOLOGA Y CIVIL

ESCUELA DE FORMACIN PROFESIONAL DE INGENIERA DE SISTEMAS

Implementacin de SGSI para la Financiera Los Andes

ASIGNATURA

SEGURIDAD INFORMATICA

DOCENTE

ING. CARLOS VILA

ALUMNOS

JANAMPA PATILLA, FARA

FLORES CHOQUECAHUA, WILBER
MENDOZA HUAMAN, JUANA
PARIONA TARQUI, MIJAEL
ROJAS MALLQUI, GABRIELA

AYACUCHO PER
2014

INDICE
POLTICAS DE SEGURIDAD DE LA INFORMACIN........................................................................ 3
RIESGOS DE SEGURIDAD ............................................................................................................ 12
DISEO DE TRANSMISION DE DATOS ........................................................................................ 17
DISEO DE SEGURIDAD PARA TRANSMISIN DE DATOS ......................................................... 22

POLTICAS DE SEGURIDAD DE LA INFORMACIN

En este captulo se elaboraran las polticas de seguridad con el propsito de proteger la
informacin de la empresa, estas servirn de gua para la implementacin de medidas de
seguridad que contribuirn a mantener la integridad, confidencialidad y disponibilidad de los
datos dentro de los sistemas de aplicacin, redes, instalaciones de cmputo y procedimientos
manuales.
El documento de polticas de seguridad ha sido elaborado tomando como base la siguiente
documentacin:
Estndar de seguridad de la informacin ISO 17799
Normas internas de la entidad referidas a seguridad de informacin.
Definicin
Una Poltica de seguridad de informacin es un conjunto de reglas aplicadas a todas las
actividades relacionadas al manejo de la informacin de una entidad, teniendo el propsito de
proteger la informacin, los recursos y la reputacin de la misma.
Propsito El propsito de las polticas de seguridad de la informacin es proteger la
informacin y los activos de datos del Banco. Las polticas son guas para asegurar la
proteccin y la integridad de los datos dentro de los sistemas de aplicacin, redes,
instalaciones de cmputo y procedimientos manuales.
CUMPLIMIENTO OBLIGATORIO
El cumplimiento de las polticas y estndares de seguridad de la informacin son obligatorios y
debe ser considerado como una condicin en los contratos del personal.
El Banco puede obviar algunas de las polticas de seguridad definidas en este documento,
nicamente cuando se ha demostrado claramente que el cumplimiento de dichas polticas
tendra un impacto significativo e inaceptable para el negocio. Toda excepcin a las polticas
debe ser documentada y aprobada por el rea de seguridad informtica y el rea de auditoria
interna, detallando el motivo que justifica el no-cumplimiento de la poltica.
ORGANIZACIN DE LA SEGURIDAD
En esta poltica se definen los roles y responsabilidades a lo largo de la organizacin con
respecto a la proteccin de recursos de informacin. Esta poltica se aplica a todos los
empleados y otros asociados con el Banco, cada uno de los cuales cumple un rol en la
administracin de la seguridad de la informacin. Todos los empleados son responsables de
mantener un ambiente seguro, en tanto que el rea de seguridad informtica debe monitorear
el cumplimiento de la poltica de seguridad definida y realizar las actualizaciones que sean
necesarias, producto de los cambios en el entorno informtico y las necesidades del negocio.

Estructura Organizacional
En la administracin de la seguridad de la informacin participan todos los empleados
siguiendo uno o ms de los siguientes roles:
-

rea de Seguridad Informtica

Usuario

Custodio de informacin

Propietario de informacin

Capacitacin de usuarios
Es responsabilidad del rea de seguridad informtica promover constantemente la importancia
de la seguridad a todos los usuarios de los sistemas de informacin. El programa de
concientizacin en seguridad debe de contener continuas capacitaciones y charlas,
adicionalmente se puede emplear diversos mtodos como afiches, llaveros, mensajes de login, etc., los cuales recuerden permanentemente al usuario el papel importante que cumplen
en el mantenimiento de la seguridad de la informacin.
Concientizacin peridica
Estudios muestran que la retencin y el conocimiento aplicable se incrementan
considerablemente cuando el tema es sujeto a revisin. Los usuarios deben de ser informados
anualmente sobre la importancia de la seguridad de la informacin. Un resumen escrito de la
informacin bsica debe de ser entregada nuevamente a cada empleado y una copia firmada
debe de ser guardada en sus archivos.
La capacitacin en seguridad debe de incluir, pero no estar limitado, a los siguientes aspectos:
-

Requerimientos de identificador de usuario y contrasea - Seguridad de PC, incluyendo

proteccin de virus

Responsabilidades de la organizacin de seguridad de informacin

Concientizacin de las tcnicas utilizadas por hackers

Programas de cumplimiento

Administracin de operaciones realizadas por terceros

Todos los procesos de operacin realizados por terceros deben ser sujetos a una evaluacin de
riesgos de seguridad y se debe desarrollar procedimientos para administrar estos riesgos.
-

Asignacin de responsables para la supervisin de dichas actividades

Determinar si se procesar informacin crtica.

Determinar los controles de seguridad a implementar

Evaluar el cumplimiento de los estndares de seguridad del Banco.

Evaluar la implicancia de dichas tareas en los planes de contingencia del negocio

Procedimientos de respuesta ante incidentes de seguridad

Evaluar el cumplimiento de los estndares del Banco referentes a contratos con

terceros.

POLITICAS DE SEGURIDAD FISICA

Acceso Fsico
La Caja destinar un rea que servir como centro de telecomunicaciones donde ubicarn los
sistemas de telecomunicaciones y servidores.
Todos los sistemas de comunicaciones estarn debidamente protegidos con la infraestructura
apropiada de manera que el usuario no tenga acceso fsico directo.
Entendiendo por sistema de comunicaciones: el equipo activo y los medios de comunicacin.
El acceso de terceras personas debe ser identificado plenamente, controlado y vigilado
durante el acceso portando una identificacin que les ser asignado por el rea de seguridad
de acceso al edificio y a las oficinas de La Caja.
Las visitas internas o externas podrn acceder a las reas restringidas siempre y cuando se
encuentren acompaadas cuando menos por un responsable del rea de tecnologa.
Las visitas a las instalaciones fsicas de los centros de telecomunicaciones se harn en el
horario establecido.
El personal autorizado para mover, cambiar o extraer equipo de cmputo es el poseedor del
mismo o el superior responsable o los Personal Tcnico, a travs de formatos de autorizacin
de Entrada/Salida, los cuales notificarn a las personas delegadas del rea Administrativa de La
Caja y al personal de seguridad del edificio.

Proteccin Fsica
Centro de datos

El centro de datos deber:

Tener una puerta de acceso de vidrio templado transparente, para favorecer el control
del uso de los recursos de cmputo.

Ser un rea restringida. Tener un sistema de control de acceso que garantice la

entrada solo al personal autorizado por la gerencia de Tecnologa.

Recibir limpieza al menos una vez por semana, que permita mantenerse libre de polvo.

Estar libre de contactos e instalaciones elctricas en mal estado

Aire acondicionado. Mantener la temperatura a 21 grados centgrados.

Asignar un tcnico para que realice un control diario temperatura y aires

acondicionados y llevar un registro de estos controles.

Seguir los estndares de proteccin elctrica vigentes para minimizar el riesgo de

daos fsicos de los equipos de telecomunicaciones y servidores.

Los sistemas de tierra fsica, sistemas de proteccin e instalaciones elctricas

debern recibir mantenimiento anual con el fin de determinar la efectividad del

sistema.

Contar con algn esquema que asegure la continuidad del servicio.

Control de humedad

Prevencin y/o deteccin de incendios

Sistemas de extincin.

Contar por lo menos con dos extintores de incendio adecuado y cercano al centro de
dataos

Infraestructura
Las dependencias debern considerar los estndares vigentes de cableado estructurado
durante el diseo de nuevas reas o en el crecimiento de las reas existentes.
El resguardo de los equipos de cmputo deber quedar bajo el rea de Tecnologa contando
con un control de los equipos que permita conocer siempre la ubicacin fsica de los mismos.
Instalaciones de equipos de cmputo
La instalacin del equipo de cmputo, quedar sujeta a los siguientes lineamientos:

Los equipos para uso interno se instalarn en lugares adecuados, lejos de polvo y
trfico de personas.

El rea de Tecnologa, as como las reas operativas debern contar con un plano
actualizado de las instalaciones elctricas y de comunicaciones del equipo de cmputo
en red.

Las instalaciones elctricas y de comunicaciones, estarn preferiblemente fijas o en su

defecto resguardadas del paso de personas o materiales, y libres de cualquier
interferencia elctrica o magntica.

Las instalaciones se apegarn estrictamente a los requerimientos de los equipos,

cuidando las especificaciones del cableado y de los circuitos de proteccin necesarios.

En ningn caso se permitirn instalaciones improvisadas o sobrecargadas.

La supervisin y control de las instalaciones se llevar a cabo en los plazos y mediante

los mecanismos que establezca el Comit.

Recursos de los usuarios

Uso
Los usuarios debern cuidar, respetar y hacer un uso adecuado de los recursos de cmputo y
Red de La Caja, de acuerdo con las polticas que en este documento se mencionan.

Los usuarios debern solicitar apoyo al rea de Tecnologa ante cualquier duda en el manejo
de los recursos de cmputo de la Caja.
El correo electrnico no se deber usar para envo masivo, materiales de uso no institucional o
innecesarios (entindase por correo masivo todo aquel que sea ajeno a la empresa, tales como
cadenas, publicidad y propaganda comercial, poltica, social, etctera).

POLITICAS DE SEGURIDAD LOGICA

Red

Las redes tienen como propsito principal servir en la transformacin e intercambio de

informacin dentro de la entidad entre usuarios, departamentos y reas.

El rea de Tecnologa no es responsable por el contenido de datos ni por el trfico que

en ella circule, la responsabilidad recae directamente sobre el usuario que los genere o
solicite.

Nadie puede ver, copiar, alterar o destruir la informacin que reside en los equipos sin
el consentimiento explcito del responsable del equipo.

No se permite el uso de los servicios de la red cuando no cumplan con las labores
propias de La Caja.

Las cuentas de ingreso a los sistemas y los recursos de cmputo son propiedad de La
Caja y se usarn exclusivamente para actividades relacionadas con la labor asignada.

Todas las cuentas de acceso a los sistemas y recursos de las tecnologas de informacin
son personales e intransferibles. Se permite su uso nica y exclusivamente durante la
vigencia de derechos del usuario.

El uso de analizadores de red es permitido nica y exclusivamente por los Personal

Tcnico para monitorear la funcionalidad de las redes, contribuyendo a la
consolidacin del sistema de seguridad bajo las Polticas de Seguridad.

No se permitir el uso de analizadores para monitorear o censar redes ajenas a La Caja

y no se debern realizar anlisis de la Red desde equipos externos a la entidad.

Cuando se detecte un uso no aceptable, se cancelar la cuenta o se desconectar

temporal o permanentemente al usuario o red involucrada dependiendo de las
polticas. La reconexin se har en cuanto se considere que el uso no aceptable se ha
suspendido.

Servidores
Configuracin e instalacin

Los Personal Tcnico tiene la responsabilidad de verificar la instalacin, configuracin e

implementacin de seguridad, en los servidores conectados a la Red.
La instalacin y/o configuracin de todo servidor conectado a la Red ser responsabilidad de
los Personal Tcnico.
Durante la configuracin de los servidores los Personal Tcnico deben genera las normas para
el uso de los recursos del sistema y de la red, principalmente la restriccin de directorios,
permisos y programas a ser ejecutados por los usuarios.
Los servidores que proporcionen servicios a travs de la red e Internet debern: o Funcionar
24 horas del da los 365 das del ao o Recibir mantenimiento preventivo mnimo dos veces al
ao Recibir mantenimiento semestral que incluya depuracin de logs.
La informacin de los servidores deber ser respaldada diariamente si es informacin crtica.
Correo Electrnico
-

El Personal Tcnico se encargarn de asignar las cuentas a los usuarios para el uso de
correo electrnico en los servidores que administra.

Para efecto de asignarle su cuenta de correo al usuario, el rea de Recursos

Humanos deber llenar una solicitud en formato establecido para tal fin y entregarlo al
rea de Tecnologa, con su firma y la del Gerente del rea.

La cuenta ser activada en el momento en que el usuario ingrese por primera vez a su
correo y ser obligatorio el cambio de la contrasea de acceso inicialmente asignada.

La longitud mnima de las contraseas ser igual o superior a ocho caracteres.

Bases de Datos

El Administrador de la Base de Datos no deber eliminar ninguna informacin del

sistema, a menos que la informacin est daada o ponga en peligro el buen
funcionamiento del sistema.

El Administrador de la Base de Datos es el encargado de asignar las cuentas a los

usuarios para el uso.

Las contraseas sern asignadas por el Administrador de la Base de Datos en el

momento en que el usuario desee activar su cuenta, previa solicitud al responsable de
acuerdo con el procedimiento generado.

En caso de olvido de contrasea de un usuario, ser necesario que se presente con el

Administrador de la Base de Datos para reasignarle su contrasea.

La longitud mnima de las contraseas ser igual o superior a ocho caracteres, y

estarn constituidas por combinacin de caracteres alfabticos, numricos y
especiales.

Usuarios

Identificacin de Usuarios y contraseas

-

Todos los usuarios con acceso a un sistema de informacin o a la Red, dispondrn de

una nica autorizacin de acceso compuesta de identificador de usuario y contrasea.

Ningn usuario recibir un identificador de acceso a la Red, Recursos Informticos o

aplicaciones hasta que no acepte formalmente la Poltica de Seguridad vigente.

El usuario deber definir su contrasea de acuerdo al procedimiento establecido para

tal efecto y ser responsable de la confidencialidad de la misma.

Los usuarios tendrn acceso autorizado nicamente a aquellos datos y recurso que
precisen para el desarrollo de sus funciones, conforme a los criterios establecidos por
La Gerencia.

La longitud mnima de las contraseas ser igual o superior a ocho caracteres, y

estarn constituidas por combinacin de caracteres alfabticos, numricos y
especiales.

Los identificadores para usuarios temporales se configurarn para un corto perodo de

tiempo. Una vez expirado dicho perodo, se desactivarn de los sistemas.

El usuario deber renovar su contrasea y colaborar en lo que sea necesario, a

solicitud de los ATI, con el fin de contribuir a la seguridad de los servidores en los
siguientes casos:

Cuando sta sea una contrasea dbil o de fcil acceso.

Cuando crea que ha sido violada la contrasea de alguna manera.

Si un usuario viola las polticas de uso de los servidores, los ATI podrn cancelar
totalmente su cuenta.

Responsabilidades Personales
-

Los usuarios son responsables de toda actividad relacionada con el uso de su acceso
autorizado.

Los usuarios no deben revelar bajo ningn concepto su identificador y/o contrasea a
otra persona ni mantenerla por escrito a la vista, ni al alcance de terceros.

Los usuarios no deben utilizar ningn acceso autorizado de otro usuario, aunque
dispongan de la autorizacin del propietario.

Si un usuario tiene sospechas de que su acceso autorizado (identificador de usuario y

contrasea) est siendo utilizado por otra persona, debe proceder al cambio de su
contrasea e informar a su jefe inmediato y ste reportar al responsable de la
administracin de la red.

El Usuario debe utilizar una contrasea compuesta por un mnimo de ocho caracteres
constituida por una combinacin de caracteres alfabticos, numricos y especiales.

La contrasea no debe hacer referencia a ningn concepto, objeto o idea reconocible.

Por tanto, se debe evitar utilizar en las contraseas fechas significativas, das de la
semana, meses del ao, nombres de personas, telfonos.

En caso que el sistema no lo solicite automticamente, el usuario debe cambiar la

contrasea provisional asignada la primera vez que realiza un acceso vlido al sistema.

En el caso que el sistema no lo solicite automticamente, el usuario debe cambiar su

contrasea como mnimo una vez cada 30 das. En caso contrario, se le podr

Queda Prohibido
-

El uso de estos recursos para actividades no relacionadas con el propsito del negocio,
o bien con la extralimitacin en su uso.

Las actividades, equipos o aplicaciones que no estn directamente especificados como

parte del Software o de los Estndares de los Recursos Informticos propios de La Caja.

Introducir en los Sistemas de Informacin o la Red Corporativa contenidos obscenos,

amenazadores, inmorales u ofensivos.

Introducir voluntariamente programas, virus, macros, applets, controles ActiveX o

cualquier otro dispositivo lgico o secuencia de caracteres que causen o sean
susceptibles de causar cualquier tipo de alteracin o dao en los Recursos
Informticos.

Intentar destruir, alterar, inutilizar o cualquier otra forma de daar los datos,
programas o documentos electrnicos.

Albergar datos de carcter personal en las unidades locales de disco de los

computadores de trabajo.

Cualquier fichero introducido en la Red o en el puesto de trabajo del usuario a travs

de soportes automatizados, internet, correo electrnico o cualquier otro medio,
deber cumplir los requisitos establecidos.

Antivirus
Todos los equipos de cmputo de La Caja debern tener instalada una Solucin Antivirus.
Peridicamente se har el rastreo en los equipos de cmputo de La Caja, y se realizar la
actualizacin de las firmas de antivirus proporcionadas por el fabricante de la solucin
antivirus en los equipos conectados a la Red.
Responsabilidad del Personal Tcnico
Implementar la Solucin Antivirus en las computadoras de La Caja.
Solucionar contingencias presentadas ante el surgimiento de virus que la solucin no se haya
detectado automticamente.

Configurar el analizador de red para la deteccin de virus.

El Personal Tcnico aislarn el equipo o red, notificando a la Gerencia correspondiente, en las
condiciones siguientes:

SEGURIDAD PERIMETRAL
La seguridad perimetral es uno de los mtodos posibles de proteccin de la Red, basado en el
establecimiento de recursos de seguridad en el permetro externo de la red y a diferentes
niveles. Esto permite definir niveles de confianza, permitiendo el acceso de determinados
usuarios internos o externos a determinados servicios, y denegando cualquier tipo de acceso a
otros.
-

El Personal Tcnico implementarn soluciones lgicas y fsicas que garanticen la

proteccin de la informacin de las compaas de posibles ataques internos o
externos.

Rechazar conexiones a servicios comprometidos

Permitir slo ciertos tipos de trfico (p. ej. correo electrnico, http, https).

Proporcionar un nico punto de interconexin con el exterior.

Redirigir el trfico entrante a los sistemas adecuados dentro de la intranet (Red

Interna).

Ocultar sistemas o servicios vulnerables que no son fciles de proteger desde Internet

Auditar el trfico entre el exterior y el interior.

Ocultar informacin: nombres de sistemas, topologa de la red, tipos de dispositivos de

red cuentas de usuarios internos.

Firewall
La solucin de seguridad perimetral debe ser controlada con un Firewall por Hardware (fsico)
que se encarga de controlar puertos y conexiones, es decir, de permitir el paso y el flujo de
datos entre los puertos, ya sean clientes o servidores.
-

Este equipo deber estar cubierto con un sistema de alta disponibilidad que permita la
continuidad de los servicios en caso de fallo.

El Personal Tcnico establecern las reglas en el Firewall necesarias bloquear, permitir

o ignorar el flujo de datos entrante y saliente de la Red.

El firewall debe bloquear las conexiones extraas y no dejarlas pasar para que no
causen problemas.

El firewall debe controlar los ataques de Denegacin de Servicio y controlar tambin

el nmero de conexiones que se estn produciendo, y en cuanto detectan que se

establecen ms de las normales desde un mismo punto bloquearlas y mantener el

servicio a salvo.
-

Controlar las aplicaciones que acceden a Internet para impedir que programas a los
que no hemos permitido explcitamente acceso a Internet, puedan enviar informacin
interna al exterior (tipo troyanos).

Conectividad a Internet
-

La autorizacin de acceso a Internet se concede exclusivamente para actividades de

trabajo. Todos los colaboradores de La Caja tienen las mismas responsabilidades en
cuanto al uso de Internet.

El acceso a Internet se restringe exclusivamente a travs de la Red establecida para

ello, es decir, por medio del sistema de seguridad con Firewall incorporado en la
misma.

No est permitido acceder a Internet llamando directamente a un proveedor de

servicio de acceso y usando un navegador, o con otras herramientas de Internet
conectndose con un mdem.

RIESGOS DE SEGURIDAD
En la Financiera Los Andes pensando en la seguridad de nuestros clientes, usuarios y
funcionarios, exponemos las principales amenazas informticas y los posibles riesgos que
podran materializarse, para evitar que su informacin caiga en manos inescrupulosas o sea
vctima de fraude electrnico.
SPAM
Son mensajes no solicitados, habitualmente de tipo publicitario, enviados en forma masiva. La
va ms utilizada es la basada en el correo electrnico (SPAM) pero puede presentarse por
programas de mensajera instantnea (SPIM) , por telfono celular (SPAM SMS), por telefona
IP (SPIT) ; el objetivo de esta amenaza es recolectar direcciones de correo electrnico reales
para obtener beneficios econmicos, transmitir de virus, capturar de contraseas mediante
engao (phisihing), entre otros.
Recomendaciones:

No enviar mensajes en cadena ya que los mismos generalmente son algn tipo de
engao (hoax).

Cuando necesite enviar un email por internet a varios destinatarios, es recomendable

hacerlo con la opcin con copia oculta (CCC), ya que esto evita que un destinatario
vea, o se apodere, del email de los dems destinatarios.

No publicar una direccin privada en sitios webs, foros, conversaciones online, etc., ya
que slo facilita la obtencin de las mismas a los spammers (personas que envan
spam).

Si desea navegar o registrarse en sitios de baja confianza hgalo con cuentas de emails destinadas para tal fin.

Nunca responder este tipo de mensajes ya que con esto slo estamos confirmando
nuestra direccin de e-mail y slo lograremos recibir ms correo basura.

Es bueno tener ms de una cuenta de correo (al menos 2 o 3): una cuenta laboral que
slo sea utilizada para este fin, una personal y la otra para contacto pblico o de
distribucin masiva.

CDIGO MALICIOSO (MALWARE)

Es un tipo de software que tiene como objetivo infiltrarse o daar una computadora sin el
consentimiento de su propietario; el trmino malware es muy utilizado por profesionales de la
informtica para referirse a una variedad de software hostil, intrusivo o molesto.
El trmino malware incluye:

Virus: Los virus informticos tienen, bsicamente, la funcin de propagarse a travs de

un software, son muy nocivos y algunos contienen adems una carga daina (payload)
con distintos objetivos, desde una simple broma hasta realizar daos importantes en
los sistemas, o bloquear las redes informticas generando trfico intil.

Gusanos: Tiene la propiedad de duplicarse a s mismo; los gusanos utilizan las partes
automticas de un sistema operativo que generalmente son invisibles al usuario. A
diferencia de un virus, un gusano no precisa alterar los archivos de programas, sino
que reside en la memoria y se duplica a s mismo. Los gusanos casi siempre causan
problemas en la red (aunque sea simplemente consumiendo ancho de banda),
mientras que los virus siempre infectan o corrompen los archivos de la computadora
que atacan.

Troyanos: Es un software malicioso que se presenta al usuario como un programa

aparentemente legtimo e inofensivo pero al ejecutarlo ocasiona daos; los troyanos
pueden realizar diferentes tareas, pero, en la mayora de los casos crean una puerta
trasera (en ingls backdoor) que permite la administracin remota del computador a
un usuario no autorizado.

Rootkits: Es un programa que permite un acceso de privilegio continuo a una

computadora pero que mantiene su presencia activamente oculta al control de los

administradores al corromper el funcionamiento normal del sistema operativo o de

otras aplicaciones.

Spyware: Es un software que recopila informacin de un ordenador y despus

transmite esta informacin a una entidad externa sin el conocimiento o el
consentimiento del propietario del ordenador.

Keyloggers: Son programas maliciosos que monitorizan todas las pulsaciones del
teclado y las almacenan para un posterior envo al creador; por ejemplo al introducir
un nmero de tarjeta de crdito el keylogger guarda el nmero, posteriormente lo
enva al autor del programa y este puede hacer pagos fraudulentos con esa tarjeta.

Stealers: Tambin roban informacin privada pero slo la que se encuentra guardada
en el equipo. Al ejecutarse comprueban los programas instalados en el equipo y si
tienen contraseas recordadas, por ejemplo en los navegadores web o en clientes de
mensajera instantnea, descifran esa informacin y la envan al creador.

Adware: Es cualquier programa que automticamente se ejecuta, muestra o baja

publicidad web al computador despus de instalar el programa o mientras se est
utilizando la aplicacin. 'Ad' en la palabra 'adware' se refiere a 'advertisement'
(anuncios) en ingls.

Crimeware: Ha sido diseado, mediante tcnicas de ingeniera social u otras tcnicas

genricas de fraude en lnea, con el fin de conseguir el robo de identidades para
acceder a los datos de usuario de las cuentas en lnea de compaas de servicios
financieros o compaas de venta por correo, con el objetivo de obtener los fondos de
dichas cuentas, o de completar transacciones no autorizadas por su propietario
legtimo, que enriquecern al ladrn que controla el crimeware.

Pharming: Es la explotacin de una vulnerabilidad en el software de los servidores DNS

(Domain Name System) o en el de los equipos de los propios usuarios, que permite a
un atacante redirigir un nombre de dominio (domain name) a otra mquina distinta.
De esta forma, un usuario que introduzca un determinado nombre de dominio que
haya sido redirigido, acceder en su explorador de internet a la pgina web que el
atacante haya especificado para ese nombre de dominio.

INGENIERA SOCIAL
Es una accin o conducta social destinada a conseguir informacin de las personas cercanas a
un sistema de informacin; es el arte de conseguir lo que nos interese de un tercero por medio
de habilidades sociales. Estas prcticas estn relacionadas con la comunicacin entre seres
humanos.

Las acciones realizadas suelen aprovecharse de engaos, tretas y artimaas para lograr
que un usuario autorizado revele informacin que, de alguna forma, compromete al
sistema.

Los fines generales de la ingeniera social son:

El usuario es tentado a realizar una accin necesaria para daar el sistema: este es el
caso en donde el usuario recibe un mensaje que lo lleva a abrir un archivo adjunto o
abrir la pgina web recomendada que terminar daando el sistema.

El usuario es llevado a confiar informacin necesaria para que el atacante realice una
accin fraudulenta con los datos obtenidos. Este es el caso del phishing, en donde el
usuario entrega informacin al delincuente creyendo que lo hace a una entidad de
confianza.

Recomendaciones

Evite brindar informacin que pueda comprometer la seguridad personal o de los

sistemas de informacin; datos como usuario, contrasea, fecha de nacimiento,
nombres de familiares, empresas, nmeros de tarjetas, situacin social, salud,
costumbres, datos econmicos, etc. pueden ser utilizados por una persona
inescrupulosa para efectuar acciones dainas.

PHISHING
Es una modalidad de estafa con el objetivo de intentar obtener de un usuario informacin
personal como: contraseas, cuentas bancarias, nmeros de tarjeta de crdito, nmero de
identificacin, direcciones, nmeros telefnicos, entre otros, para luego ser usados de forma
fraudulenta; para esto el estafador, conocido como phisher, se hace pasar por una persona o
empresa de confianza en una aparente comunicacin oficial electrnica, por lo comn un
correo electrnico, sistema de mensajera instantnea o incluso utilizando tambin llamadas
telefnicas, de esta manera hacen "creer" a la posible vctima que realmente los datos
solicitados proceden del sitio "Oficial" cuando en realidad no lo es.
Recomendaciones

La Financiera Los Andes NUNCA le solicitar informacin personal o financiera a travs

de correo electrnico, llamada telefnica o mensaje corto (SMS).

Ante la recepcin de correos electrnicos sospechosos con temas relacionados con la

Financiera Los Andes comunquese a nuestras centrales.

SMISHING

Es un tipo de delito informtico o actividad criminal usando tcnicas de ingeniera social

empleado mensajes de texto dirigidos a los usuarios de telefona celular.
El sistema emisor de estos mensajes de texto o incluso un individuo el cual suele ser un
spammer, intentar suplantar la identidad de alguna persona conocida entre nuestros
contactos o incluso una empresa de confianza, solicitando el ingreso a una direccin en
internet o un nmero de Call center falsos, con el fin de tratar de robar dinero o adquirir
informacin personal.
Recomendacin

Generalmente los mensajes de texto SMS recibidos anunciando premios, bonos,

descuentos son falsos y slo buscan robar su dinero o informacin personal con fines
criminales, evite comunicarse con los telfonos o sitios web que le indican, reporte
este tipo de mensajes en caso que se relacionen con la Financiera Los Andes y elimine
los mensajes de su equipo mvil.

VISHING
El atacante cuando se vale de la tcnica de vishing, enva mensajes de correo fraudulentos que
sugieren llamar a un nmero de telfono, en el cual un contestador automtico va solicitando
toda la informacin requerida para acceder a nuestros productos a travs de medios
electrnicos.
Un ejemplo de vishing es:

El criminal configura un war dialing (hacer llamadas a una serie de nmeros de

telfono automticamente con el fin de encontrar mdems conectados y permitiendo
la conexin con algn otro ordenador) para llamar a nmeros telefnicos en una
determinada regin.

Cuando la llamada es contestada, una grabacin toca y alerta que al "consumidor" que
por ejemplo su tarjeta de crdito est siendo utilizada de forma fraudulenta y que este
debe llamar al nmero que sigue inmediatamente. El nmero puede ser un nmero
gratuito falseado para la compaa financiera que se pretende representar.

Cuando la vctima llama a este nmero, es contestada por una voz computarizada que
le indica al "cliente" que su cuenta necesita ser verificada y le requiere que ingrese los
16 dgitos de su tarjeta de crdito.

Cuando la persona provee la informacin de su tarjeta de crdito, el visher (atacante)

tiene toda la informacin necesaria para realizar cargos fraudulentos a la tarjeta de la
vctima.

La llamada puede ser tambin utilizada para obtener detalles adicionales como el PIN
de seguridad, la fecha de expiracin, el nmero de cuenta u otra informacin
importante.

Recomendaciones:

Cuando reciba llamadas de nmeros desconocidos valide con quien se est

comunicando y no suministre informacin confidencial si no est seguro de quin la
est solicitando y el motivo.

Recuerde que para hacer transacciones usted es quien inicia la comunicacin con las
lneas telefnicas que la Financiera Los Andes ha definido.

DISEO DE TRANSMISION DE DATOS

CONFIGURACION DE PERMISOS
Se han considerado los siguientes puntos:

Asignacin de nombres y direcciones

El primer problema al que hay que hacer frente en el diseo de la estructura lgica de la
red consiste en la asignacin de nombres y direcciones de red a todos los ordenadores que
vayan a convivir con ella. Tanto los nombres como las direcciones han de ser nicos en la
red, pues identifican a los equipos.

Cuentas de usuario

Las cuentas de usuario son el modo habitual de personalizar el acceso a la red. As, toda
persona que utilice la red con regularidad debe tener una cuenta de acceso. Para que el
control de este acceso sea suficientemente bueno, las cuentas deben ser personales, es
decir, dos usuarios no deben compartir la misma cuenta.
La cuenta proporciona el acceso a la red y lleva asociadas todas las caractersticas y
propiedades del usuario tiles en las labores de administracin. Para ello se debe contar
con:
-

Nombre de usuario

Contrasea

Nombre completo del usuario

Horario permitido de acceso a la red

Estaciones de inicio de sesin

Caducidad

Directorio particular

Archivos de inicio de sesin.

Pata ello usaremos el directorio Activo, al ser una herramienta que permitir una gestin
adecuada de los usuarios y respectivos dominios.

A parte se tomara en cuenta lo siguiente:

-

La asignacin del password debe ser realizada de forma individual, por lo que el uso de
password compartidos est prohibido.

Cuando un usuario olvide, bloquee o extrave su password, deber levantar un reporte

al Departamento de Tecnologas de la Informacin para que se le proporcione un
nuevo password y una vez que lo reciba deber cambiarlo en el momento en que
acceda nuevamente a la infraestructura tecnolgica.

La obtencin o cambio de un password debe hacerse de forma segura, el usuario

deber acreditarse ante el rea de sistemas como empleado de la financiera.

Est prohibido que los passwords se encuentren de forma legible en cualquier medio
impreso y dejarlos en un lugar donde personas no autorizadas puedan descubrirlos.

Sin importar las circunstancias, los passwords nunca se deben compartir o revelar.
Hacer esto responsabiliza al usuario que prest su password de todas las acciones que
se realicen con el mismo.

Todos los usuarios debern observar los siguientes lineamientos para la construccin de
sus passwords:
-

Deben estar compuestos de al menos seis (6) caracteres y mximo diez (10), estos
caracteres deben ser alfanumricos.

Deben ser difciles de adivinar, esto implica que los passwords no deben relacionarse
con el trabajo o la vida personal del usuario, y no deben contener caracteres que
expresen listas secuenciales y caracteres de control.

No deben ser idnticos o similares a password que hayan usado previamente.

El password tendr una vigencia de 90 das, finalizando este periodo el usuario deber
realizar el cambio de contrasea.

Todo usuario que tenga la sospecha de que su password es conocido por otra persona,
deber cambiarlo inmediatamente.

Los usuarios no deben almacenar los password en ningn programa o sistema que
proporcione esta facilidad.

Los cambios o desbloqueo de password solicitados por el usuario al rea de sistemas

sern notificados con posterioridad por correo electrnico al solicitante con copia al
jefe inmediato correspondiente, de tal forma que se pueda detectar y reportar
cualquier cambio no solicitado.

SEGURIDAD FSICA DE DATOS

Resguardo y proteccin de la informacin

El usuario deber reportar de forma inmediata al rea de sistemas, cuando detecte que
existan riesgos reales o potenciales para equipos de cmputo o comunicaciones, como
pueden ser fugas de agua, conatos de incendio u otros.
El usuario tiene la obligacin de proteger los discos, disquetes, cintas magnticas y CDROM
que se encuentren bajo su administracin, aun cuando no se utilicen y contengan
informacin reservada o confidencial.

Es responsabilidad del usuario evitar en todo momento la fuga de la informacin de la

Institucin que se encuentre almacenada en los equipos de cmputo personal que tenga
asignados.
Es responsabilidad del usuario el mantener un respaldo actualizado de la informacin
almacenada en el equipo de cmputo asignado.

Prdida de Equipo

El usuario que tenga bajo su resguardo algn equipo de cmputo, ser responsable de su
uso y custodia; en consecuencia, responder por dicho bien de acuerdo a la normatividad
vigente en los casos de robo, extravo o prdida del mismo.
El resguardo para las laptops, tiene el carcter de personal y ser intransferible. Por tal
motivo, queda prohibido su prstamo.
El usuario deber dar aviso inmediato a las reas de Patrimonio institucional, rea de
sistemas, as mismo levantar un acta del robo o extravo del equipo de cmputo o
accesorios bajo su resguardo.
CORRUPCIN DE DATOS
Se tomaran las siguientes medidas preventivas:

Proceso de Backup

Descripcin de actividades:
1. La oficina de informtica defini, que el proceso de backup se realice de forma automtica
(tareas programadas de Windows), con una periodicidad:
2. Diaria final del da: Su ejecucin se llevar a cabo en horario nocturno, de la siguiente
manera:

Diferencial .Bkf para imgenes y .Backup para base de datos, copias que se
realizarn en la unidad LTO IBM 800GB.

2.1. La verificacin se debe hacer de dos formas:

-

Fecha de modificacin o creacin: Para verificar si el backup de la Base de Datos se

realiz en la fecha estipulada, se debe ubicar en la carpeta Backups DB al abrirla
encontrara los archivos generados por la tarea programada en cada una de las

unidades de almacenamiento externas, los cuales aparecen de la siguiente manera:

AFILIADOS_Fri01212011.backup y CUENTAS_Fri01212011 el backup crea un nombre
con la fecha (DD,MM,AA) para las bases de datos respectivamente, para el caso del
backup de Imgenes, se debe verificar en la carpeta Back_Diferencial por la fecha de
modificacin o Date Modified.
2.2. Tamao de Archivo: La verificacin por tamao de archivo se har por cada una de las
carpetas, en las unidades de almacenamiento externo de la siguiente manera:
-

Backups DB: se abre la carpeta y se verifica el tamao del archivo en la columna

tamao o size de la ventana.
Ejm: AFILIADOS_23092011.backup size 826,102 KB

Backup_Diferencial en HITACHI: se abre la carpeta y se verifica el tamao del archivo

en la columna tamao o size de la ventana. Ejm: Back_Diferencial size
262,156,980 KB. La verificacin del backup en las cintas

LTO Ultrium se har de la siguiente forma:

Doble clic en el icono que se encuentra en el escritorio de backup.

En la ventana que aparece selecionamos always start in wizard mode y clic en el

botn next.

Seleccionamos restore files and settings y clic en el boton next.

Desplegamos hacienda clic en + LTO ultrium y verificamos la fecha del backup que se
halla realizado.

Para finalizar clic en cancel

3. Diaria: se realiza al final del da, esta copia se har por medio de una tarea programada,
dicho backup se almacenar en el disco duro externo HITACHI de 2TB. El proceso inicia y
termina automticamente.
3.1. Fecha de modificacin o creacin: Para verificar si el backup se realiz en la fecha
estipulada se debe ubicar en la carpeta Back_Diferencial.bkf en el disco duro
externo Hitachi de 2TB, para verificar el tamao del archivo, haga clic derecho
propiedades y seleccione size o tamao posteriormente copie el tamao a la
bitcora.
4.

Diligenciar en los formatos de control las copias realizadas con sus respectivas bases de
datos, fecha de creacin y tamao utilizar el formato oficial Bitacora Backup Diario en
formato Excel.
Responsable: Coordinador o Administrador Centro de Cmputo.

Conocimiento: Aplicaciones y Bases de Datos.

Recursos esenciales: Sistema de informacin, instructivos y equipos.

DISEO DE SEGURIDAD PARA TRANSMISIN DE DATOS

Adems se debe tomar en consideracin que la fuerza laboral del futuro ser mvil, y una
compaa u organizacin no estarn en capacidad de construir o rentar suficientes lneas a
travs de todo el mundo para garantizar conexiones seguras. Y es aqu donde toma
importancia la implementacin de una red privada virtual apoyado con un firewall y proxy, una
red privada virtual utiliza Internet como medio de transmisin de datos, lo que permite un
considerable ahorro en trminos econmicos.
Se propone realizar la implementacin de un modelo de seguridad para la transmisin de
datos entre las agencias y la oficina principal, adems la implementacin de un servidor de
seguridad mediante firewall y proxy.

Implementar una solucin de VPN mediante en el rea de sistemas de la cooperativa

de mercados de Ayacucho con el propsito de integrar de manera segura la oficina
principal y sus diferentes agencias.

Implementar un servidor Firewall en el rea de sistemas de la cooperativa de

mercados de Ayacucho con el propsito de contar con un sistema de seguridad de red
en la sede central.

Para qu tener una Red Privada Virtual apoyados con un Firewall y Proxy? Para integrar de
manera segura la sede central y los sucursales deben contar con un sistema de seguridad para
el control de trfico mediante el firewall y proxy.
Quines sern los usuarios?
Los usuarios remotos de las sucursales.
Qu servicios se colocarn primero, cules despus?
El servicio al que se dar prioridad ser Systur (Sistema de turnos para atencin de Planillas,
Credicaserito y Cooperativas Comunales), ya que es un sistema web que acceden los usuarios
remotos de las sucursales.
Tipo de servidores que posee la empresa
Servidor de Aplicaciones

Servidor web
Servidor de Correo
Servidor de Archivos Servidor de Base de Datos

Implementar un servidor Proxy en el rea de sistemas de la cooperativa de mercados

de Ayacucho con el propsito de administrar el acceso a los recursos de internet.

Qu aplicaciones van a pasar por la Red Privada Virtual?

Systur: Sistema de turnos para atencin de Planillas, Credicaserito y Cooperativas
Comunales.
Cuntos usuarios estiman que utilizarn la Red Privada Virtual?
Los usuarios que utilizarn la Red Privada Virtual son principalmente los llamados rganos de
lnea, los cuales son:

rea de Operaciones: Caja, admisin e Informes

rea de Crditos: Cooperativas Comunales, Credicaserito, Analista, Cobranza

rea de Contabilidad: Recursos, Abastecimiento

rea de Sistemas

El trfico que pasar por la VPN es pesado?

Se usar para el acceso a Systur (Sistema de turnos para atencin de Planillas, Credicaserito y
Cooperativas Comunales) mediante el protocolo de HTTP, y al servidor de archivos. Las
aplicaciones web no se consideran pesadas en la VPN. En cambio las aplicaciones desktop
generan mucho trfico y no se recomienda usarlo a travs de la VPN.

Qu tipo de seguridad se utilizarn en la Red Privada Virtual?

Utiliza Certificados Digitales para autenticar a los clientes y para el cifrado de la comunicacin
utilizar los siguientes sistemas criptogrficos.
Des: Una unidad de cifrado por bloques (block cipher en ingls) es una unidad de cifrado de
clave simtrica que opera en grupos de bits de longitud fija, llamados bloques, aplicndoles
una transformacin invariante.

Matriz de uso y estrategia de tecnologa

Esta matriz muestra la tecnologa utilizada actualmente por la Cooperativa y los cambios estratgicos planificados que impactan en ella, las implicancias de
seguridad asociadas al uso de tecnologa y los estndares o medidas propuestas para minimizar los riesgos generados por la tecnologa empleada.
Tecnologa
Base de datos

Banca electrnica
a travs de
Internet.

Implicancia de seguridad
Se debe contar con controles de acceso a informacin de los sistemas que
soportan el negocio de la Compaa.
El servidor Web se encuentra en calidad de "hosting" en Telefnica Data, se
debe asegurar que el equipo cuente con las medidas de seguridad
necesarias, tanto fsicas como lgicas.
La transmisin de los datos es realizada a travs de un medio pblico
(Internet), se debe contar con medidas adecuadas para mantener la
confidencialidad de la informacin (encriptacin de la data).
El servidor Web que es accedido por los clientes puede ser blanco potencial
de actividad vandlica con el propsito de afectar la imagen de la
Cooperativa.
La disponibilidad del sistema es un factor clave para el xito del servicio.
El sistema central es el sistema que soporta gran parte de los procesos del
negocio de la Cooperativa, por lo tanto, todo acceso no autorizado al
servidor representa un riesgo potencial para el negocio.

Sistema Central

MIS (Management
Information

El acceso a repositorios de informacin sensible debe ser restringido

adecuadamente.

Estndar o medida de
seguridad a aplicar
Estndar de mejores prcticas de seguridad para
bases de datos
Estndares de encriptacin de informacin
transmitida.
Clusulas de confidencialidad y delimitacin de
responsabilidades en contratos con proveedores.
Acuerdos de nivel de servicios con proveedores,
en los cuales se detalle el porcentaje mnimo de
disponibilidad del sistema.
Evaluacin independiente de la seguridad del
servidor que brinda el servicio, o acreditacin de la
misma por parte del proveedor.
Estndar de mejores prcticas de seguridad
Revisin peridica de los accesos otorgados a los
usuarios del sistema.
Monitoreo peridico de la actividad realizada en el
servidor.
Verificacin del control dual de aprobacin en
transacciones sensibles.
Adecuados controles de acceso y otorgamiento de
perfiles a la aplicacin.

System)
Computadoras
personales.

Correo electrnico

Conexin a
Internet y redes
Pblicas / Firewall.

Se debe contar con adecuados controles de acceso a informacin existente

en computadoras personales.
Se requieren adecuados controles de accesos a la informacin de los
sistemas desde las computadoras personales de usuarios.
Posibilidad de interceptacin no autorizada de mensajes de correo
electrnico.
Riesgo de acceso no autorizado a informacin del servidor.
Posibilidad de utilizacin de recursos por parte de personas no autorizadas,
para enviar correo electrnico a terceros (relay no autorizado).
Posibilidad de recepcin de correo inservible (SPAM).
Riesgos de accesos no autorizados desde Internet y redes externas hacia los
sistemas de la Cooperativa.
Adecuado uso del acceso a Internet por parte de los usuarios.
Los dispositivos que permiten controlar accesos, tales como, firewalls,
servidores proxy, etc.
Deben contar con medidas de seguridad adecuadas para evitar su
manipulacin por personas no autorizadas.
Riesgo de acceso no autorizado desde socios de negocios hacia los sistemas
de La Compaa.

Concientizacin y entrenamiento de los usuarios

en temas de seguridad de la informacin.
Implementacin de mayores controles de
seguridad para computadoras personales.
Se debe contar con estndares de encriptacin
para los mensajes de correo electrnico que
contengan informacin confidencial.
Implementacin de un sistema de seguridad del
contenido SMTP.
Polticas de seguridad.
Estndares de mejores prcticas de seguridad para
servidores, correo electrnico, servidores Web y
equipos de comunicaciones.
Delimitacin de responsabilidades referentes a la
seguridad de informacin en contratos con
proveedores.
Mejores prcticas de seguridad para configuracin
de Firewalls.
Diseo e implementacin de una arquitectura de
seguridad de red.Utilizacin de sistemas de
deteccin de intrusos.
Especificacin de acuerdos de nivel de servicio con
el proveedor.
Controles y filtros para el acceso a Internet.

Matriz de Evaluacin de Amenazas y Vulnerabilidades

En esta matriz se muestra los riesgos y amenazas identificadas, las implicancias de seguridad y los estndares o medidas de seguridad necesarias para
mitigar dicha amenaza.
Amenaza /
Vulnerabilidad
Riesgos/ Amenazas

Implicancia de Seguridad

La existencia de informacin atractiva

para competidores de negocio tales
como informacin de clientes e
informacin de marketing implica la
aplicacin de controles adecuados
para el acceso a informacin.
Inters en obtener
Informacin estratgica de la Cooperativa, por parte de
competidores de negocio.

Inters en obtener Beneficios econmicos

mediante actividad fraudulenta.

Debido al volumen de dinero que es

administrado por es administrado por
una entidad financiera, la amenaza de
intento de fraude es una posibilidad
muy tentadora tanto para personal
interno de la Cooperativa, as como
para personal

Estndar o medida de
seguridad a aplicar
Estndares de seguridad para
servidores
Control de acceso a las
aplicaciones de la Cooperativa.
Revisin y depuracin peridica de
los accesos otorgados.
Restricciones en el manejo de
informacin enviada por correo
electrnico hacia redes externas,
extrada en disquetes o cds e
Verificacin de la informacin
impresa en reportes, evitar
mostrar informacin innecesaria
en ellos.
Polticas de seguridad.
Controles de accesos a los mens
de las aplicaciones.
Revisiones
peridicas
de
informacin por parte
del
propietario de la misma.
Revisiones peridicas de los
registros (logs) de los sistemas y
operaciones realizadas.

Actividad
Vandlica realizada por
hackers o crackers

Prdida de informacin
producto de infeccin por virus informtico.

Fuga de informacin a
travs del personal que ingresa de manera temporal en sustitucin
de empleados en vacaciones.

La actividad desarrollada por

hackers o crackers de sistemas,
puede afectar la disponibilidad,
integridad y confidencialidad de la
informacin del negocio. Estos actos
vandlicos pueden ser desarrollados
por personal interno o externo a la
Cooperativa.
Adicionalmente si dicha actividad es
realizada contra equipos que proveen
servicios a los clientes (pgina Web
de la Cooperativa) la imagen y
reputacin de la Cooperativa se
podra ver afectada en un grado muy
importante.
El riesgo de prdida de informacin
por virus informtico es alto si no se
administra adecuadamente el sistema
Antivirus y los usuarios no han sido
concientizados en seguridad de
informacin

Los accesos otorgados al personal

temporal deben ser controlados
adecuadamente,
asimismo
la

Mejores
prcticas
para
configuracin
de
firewalls,
servidores
y
equipos
de
comunicaciones.
Estndares de seguridad para
servidores.
Delimitacin de responsabilidades
y sanciones en los contratos con
proveedores de servicios en
calidad de hosting.
Verificacin
de
evaluaciones
peridicas o certificaciones de la
seguridad de los sistemas en
calidad de hosting.
Concientizacin y compromiso
formal de los usuarios en temas
relacionados a la seguridad de
informacin.
Polticas de Seguridad.
Adecuada
arquitectura
e
implementacin
del
sistema
antivirus.
Verificacin peridica de la
actualizacin del antivirus de
computadoras
personales
y
servidores.
Generacin peridica de reportes
de virus
Control adecuado de los accesos
otorgados.
Depuracin peridica de accesos

actividad realizada por los mismos en

los sistemas debe ser peridicamente
monitoreada.
El personal temporal podra realizar
actividad no autorizada, la cual podra
ser detectada cuando haya finalizado
sus labores en la Cooperativa.

otorgados a los sistemas.

Restricciones en acceso a correo
electrnico y transferencia de
archivos hacia Internet.
Adecuada configuracin y revisin
peridica de los registros (logs) de
aplicaciones y sistema operativo.
Vulnerabilidades
No se cuenta con un inventario de
perfiles de acceso a las aplicaciones.
El control

El control sobre la actividad de los

usuarios en los sistemas es llevado a
cabo en muchos casos, mediante
perfiles de usuarios controlando as
los privilegios de acceso a los
sistemas.

Se debe contar con un inventario

de los accesos que poseen los
usuarios sobre las aplicaciones.
Revisiones peridicas de los
perfiles y accesos de los usuarios
por parte del propietario de la
informacin.
Uniformizar dentro de lo posible la
estructura de las contraseas
empleadas y sus fechas de
renovacin.
Implementar un sistema de
Servicio de directorio, el cual
permita al usuario identificarse en
l, y mediante un proceso
automtico, ste lo identifique en
los sistemas en los cuales posee
acceso.

Vulnerabilidades

No se cuenta con un inventario de perfiles de acceso a las

aplicaciones.

Exceso de contraseas manejadas por los usuarios.

La necesidad de utilizar contraseas

distintas para cada sistema o
aplicacin de la Cooperativa, puede
afectar la seguridad en la medida que
el usuario no sea capaz de retener en
la memoria, la relacin de nombres
de usuario y contraseas utilizadas en
todos los sistemas. La necesidad de
anotar las contraseas por parte de
los usuarios, expone las mismas a
acceso por parte de personal no
autorizado.

Existencia de usuarios del rea de desarrollo y personal temporal

con acceso al entorno de produccin.

El ambiente de produccin debe

contar con controles de acceso
adecuados con respecto los usuarios
de desarrollo, esto incluye las
aplicaciones y bases de datos de las
mismas.

El rea de seguridad informtica debe

participar en el proceso de asignacin de
accesos a las aplicaciones de la
Cooperativa y verificar que la solicitud de
Aplicaciones cuyo acceso no es controlado por el rea de
accesos sea coherente con el cargo del
seguridad informtica.
usuario.
El gerente que aprueba la solicitud es el
responsable de los accesos que solicita
para los usuarios de su rea.
El personal de la Cooperativa es el
vnculo entre la poltica de seguridad y su
implementacin final para aplicar la
poltica de seguridad, se pueden
establecer controles y un monitoreo
Falta de conciencia en seguridad por parte del personal de la
constante, pero la persona es siempre el
Cooperativa.
punto ms dbil de la cadena de
seguridad, este riesgo se puede
incrementar si el usuario no recibe una
adecuada capacitacin y orientacin en
seguridad de informacin.
Para una adecuada administracin de la
Falta de personal con conocimientos tcnicos de seguridad seguridad informtica se requiere
personal capacitado que pueda cumplir
informtica.
las labores de elaboracin de polticas y

Inventario y depuracin de perfiles

de acceso que poseen los usuarios
de desarrollo en el entorno de
produccin.
Adecuada
segregacin
de
funciones del personal del rea de
sistemas.
Formalizacin
de
roles
y
responsabilidades del rea de
seguridad informtica.
Traslado de la responsabilidad del
control de accesos a aplicaciones
al rea de seguridad informtica.

Programa de capacitacin de la
Cooperativa
en
temas
relacionados a la seguridad de
informacin.
Capacitacin mediante charlas,
videos, presentaciones, afiches,
etc.,
los
cuales
recuerden
permanentemente al usuario la
importancia de la seguridad de
informacin.
Capacitacin del personal tcnico
en temas de seguridad de
informacin o inclusin nuevo de
personal con conocimientos de

administracin de seguridad en el rea

de seguridad informtica, as como
implementacin
de
controles
y
configuracin de sistemas en el rea de
sistemas.
El acceso hacia Internet por medios
como correo electrnico, ftp (file
transfer protocol) o incluso web en
algunos casos, puede facilitar la fuga
de informacin confidencial de la
Cooperativa.
Falta de controles adecuados para la informacin que envan los La Cooperativa ha invertido en la
implementacin de una herramienta
usuarios hacia Internet.
para el filtrado de las pginas web
que son accedidas por los usuarios, se
debe asegurar que dicho control sea
adecuadamente aplicado.

Acceso no autorizado a travs de enlaces inalmbricos.

Controles de acceso hacia Internet desde la red interna.

El riesgo de contar con segmentos de

red inalmbricos sin medidas de
seguridad especficas para este tipo
de enlaces, radica en que cualquier
persona podra conectar un equipo
externo la Cooperativa incluso desde
un edificio cercano.
Posibilidad de acceso no autorizado
desde la red interna de datos hacia
equipos de terceros en
Internet.

seguridad de informacin para las

reas de seguridad informtica y
sistemas.
Configuracin
adecuada
del
servidor Proxy y la herramienta
Surf Control.
Generacin peridica de reportes
de la efectividad de los controles
aplicados.
Implementacin de una adecuada
arquitectura de red.
Mejores
prcticas
para
la
configuracin de Firewalls.
Implementacin y administracin
de herramientas para la inspeccin
del contenido de los correos
electrnicos enviados.
Evaluacin del alcance de la red
inalmbrica.
Separacin del segmento de red
inalmbrico mediante un Firewall.
Verificacin peridica de la
actividad realizada desde la red
inalmbrica.
Utilizacin de encriptacin
Implementacin de una adecuada
arquitectura de red.
Configuracin
adecuada
de
servidor Proxy.

Almacenamiento
de
copias de respaldo
realizado por Hermes.

Las cintas de backup guardan

informacin
confidencial
del
negocio
de
la
Cooperativa,
adicionalmente deben encontrarse
disponibles para ser utilizadas en
una emergencia y la informacin
que guardan debe mantenerse
ntegra.

Posibilidad de fuga de informacin.

Mejores
prcticas
para
la
configuracin de
Posibilidad de realizacin de actividad
ilegal en equipos de terceros a travs Firewalls.
de Internet.
Implementacin y administracin
de herramientas para la seguridad
del contenido de los correos
electrnicos enviados.
Monitoreo peridico de la
actividad, mediante el anlisis de
los registros (logs) de los sistemas.
Acuerdos de confidencialidad y
tiempo de respuesta en los contratos
con el proveedor.
Pruebas del tiempo de respuesta del
proveedor para transportar las cintas
de backup en caso de emergencia.
Verificacin peridica del estado de
las cintas.

7: Modelo de Interconexin Segura entre la Sede Central y las Sucursales