6.6.4.1 DEFINICIN DEL ALCANCE 6.6.4.1.

1 Anlisis de Requerimientos de Usuario

En esta etapa se contactara con la persona interesada en asegurar el entorno informtico e interpretar lo que l requiere. A partir de esta decisin se realizara el Relevamiento General y el Relevamiento de usuario, haciendo foco en los aspectos que el usuario seal. En general el usuario no sabe qu es lo que quiere asegurar entre esto el nivel fsico, lgico u organizacional, por eso la misin orientarlo en el rea para que se realice el proyecto de aseguramiento y tomar las mejores decisiones para detectar a grandes rasgos las mayores falencias en cuanto a seguridad por nivel a eso se refiere el Relevamiento de Usuario y de esta manera ofrecer los resultados al cliente para que este decida el camino a seguir.

6.6.4.1.1.1 Documento de Requerimientos de Usuario

Se registrar el pedido del usuario en un documento de requerimiento de usuario que contendr su voluntad respecto de los niveles y elementos a asegurar.

El Documento de Requerimientos de Usuario contendr la siguiente informacin:

Niveles a asegurar:

Nivel fsico; Nivel lgico. Nivel Organizacional

6.6.4.1.1.2 Requerimientos de Usuario

Nivel fsico;
1

Nivel lgico. Nivel Organizacional

Elementos a asegurar por nivel:

Nivel fsico: Proteccin del acceso al servidor; Proteccin de los equipos; Controlar el acceso del personal y determinar a qu usuarios se les puede permitir el uso de los distintos recursos y a cules se les debe restringir.

Nivel lgico: Poner contraseas para el acceso al servidor; Hacer backup de los datos ms importantes; Ver que nadie puedan leer la base de datos de la nmina de personal, de las notas, del cobro de pensiones.

Organizacional Confidencialidad de la Informacin

6.6.4.1.2 Elaboracin del Alcance

En esta etapa se determinan claramente los requisitos del usuario y todos los puntos sobre los que se elaborar el Plan de Aseguramiento y se registran en el documento Alcance que se elaborar para tal fin, elaborado con una adecuada colaboracin del usuario, que deber asumir responsabilidad sobre los temas que se decida dejar fuera del mismo.

6.6.4.1.2.1 Alcance

Deber contener la informacin que abarca parte de los elementos susceptibles a ser analizados:

Su objetivo ser crear e implementar los controles y medidas necesarias para cumplir con el nivel medio de seguridad, segn los estndares de la institucin, en el corto plazo. De una manera simple y precisa, motivante, razonable orientado a resultados.

Definicin del Entorno

Se debe determinar con precisin cul ser el entorno informtico donde se implementar la metodologa. El Alcance estar circunscrito a ese entorno y todas las referencias que se hagan a l sern en relacin a esta definicin.

El entorno puede ser desde un equipo informtico hasta una Corporacin; puede definirse como el edificio que alberga a la empresa objetivo o como el Centro de Cmputos o Centro de Procesamiento de Datos donde se encuentra el servidor.

En nuestro caso se definir como entorno al Centro de Procesamiento de Datos de la institucin y el centro de cmputo.

Niveles que cubrir el proyecto

Nivel fsico; Nivel lgico; Nivel organizacional.

Hitos a cubrir en cada nivel

Alcance a nivel Fsico: o Proteccin del edificio contra el acceso fsico no autorizado;
o

Proteccin de las aulas del sector de Cmputos contra el acceso fsico no autorizado;

Proteccin del hardware e instalaciones del sector de Cmputos y de Administracin contra el acceso fsico no autorizado;

o Proteccin de la red de comunicacin en la Institucin contra el acceso fsico no autorizado; Proteccin de Cables; Proteccin del Servidor;

Alcance a nivel Lgico: o Proteccin de los datos del sector de Cmputos contra el acceso no autorizado; o Proteccin de la integridad de los datos del sector de Cmputos; o Proteccin de las aplicaciones de toda la Institucin contra el acceso no autorizado; o Implantacin de restricciones de uso de software o Implantacin de un sistema de administracin de usuarios y contraseas;

Alcance a nivel organizacional: o Elaboracin de la Normativa de Seguridad de la institucin; o Revisin de la estructura de la organizacin de las aulas de Computo; o Capacitacin de los empleados.

Elementos fuera del proyecto Los elementos pendientes que no formarn parte del aseguramiento del entorno informtico:

Regularizacin de la situacin de las licencias de software; Implantacin de medidas de prevencin de catstrofes naturales: o Incendios; o Inundaciones; o Cortocircuitos;

Elaboracin de un Plan de Recuperacin del Entorno Informtico ante Desastres.

6.6.4.1.3 Elaboracin del Plan de Trabajo

Este es el ltimo paso de la etapa de Definicin del Alcance el cual ser la elaboracin del Plan de Trabajo que ser la organizacin de las tareas a desarrollar durante la tesis. Falta lo de project 6.6.4.2 RELEVAMIENTO 6.6.4.2.1 Elaboracin del Relevamiento General.

Para desarrollar un Plan de Aseguramiento, se deber conocer la Institucin, su organizacin y sus procesos mediante una serie de estudios. Es por ello que aqu se propone una serie de puntos de control sobre los que se deber investigar, cuestionar y observar:

El rubro de la institucin, y conocer sobre lo que realiza; La calidad de la institucin en cuanto al manejo en el rea Administrativa, e informtica; El tamao de la institucin y su distribucin fsica; Detalles sobre la infraestructura cantidad de pisos, aulas;

Que exista una definicin de funciones y estructura de comunicacin en la institucin; Que exista un rea de Seguridad Informtica; Que existan roles adecuados para la supervisin de la seguridad de las aplicaciones y equipos que existen en el entorno, y la realizacin de controles que garanticen la autorizacin y el adecuado uso de los recursos;

Organizacin de personal jerarquas dentro de la institucin; La arquitectura de la red; La tecnologa que maneja la institucin (hardware y software); Analizar la existencia de documentacin en relacin a: Un marco normativo que defina la poltica de la institucin, y siente las bases para el desarrollo de procedimientos y estndares tcnicos; Los requerimientos de tecnologa, de procesamiento, de archivos y de interfaces para los usuarios.

Para verificar estos puntos de control se realizar las siguientes tareas: Revisar la documentacin de los proceso de la institucin con el fin de conocer su estructura y funcionamiento; Encuestar a los responsables del rea de sistemas para obtener informacin sobre el manejo del rea y sobre los aspectos crticos para identificar la documentacin existente y los procedimientos formales e informales relacionados con el desarrollo, autorizacin y mantenimiento de la misma; Obtener de los usuarios, informacin adicional sobre el entorno informtico a relevar, tales como: Satisfaccin funcional de los requerimientos de informacin de los usuarios; Confianza de los usuarios en la informacin que manejan estos equipos y aplicaciones;

Analizar la documentacin existente en cuanto a estructura, niveles de aprobacin, vigencia, contenido, publicacin y distribucin entre los involucrado

Identificar los componentes de hardware presentes en las instalaciones; Identificar los componentes de software;

6.6.4.2.1.1 Relevamiento General

El sondeo que se realizara en el Relevamiento General deber documentarse. Para esto se propone el siguiente esquema que resume los puntos de control bsicos a relevar: Calidad de la Institucin Administrativa e informtica;

Educativa Descripcin; Procesos de la Institucin; Servicios; Actividades rutinarias; Actividades extraordinarias; Actividades excepcionales.

Informacin del edificio: Cantidad total de pisos; Cantidad de oficinas por piso; Cantidad total de oficinas.

Red

Arquitectura fsica; Arquitectura lgica; Protocolos; Cableado.

Hardware 1. Servidor Power Edge 800 SATA Caractersticas: Sistema Base: Procesador Intel Pentium 4, 3.6GHz, 2MB Cache, 800MHz Memoria: 1G DDR2, 533MHz, 4X256MB Single Ranked DIMMs Disco Duro: Disco Duro 1 de 160GB SATA 1 Disco Duro 2 de 80GB SATA 1 Tarjeta de Red: Integrada Monitor: CRT 17'' (16" Visibles) Dispositivo ptico: Combo 48X CDRW/DVD MODEM: Interno 56K Data/Fax V.92 Mouse: Logitech 2 Botones con rueda, Gris Teclado: Windows Standard color gris 2. Computadora de escritorio Dimension 3000 (1estacion para el encargado) Caractersticas: Sistema Base: Intel Pentium 4 Processor w/ HT Technology (3GHz) Memoria: 256MB de Un Canal DDR SDRAM a 400MHz Disco Duro: 40GB 7200RPM Ultra ATA-100 Monitor: de 15" Dell (15" visible)

 Tarjeta de video: Grficos Integrados Intel Extreme Graphics 2 Dispositivo ptico: Baha nica: CD-ROM Dispositivo ptico: Combo 48X CDRW/DVD Tarjeta de Sonido: Audio Integrado Bocinas: Bocinas Dell A215 MODEM: 56K PCI Data Fax Modem Tarjeta de Red: 10/100 Intel PRO Integrado Teclado: Dell QuietKey en Espaol Mouse: ptico Dell USB de 2 botones

3. Computadora de escritorio Dimension 3000 (20 estaciones para los usuarios) Caractersticas: Sistema Base: Intel Pentium 4 Processor w/ HT Technology (3GHz) Memoria: 256MB de Un Canal DDR SDRAM a 400MHz Disco Duro: 40GB 7200RPM Ultra ATA-100 Monitor: de 15" Dell (15" visible) Tarjeta de video: Grficos Integrados Intel Extreme Graphics 2 Dispositivo ptico: Baha nica: CD-ROM Tarjeta de Sonido: Audio Integrado Bocinas: Bocinas Dell A215 MODEM: 56K PCI Data Fax Modem Tarjeta de Red: 10/100 Intel PRO Integrado Unidad de Floppy: 3.5", 1.44MB Teclado: Dell QuietKey en Espaol Mouse: ptico Dell USB de 2 botones
9

4. CNet Switch de 32-Puertos Sistema Base: CNet Switch de 32-Portas, 10/100 Megabytes Por Segundo, Suporta Portas RJ-45 Nway Auto-Negotiation y Indicadores LED's en Cada Puerto, Con 8 Megabytes de Memoria (CNSH3200) - 110v 5. UPS APC BACK-UPS USB 350VA APC Back-Ups 350ES - Con Una Capacidad de 350 Vatios y 200 Watts, Interfaz USB, 110v Otros elementos (UPSs, impresoras, scanners, etc.);

Software Sistema Operativo (server): Windows 2003, Edicin Estndar; Sistema Operativo usuario (Estaciones): Microsoft Windows XP Professional, Espaol; Software: Microsoft Office 2003, edition espaol; Software Firewall: Symantec Web Security; Software Antivirus: Norton Internet Security en espaol; Software Antivirus: Norton Internet Security en espaol. Software Educativo: Encarta 2005 Standard.

Personal Jerarqua; Cantidad de reas; Cantidad de sectores; Personal: Contabilizacin por puesto (directora, profesores, usuarios)

Administracin Existe de un rea de Seguridad Informtica?

10

De quin es la responsabilidad de la administracin y operacin de los equipos? Cuntas personas abarca?

6.6.4.2.2 Elaboracin del Relevamiento de Usuario

Se realizar la investigacin sobre el entorno informtico con el fin de obtener un panorama de la situacin actual y conocer su forma de funcionamiento y detectar fuentes de debilidades, en la etapa llamada Anlisis de Vulnerabilidades.

En este anlisis se verificar los siguientes objetivos:

Que se haya definido y documentado un modelo de administracin de la seguridad; Que existan estndares y procedimientos de trabajo definidos para todas las tareas del rea; Que exista un permetro de seguridad para los equipos de procesamiento crtico; Que se apliquen medidas de seguridad fsica en el entorno de trabajo de los usuarios; Que los equipos informticos sean utilizados slo con fines autorizados y siguiendo los procedimientos establecidos; Que existan procedimientos de control para la utilizacin de los recursos; Que exista un encargado de soporte del mantenimiento para las aplicaciones analizadas; Que los usuarios tienen conciencia de los problemas de seguridad informtica y estn informados acerca de los riesgos existentes; Que existen adecuados procedimientos manuales o automatizados de control de cambios a los programas y de toma de nuevos requerimientos de usuarios;

11

Que existen acuerdos de confidencialidad firmados por los usuarios para el manejo de la informacin que tratan los sistemas; Que exista un marco normativo que defina la poltica de la institucin, y siente las bases para el desarrollo de procedimientos y estndares tcnicos; Que exista documentacin de usuario que especifique los requerimientos de tecnologa, de procesamiento, de archivos y de interfaces;

Para verificar estos puntos de control se realizar las siguientes tareas:

Encuestar a los usuarios a fin de obtener informacin sobre el entorno a relevar, en los siguientes aspectos: Fsico; Lgico; Organizacional.

Para obtener una medida de lo expuesto que se encuentra el ambiente a vulnerabilidades, fallas en la cultura de trabajo, vicios en la organizacin, el nivel de informacin que manejan los empleados y su nivel de conciencia respecto de la seguridad, etc.

Esto servir como introduccin al investigador para la construccin del Mapa de Vulnerabilidades y para fijar los objetivos del Plan de Aseguramiento del sistema.

6.6.4.2.3 Anlisis de vulnerabilidades.

Esta etapa comprende la determinacin de las amenazas que enfrenta el entorno respecto de la seguridad de la informacin. Los datos almacenados en el servidor, los almacenados en cada estacin de trabajo, los equipos e instalaciones, las aplicaciones, los documentos y todo mensaje, corren riesgos reales, potenciales y latentes a cada instante.
12

Estos mensajes, datos, activos deben cumplir su funcin conservando los tres pilares de la seguridad intactos: Integridad: que se proteja la exactitud y totalidad de los datos y los mtodos de procesamiento; Confidencialidad: que la informacin sea accesible slo a las personas autorizadas; Disponibilidad: que los usuarios autorizados tengan acceso a la informacin y a los recursos cuando los necesiten.

Las vulnerabilidades pueden generar amenazas en el entorno informtico: si son conocidas por un atacante, pueden causar la prdida de alguna de las caractersticas deseables de la informacin, antes mencionadas.

6.6.4.2.3.1 Conocer al enemigo

Es muy importante conocer el entorno informtico a estudiar para predecir el tipo de atacante que puede atraer. Segn las caractersticas del entorno informtico, se estar expuesto a un abanico de atacantes ms o menos peligroso de igual manera ms o menos experto.

Los usuarios inexpertos son atrados por entornos inseguros, mientras que los intrusos ms hbiles se ven seducidos por ambientes confidenciales y protegido. Es por eso que el investigador debe analizar qu tipo de entorno informtico maneja para predecir a qu tipo de ataques probablemente se deber enfrentar.

6.6.4.2.3.2 Atacantes

A continuacin enumeramos algunos entornos comunes y sus enemigos ms conocidos:

13

Los entornos de investigacin como universidades, colegios, escuelas y laboratorios suelen ser boicoteados por los propios alumnos e investigadores, y rara vez por el personal, y ms ocasionalmente por extraos; la confidencialidad de los datos es la caracterstica ms preciada adems que se desea preservar es la integridad de los datos

Los entornos personales suelen ser atacados por intrusos desconocidos al azar que simplemente sienten satisfaccin tomando control de mquinas ajenas o provocando daos, pero en general estos ataques no apuntan a una obtencin de informacin, sino a la negacin de servicios o prdida de informacin;

La caracterstica ms valiosa es la disponibilidad de recursos y servicios, ya que una negacin de servicios suele impactar fuertemente en los negocios.

6.6.4.2.3.3 Las amenazas

Las amenazas ms comunes a los entornos informticos son:

La falta de proteccin fsica del entorno informtico: Las instalaciones, los equipos y documentos pueden estar expuestos a catstrofes naturales, a hurto, o destruccin por falta de proteccin o mala disposicin fsica de los elementos.

Una inadecuada separacin de ambientes: Genera riesgos de integridad y coherencia de los datos adems de la inestabilidad del sistema productivo con la consecuente falta de disponibilidad de los recursos.

Los errores en la administracin del entorno: Una mala administracin abre puertas a los intrusos. Es fundamental detectar y corregir estas situaciones.

14

Las amenazas lgicas programadas: Muchos ataques lgicos son perpetrados por intrusos que aprovechan errores en las aplicaciones y sistemas para realizar actos destructivos o delictivos uno de los mayores puntos dbiles de las organizaciones son estos bugs informticos y la falta de proteccin lgica de los datos. Por eso es muy importante estar al tanto de ello, y llevar una frecuente actualizacin con los parches otorgados por los fabricantes de software.

Una incompleta proteccin lgica: La mala configuracin del servidor donde residen las aplicaciones, del sistema operativo, de las bases de datos y de las interfaces con las que se conectan genera errores y riesgos importantes.

La ausencia de control de incidencias: El control de incidencias permite generar una base de conocimiento para el manejo de situaciones de riesgo y prevenir nuevos ataques. La falta de control y administracin de incidencias hace que el conocimiento de las amenazas detectadas se pierda y que se atrasen los tiempos de solucin por la falta de circuitos de asignacin de responsabilidades sobre el tratamiento de los casos.

La falta de una normativa de seguridad: La falta de una completa normativa procedimental y tcnica, y una mala conducta y cultura de trabajo, producen descuidos o errores no forzados por los usuarios.

Las personas: El acceso de personas no autorizadas implica la vulnerabilidad del sistema ante hurtos, acceso indebido, prdida de confidencialidad de los datos y todo tipo de escucha no autorizada de informacin, con sus respectivas consecuencias.
15

Estos factores y muchos otros ms, hacen que muchas vulnerabilidades de los entornos informticos tengan origen en el mal uso del sistema por parte de los usuarios.

Es fundamental detectar y conocer las vulnerabilidades del entorno informticos en el que se est trabajando para poder establecer el camino a seguir que lleve a un aseguramiento efectivo.

Se propone un documento que lo llamaremos Mapa de Vulnerabilidades que refleja la identificacin de las potenciales vulnerabilidades del entorno. Este modelo contendr la especificacin, por nivel fsico, lgico y organizacional de las amenazas latentes y las probables.

6.6.4.2.3.4 Anlisis de Vulnerabilidades

En esta etapa se analizan las fallas de seguridad en el entorno informtico segn los estndares internacionales.

Se considera una vulnerabilidad a toda diferencia entre los parmetros deseados recomendados por dichos estndares y las mejores prcticas profesionales en cuanto a Seguridad Informtica.
Los objetivos de control considerados, segn [IRAM/ISO/IEC17799], [BS7799], [Cobit], [MRSA-ISACA], [AAW-ISI], [OSSTMM-ISECOM] y [AACF-ROBOTA] son los siguientes:

6.6.4.2.3.4.1 Aspectos funcionales

Que existan licencias de uso del producto para cada recurso / usuario;

16

Que se haya definido y documentado un modelo de administracin de la seguridad; Que existan estndares y procedimientos de trabajo definidos para todas las tareas del rea; Que el circuito de trabajo responda a criterios de seguridad y eficiencia; Que estn definidos y documentados por cada puesto del organigrama perfiles de usuario modelo a los cuales se les asocian las identificaciones individuales de cada uno de ellos;

Que los equipos informticos sean utilizados slo con fines autorizados y siguiendo los procedimientos establecidos; Que todo procesamiento est debidamente autorizado por los responsables correspondientes; Que existan procedimientos de control de los resultados que surgen del procesamiento en los equipos; Que exista un encargado de soporte del mantenimiento para las aplicaciones analizadas; Que existen adecuados procedimientos manuales o automatizados de control de cambios a los programas; Que existen clusulas de confidencialidad.

Adems se podrn establecer los criterios que fueron utilizados para definir y establecer las caractersticas de los controles internos y las validaciones. El anlisis funcional permite visualizar las distintas etapas que se suceden en el proceso, as como tambin identificar etapas de alto, medio y bajo riesgo.

Para verificar estos puntos de control se puede realizar las siguientes tareas:

Revisar la documentacin del proceso de la institucin con el fin de conocer su estructura y funcionamiento;

17

Obtener de los usuarios informacin adicional sobre el entorno a relevar, tal como: Satisfaccin funcional de los requerimientos de informacin de los usuarios; Experiencias anteriores sobre procesamiento de errores; Confianza de los usuarios en la informacin que manejan los equipos y aplicaciones.

Conocer los procesos y funciones de administracin de las bases de datos y de back-up de archivos, programas y cada una de las aplicaciones; Se obtendr de los usuarios finales la siguiente informacin: o Nivel de participacin con relacin a la calidad de los servicios; o Problemas detectados durante el ltimo ao;

Identificar al personal responsable de implantar cambios, de realizar controles sobre las incidencias que involucren las aplicaciones, para verificar que se cumpla con los procedimientos vigentes;

6.6.4.2.3.4.2 Anlisis de la documentacin

En relacin a este tema los objetivos de control que se deben verificar son los siguientes: Que exista un marco normativo que defina la poltica de la institucin, y siente las bases para el desarrollo de procedimientos y estndares tcnicos; Que existan relaciones conocidas por el personal, referidas a la documentacin de carcter obligatorio y deseable que debe ser desarrollada y mantenida; Que los procesos tecnolgicos estn alineados con las normas establecidas, y sean los adecuados; Que los procedimientos alcancen los niveles de servicio perseguidos por la institucin;

18

Que exista documentacin de usuario que especifique los requerimientos de tecnologa, de procesamiento y de archivos; Que exista un procedimiento formal para realizar el control de cambios, niveles de revisin, autorizacin y publicacin.

Para analizar si el entorno informtico cumple con estos objetivos, se pueden llevar a cabo las siguientes tareas: Analizar la documentacin existente en cuanto a estructura, niveles de aprobacin, vigencia, contenido, publicacin y distribucin entre los involucrados; Evaluar los niveles de cumplimiento de los procedimientos existentes; Seleccionar un grupo de personas para evaluar el nivel de conocimiento y utilizacin de la documentacin existente; Identificar los puntos dbiles de la documentacin y procedimientos existentes.

6.6.4.2.3.4.3 Anlisis de las aplicaciones y equipos

Los objetivos de control que debe verificarse en este aspecto son los siguientes: Que existan roles adecuados para la supervisin de la seguridad de las aplicaciones y equipos que existen en el entorno informtico, y la realizacin de controles que garanticen la autorizacin y el adecuado uso de los recursos; Que se encuentre implantado adecuadamente un control de accesos a la red de datos y sus equipos que eviten el uso no autorizado de los recursos, el descubrimiento y divulgacin de informacin, y el mal uso y abuso de la informacin tratada por los mismos; Que se encuentre implantado adecuadamente un ambiente general de control de accesos propio de las aplicaciones y recursos a efectos de prevenir el uso no autorizado de funciones interactivas, tanto desde conexiones desde la red interna como desde Internet;
19

Que exista una adecuada poltica de configuracin de los equipos informticos y de comunicaciones; Que se realicen adecuados controles de los incidentes y problemas emergentes, con el seguimiento necesario; Que exista un plan de contingencia que permita recuperar las aplicaciones y equipos del entorno informtico ante desastres o situaciones de emergencia;

Para cumplir con estos objetivos se llevar a cabo las siguientes tareas:

Identificar los archivos y directorios crticos de las aplicaciones y de los sistemas operativos; Analizar la asignacin de permisos otorgados sobre los archivos y directorios crticos; Identificar los componentes de software de base de las instalaciones; Identificar y analizar el sistema de autenticacin de usuarios utilizado por la aplicacin, el sistema operativo que la soporta; Analizar si son adecuados los permisos de acceso otorgados a los diferentes usuarios; Realizar pruebas de cumplimiento para verificar que los accesos a los diferentes recursos informticos estn adecuadamente otorgados y/o restringidos

El investigador determinar el Alcance de estas pruebas segn el grado de criticidad de las aplicaciones, equipos y de las funciones comprendidas. Las tareas de revisin podrn incluir: Solicitar listas de seguridad de las aplicaciones; Verificar la adecuada asignacin de accesos a las aplicaciones y equipos; Realizar pruebas que permitan detectar el manejo de errores de las aplicaciones y la concurrencia.

20

Realizar un intento de penetracin con el fin de vulnerar las barreras de acceso existentes para utilizar los recursos informticos de la compaa en forma no autorizada desde una conexin proveniente de Internet (Intento de Penetracin Externo), o desde la red interna de la institucin, (Intento de Penetracin interno).

6.6.4.2.3.4.3.1 Intento de Penetracin

Un intento de Penetracin es un anlisis que permite detectar vulnerabilidades en un entorno informtico mediante la bsqueda, la identificacin y explotacin de vulnerabilidades. Su alcance se extiende a: Equipos de comunicacin; Servidor; Estaciones de trabajo; Aplicaciones; Bases de Datos; Casillas de Correo Electrnico; Acceso fsico a recursos y documentacin;

Para realizar un Intento de Penetracin es necesario realizar las siguientes tareas: Reconocimiento de los recursos disponibles mediante el empleo de herramientas automticas (Ver 2.3.5.2.1 Herramientas de anlisis de vulnerabilidades); Identificacin de las vulnerabilidades existentes mediante herramientas automticas; Explotacin manual y automtica de las vulnerabilidades para determinar su alcance; Anlisis de los resultados. Este anlisis otorga informacin referente a: o Versiones desactualizadas de software; o Versiones de software con vulnerabilidades conocidas;
21

o Contraseas triviales; o Usuarios default; o Configuraciones default; o Utilizacin de servicios inseguros; o Recursos compartidos desprotegidos; o Errores en la asignacin de permisos.

Analizando toda la informacin obtenida mediante el Intento de Penetracin, las entrevistas, la documentacin y los diferentes mtodos de sondeo, se elabora el Mapa de Vulnerabilidades dando detalle de los recursos informticos e informacin de la compaa a la que se ha accedido de manera no autorizada.

6.6.4.2.3.4.3.2 Herramientas de anlisis de vulnerabilidades

Existe una serie de herramientas que ofrecen datos tiles para el anlisis de vulnerabilidades, como analizadores de configuraciones, analizadores de logs, herramientas de escaneo de puertos (Port Scanners), sniffers, Network Mapping, Testing Tools, y otras herramientas, sobre las que no se dar detalle por su constante evolucin. Se considera interesante remarcar la importancia del uso de estas herramientas para la deteccin de vulnerabilidades, sobre todo porque reducen considerablemente los tiempos de bsqueda y recoleccin de datos.

6.6.4.2.3.5 Mapa de Vulnerabilidades

Es un documento que se propone con la idea de registrar y contabilizar las vulnerabilidades presentes en el entorno en estudio antes de la implantacin del Plan de Aseguramiento. Para registrar las vulnerabilidades detectadas en el anlisis anterior se divide el estudio del entorno en tres partes:
22

Nivel fsico; Nivel lgico; Nivel de la organizacin.

Incluir en el Mapa de Vulnerabilidades del entorno informtico los niveles que se hayan determinado en el Alcance. Aqu se enumera una serie de aspectos concernientes a seguridad que implican vulnerabilidades y que se incluir en el Mapa de Vulnerabilidades:

6.6.4.2.3.5.1 Vulnerabilidades a nivel fsico

Amenazas a las instalaciones

Acceso libre a todos los sectores de la institucin a cualquier usuario: Si cualquier usuario puede acceder a todas las oficinas de la institucin, sin controles ni barreras fsicas, es muy probable que acceda un intruso a las instalaciones provocando actos ilcitos como hurtos, daos fsicos o espionaje de informacin confidencial;

Falta de reas protegidas que guarden los equipos crticos: Permitiendo el acceso indiscriminado de personas;

Falta de barreras fsicas que protejan los activos: Permite el ingreso a la institucin de intrusos;

Falta de autenticacin de usuarios: Esto dificulta la identificacin de usuarios no autorizados;

Ausencia de mtodos confiables de autenticacin de usuarios;

23

Un mtodo no confiable de autenticacin de usuarios es levemente mejor que ningn mtodo de autenticacin de usuarios;

Falta de sistemas de deteccin de intrusos;

Hacer pblica informacin sensible: Toda informacin delicada debe ser cuidadosamente administrada, pues todo dato es una llave para el sistema, que un intruso experimentado puede utilizar.

Amenazas a los equipos.

Mala distribucin fsica de los activos: Los equipos pueden estar ubicados en forma descuidada, expuestos a catstrofes naturales (cerca de ventanas) o hurto (cerca de puertas o pasillos);

Almacenamiento de materiales dainos cerca de los equipos: Como combustibles o qumicos;

Humo del cigarrillo: El humo del cigarrillo ataca los discos magnticos y pticos y provoca trastornos en la ventilacin de los artefactos elctricos. Adems, el cigarrillo puede provocar incendios;

Permitir comer y beber en los sectores con equipos: La comida y bebida puede provocar deterioros en los equipos y cortocircuitos y hasta quemar elementos elctricos;

Exposicin a temperaturas extremas: Exponer los equipos a temperaturas extremas daa sus circuitos, provocando cortocircuitos e incendios.;
24

Falta de higiene: La falta de higiene en oficinas puede provocar dao en los documentos impresos y en los equipos por acumulacin de polvo, grasa, etc;

Descuido de las unidades de soporte de informacin: Tener en mal estado o en lugares inseguros las unidades de backup y recuperacin de sistemas es casi lo mismo que no tenerlas;

No llevar un control de los cambios en los equipos: No registrar cada alta, baja o modificacin en los equipos conlleva a un desconocimiento del capital invertido, con lo que cualquier hurto pasara desapercibido.

Factores de riesgo

Cables al descubierto: Pueden ser daados con facilidad provocando una negacin de servicio; Tender los cables de energa junto con los cables de comunicaciones: Pueden provocar interferencias en las comunicaciones;

6.6.4.2.3.5.2 Vulnerabilidades a nivel lgico

Amenazas generadas por el uso del correo electrnico

Virus: Son porciones de cdigo que son insertadas dentro de un archivo llamado host, de manera que cuando el archivo es ejecutado, se ejecuta tambin la porcin de cdigo insertada, la cual puede efectuar distintas acciones malintencionadas, destructivas, y hasta copiarse en otros archivos;
25

Gusanos (Worms): Son programas independientes que se expanden a travs de la red realizando distintas acciones como instalar virus, o atacar una PC como un intruso;

Troyanos: Son programas que tienen una porcin de cdigo oculta, que dicen hacer una cosa y en realidad hacen otra o simplemente hacen lo que dicen hacer y adems ejecutan instrucciones no autorizadas;

Acceso remoto a las cuentas de correo electrnico sin control;

Falta de una poltica de eliminacin de mensajes: Puede suceder que se eliminen mensajes que, si se almacenaran, podran ser hallados en caso de litigio;

Los mensajes son vulnerables a ser modificados por personas no autorizadas; Es un servicio vulnerable al descubrimiento (disclosure) de informacin confidencial;

Se pueden producir errores como por ejemplo la consignacin incorrecta de la direccin de destino, o la publicacin de direcciones de personal jerrquico de la Institucin.

Amenazas generadas por el uso de software daino

Bombas lgicas: Son un conjunto de instrucciones que se ejecutan bajo condiciones especiales;

26

Timeouts: Son programas que se pueden utilizar durante un perodo de tiempo determinado;

Herramientas de seguridad: Son utilitarios que sirven para identificar vulnerabilidades en un sistema. Pueden ser una amenaza si un intruso las utiliza en el sistema y detecta fallas en la seguridad de las que el administrador no est enterado.

Amenazas generadas por la presencia de intrusos

Masquerading: Un intruso puede usar la identidad de un usuario autorizado que no le pertenece simplemente apoderndose de un nombre de usuario y contrasea vlidos;

Piggy backing: Ocurre cuando un usuario no autorizado accede a una zona restringida gracias al permiso otorgado a otra persona que s est autorizada;

Basurero: La informacin de los desperdicios dejados alrededor de un sistema puede ser aprovechada por intrusos provocar un hurto o dao.

Vulnerabilidades en los sistemas operativos

Existencia de cuentas de usuarios no utilizadas: Muchas cuentas de usuario son creadas por defecto en la instalacin del sistema operativo y nunca son deshabilitadas, a pesar de que no se utilicen.

27

Esta situacin es una puerta abierta para los intrusos que conocen estas vulnerabilidades de los sistemas operativos;

Existencia de cuentas de usuario con permisos excesivos: Generada por la falta de control de los permisos asignados a los usuarios;

Existencia de servicios no utilizados: Muchos servicios son instalados por defecto con el sistema operativo, o para la corrida de procesos especiales y nunca son eliminados. Estos pueden ser utilizados por intrusos para manipular el sistema en forma remota y acceder a los recursos;

Malas configuraciones de seguridad del sistema operativo: Como la existencia de cuentas de usuario creadas en la instalacin, que son de conocimiento pblico y muchas veces se crean con una contrasea por default, aumentando el riesgo de ataques a la integridad y confidencialidad mediante un acceso no autorizado;

Errores en los archivos de configuracin existentes y sus valores;

Falta de un esquema de backup;

Ausencia de una estrategia de recuperacin ante desastres: El Plan de Recuperacin del Entorno ante Desastres cubre las aplicaciones, equipos y software base que soporta el negocio para su recuperacin.;

Contraseas almacenadas en texto plano: Algunos sistemas operativos almacenan las contraseas en texto plano permitiendo el acceso autorizado (enmascarado) de intrusos si ellos lograran

28

acceder a la informacin de passwords. sta es una de las primeras tcticas que utilizan los intrusos para atacar sistemas dbiles;

Vulnerabilidades en las aplicaciones

A nivel funcional:

Falta de documentacin: La ausencia de documentacin dificulta la capacitacin de los usuarios y el seguimiento de los proyectos y procesos, provocando incoherencias en el trabajo;

Mala organizacin del rea de sistemas;

Mala administracin de la seguridad informtica;

Fallas en la metodologa de desarrollo de las aplicaciones;

Planificacin deficiente;

Falta de separacin de ambientes: La separacin de ambientes es fundamental en la conservacin de la integridad de los datos a travs de la separacin lgica y fsica de los entornos de produccin y prueba;

Falta de las pruebas en el desarrollo de aplicaciones;

Mal manejo de datos: Clasificacin, manejo y proteccin de los datos productivos:

29

La falta de anlisis de criticidad de los datos y categorizacin hace que no se brinden los controles que garanticen la correcta manipulacin de datos con la consecuente prdida de confidencialidad e integridad.

Falta de control de cambios;

Mala administracin de la aplicacin: Falta de organizacin de los perfiles de usuarios; Formas errneas de asignacin de permisos; Falta de registro y control de las pistas de auditora; Mal manejo de incidencias.

Pobre anlisis del control interno: Falta de separacin de tareas; Anlisis de asignacin de funciones incompatibles.

Falta de asignacin de responsabilidades de seguridad;

Aspectos lgicos:

Errores en las interfaces e interaccin con otros servicios;

Malas configuraciones de seguridad del sistema operativo;

Vulnerabilidades en los servicios prestados por el mismo servidor;

Falta de un esquema de backup;

Ausencia de una estrategia de recuperacin ante desastres;

30

Mala administracin de la base de datos;

Contraseas almacenadas en texto plano;

Falta de registro de las pistas de auditora;

Mal manejo de datos: Falta de validacin de los datos de entrada; Falta de validacin de los datos de salida.

Mal manejo de errores de la aplicacin.

Amenazas generadas por mala administracin de la informacin No controlar el acceso a los sistemas: Cualquier usuario podra utilizar y modificar los archivos sin tener que pasar ninguna barrera que filtre a los intrusos;

No llevar un registro de las incidencias Como prdida de datos o mal funcionamiento de software;

No contar con un sistema de perfiles de usuarios: Un sistema de perfiles permite asignar distintos privilegios a los usuarios, de manera que no todos tengan las mismas posibilidades de acceso a los recursos, segn su tarea.

No llevar un control de los cambios en el software: No registrar cada alta, baja o modificacin en los programas de software conlleva a un desconocimiento del capital invertido, con lo que cualquier hurto o modificacin pasara desapercibido;

31

Ausencia de un control de impacto del nuevo software: Puede haber una incoherencia entre los requerimientos de capacidad de procesamiento y almacenamiento del nuevo software, y los disponibles, o una incompatibilidad con la plataforma de hardware utilizada;

No mantener actualizado el software de deteccin y reparacin antivirus: [10lawsMS] asegura que: Un antivirus desactualizado es slo marginalmente mejor que ningn antivirus;

Falta de backups: Sin copias de respaldo la recuperacin de la informacin y la restauracin del sistema luego de un incidente son imposibles;

Realizacin de backup incompletos pueden llegar a no servir de mucho a la hora de reconstruir un sistema cado;

Acceso ilimitado o no controlado a los datos: Permite el libre acceso de intrusos a los datos facilitando los ataques annimos;

Documentacin desprotegida; Un intruso o espa puede hacer mal uso de la documentacin para distintos fines: espionaje, sabotaje, hurto, o para obtener informacin que le sirva como puerta al sistema objetivo;

6.6.4.2.3.5.3 Vulnerabilidades a nivel de la organizacin.

Ausencia de administradores y responsables por la seguridad del sistema: Una gran falla en la seguridad es la falte de control. Los administradores y las personas responsables por la seguridad del sistema cumplen un rol
32

fundamental en este proceso, y su ausencia exhibe una clara desatencin en la materia de seguridad, que provocar: Ausencia o mal manejo de incidencias; Mala administracin de los recursos; Falta de control lgico; Falta de registro o monitorizacin de la actividad del sistema; Etc.

Falta de polticas contra ataques internos;

Ausencia de una Normativa de Seguridad;

Descuido de los escritorios y las pantallas: Dejando el acceso libre a los documentos y archivos de la oficina;

Falta de registro del flujo del personal: No permite detectar intrusos, provocando hurtos y otros ataques;

6.6.4.2.4 Anlisis de Riesgos

Lo definido en el Mapa de Vulnerabilidades se analizar el riesgo que corren los activos de la organizacin para determinar la probabilidad de ocurrencia de incidencias de seguridad y su impacto en el sistema. Los riesgos pueden ser:

Tecnolgicos: si tienen origen o afectan aspectos tcnicos del entorno como deterioro de equipamientos, falta de disponibilidad de recursos, etc;

Funcionales: si tienen origen o afectan aspectos funcionales del entorno como posible descubrimiento de informacin por la existencia de usuarios con

33

contrasea por default, o el acceso no autorizado a los recursos por una pobre autenticacin de usuarios.

Todos los entornos informticos tienen vulnerabilidades, algunas conocidas, otras no, pero estn presentes, esperando ser usadas por un atacante para penetrar las barreras de seguridad y apoderarse de informacin, denegar servicios, o provocar toda clase de dao.

Existe una relacin entre tipo de desastre y sus efectos y su probabilidad de ocurrencia. Los riegos reales y potenciales son variables en el tiempo y en el lugar. En el Anlisis de vulnerabilidades se vieron los distintos tipos de amenazas que pueden presentarse a nivel lgico, fsico y organizacional. No es posible eliminar todos los riesgos sino que se pueden mitigar, transferir o asumir.

Los riesgos observados que presentan una probabilidad de ocurrencia no despreciable en funcin de las caractersticas del entorno varan desde los factores climticos y meteorolgicos que afectan a la regin hasta el factor humano de los recursos de la institucin. Para la evaluacin de riesgos es posible utilizar mtodos muy variados en composicin y complejidad, pero para todos ellos es necesario realizar un diagnstico de la situacin. Un mtodo comnmente utilizado es el diagrama:

34

Grfica 6.6.4.2.4 Anlisis de Riesgo

Este anlisis de riesgos permite ofrecer un informe de los riesgos en el entorno, los peligros que corre e identificar los requerimientos de seguridad del sistema y su prioridad, de manera de poder encarar la elaboracin del Plan de Aseguramiento junto a los requerimientos planteados por el usuario. El anlisis de riesgos se realiza en cada rea de la institucin, mediante mtodos de adquisicin de informacin como entrevistas y encuestas con los usuarios.

6.6.4.2.4.1 Informe de Riesgos

Es un documento que ayuda a la formalizacin de estos conceptos para su estudio: el Informe de Riesgos. Este documento recompila todas las vulnerabilidades halladas en la etapa anterior de la metodologa, para evaluar su riesgo, su criticidad, la probabilidad de que ocurran y determinar su impacto en el entorno informtico y la organizacin. Esta es una adaptacin de la Tabla de Riesgos utilizada en el anlisis de sistemas en la que se ha agregado la criticidad que implica la vulnerabilidad en estudio. Se recomienda agrupar las vulnerabilidades con algn criterio, por nivel de criticidad, que puede clasificarse en: Alto; Medio;

35

Bajo.

Formato del Informe de Riesgos Descripcin de los campos #: Nmero correlativo de vulnerabilidad.

VULNERABILIDAD: Nombre de la vulnerabilidad descubierta en la etapa de anlisis de vulnerabilidades.

RIESGO: Breve descripcin del riesgo detectado en el anlisis. Es todo evento, falla o bien que ponga en peligro la integridad, la confidencialidad o la disponibilidad de la informacin o los recursos y activos;

CRITICIDAD: Una medida de la criticidad del riesgo, segn el criterio aplicado en la evaluacin de vulnerabilidades del Relevamiento de Usuario: 0: No representa amenaza alguna; 1: Amenaza leve; 2: Gran amenaza al sistema.

P (ocurrencia): Es la probabilidad de ocurrencia de dicho evento tomando en cuenta las amenazas y vulnerabilidades predominantes, y los controles actualmente implementados.

IMPACTO: Es el efecto potencial de una falla de seguridad, teniendo en cuenta sus consecuencias en el negocio.

36

Tabla 6.6.4.2.4.1 Informe de Riesgos Diagrama de riesgos:

El diagrama de riesgos esquematiza el impacto de los riesgos en funcin de su probabilidad de ocurrencia. Cuanto mayor sea el impacto y la probabilidad de ocurrencia, ms fuertes debern ser los controles a aplicar para mitigar el riesgo asociado.
37

6.6.4.3 PLANIFICACIN 6.6.4.3.1 ELABORACIN DEL PLAN DE ASEGURAMIENTO

En esta parte de la etapa de planificacin se establece el Plan de Aseguramiento. Se describe en forma precisa y detallada las medidas, cambios y controles que se implementarn a fin de proteger el sistema, mitigando los riesgos descubiertos en la fase anterior de la Metodologa. [IRAM/ISO/IEC17799] indica: Una vez identificados los requerimientos de seguridad, deben seleccionarse e implementarse controles para garantizar que los riesgos sean reducidos a un nivel aceptable. Los controles deben seleccionarse teniendo en cuenta el costo de implantacin en relacin con los riesgos a reducir y las prdidas que podran producirse de tener lugar una violacin de la seguridad. Tambin deben tenerse en cuenta los factores no monetarios, como el dao en la reputacin.

No es el fin de esta tesis dar detalles sobre las tcnicas a implementar para conseguir estos resultados, entendindose por buenos resultados el aseguramiento del elemento en cuestin. Se limitar a dar las pautas procedimentales para asegurar el entorno informtico, se deber realizar el trabajo de investigacin especfico para obtener los resultados propuestos segn la tecnologa involucrada.

6.6.4.3.1.1 Proteccin fsica 6.6.4.3.1.1.1 Proteccin de las Instalaciones

Se analiza en esta parte la proteccin del edificio, salas e instalaciones a nivel fsico. Se evala la implantacin de alguna de las siguientes tcnicas:

Definicin de reas de la institucin en cuanto a seguridad:

38

En esta etapa se debern diferenciar los sectores de acceso comn a todos los usuarios de los sectores de acceso restringido y los distintos niveles de seguridad requeridos;

Definicin de un permetro de seguridad: Un permetro de seguridad es un rea considerada segura. Al definir un permetro de seguridad, se establece un rea donde se implementarn medidas de proteccin que garanticen cierto grado de seguridad;

[IRAM/ISO/IEC17799] define: Un permetro de seguridad es algo delimitado por una barrera, por ejemplo, una pared, una puerta de acceso controlado por tarjeta o un escritorio u oficina de recepcin atendidos por personas.

Construccin de barreras fsicas: Paredes, alarmas, cerraduras, etc.;

Verificacin del permetro de seguridad: Realizar pruebas de penetracin de las barreras fsicas, para determinar su fortaleza;

Determinacin de reas protegidas: Un rea protegida es una zona que se desea mantener segura, a la que no tiene acceso todo el personal a la que acceden con fines especficos y bajo severos controles de autenticacin. Puede ser una oficina cerrada con llave, o diversos recintos dentro de un permetro de seguridad fsica donde se realicen operaciones confidenciales, como el rea administrativa. Se deben definir las zonas u oficinas que tienen estos requerimientos;

Controles en las reas protegidas:

39

Dar conocimiento de la existencia de un rea protegida, o de las actividades que se llevan a cabo, slo al personal estrictamente necesario e involucrado;

Brindar acceso limitado a las reas protegidas o a las instalaciones de procesamiento de informacin sensible al personal. Otorgar este acceso solamente cuando sea necesario, autorizar y monitorearlo. Pueden requerirse barreras y permetros adicionales para controlar el acceso fsico entre reas con diferentes requerimientos de seguridad, y que estn ubicadas dentro del mismo permetro de seguridad;

Determinacin de un rea de acceso y autenticacin de personal: El control de acceso y la autenticacin de usuarios se deben realizar en un punto de acceso comn y alejado de las reas protegidas. Se recomienda la centralizacin del puesto de acceso para facilitar el registro y control de flujo de personal;

Determinacin de uno o varios mtodos de autenticacin de usuarios: Autenticar usuarios implica verificar a los usuarios que intentan acceder al entorno, a la red o al sistema, comprobando que estos sean quienes dicen ser. Existen muchos mtodos de autenticacin de usuarios, y se clasifican segn lo que utilizan para la verificacin de la identidad: o Mtodos que se basan en algo que el usuario sabe: Contraseas; Frases secretas;

Determinacin de la forma de registro del flujo de personas en los distintos sectores: o Registrar la hora de ingreso y egreso de cada usuario que ingrese al edificio;
40

o Registrar la hora de ingreso y egreso de cada usuario que recurra al centro de cmputos;

Implantacin de sistemas de deteccin de intrusos: Implantar adecuados sistemas de deteccin de intrusos que se instalan segn estndares profesionales y probados peridicamente. Estos sistemas comprenden todas las puertas exteriores y ventanas accesibles. Las reas vacas deben tener alarmas activadas en todo momento. Tambin se considera la proteccin de otras reas, como la sala de cmputos;

No hacer pblica informacin sensible: Las guas telefnicas y listados de telfonos internos es informacin sensible no deben ser fcilmente accesibles al pblico;

6.6.4.3.1.1.2 Proteccin de los equipos

Se analiza en esta parte la proteccin de los distintos Activos a nivel fsico. Se evala la posibilidad de implementar alguna de las siguientes tcnicas: Evaluacin de la distribucin fsica de los activos: Se realiza a fin de evitar accidentes, o para prevenir, mediante la ubicacin estratgica de los bienes, hurtos o deterioros de activos: o Ubicar las instalaciones clave en lugares a los cuales no pueda acceder el pblico; o Ubicar las funciones y el equipamiento de soporte compartidas por los usuarios, por ejemplo, fotocopiadoras, mquinas de fax, dentro del rea protegida para evitar solicitudes de acceso, que podran comprometer la informacin;

Mantener alejados los suministros:

41

Almacenar los materiales peligrosos o combustibles en lugares seguros a una distancia prudencial del rea protegida;

Individualizacin de los elementos de red: Es fundamental tener un conocimiento completo de la red, individualizar todos sus elementos, su respectiva ubicacin fsica y su direccin lgica. Para ello se presenta una tabla que registra estos datos: el Mapa de elementos de red.

Rotulacin de activos fsicos: Los equipos, dispositivos externos, cintas de backup y dems activos fsicos deben ser rotulados segn la nomenclatura fijada en el Inventario de Activos Fsicos de forma clara y legible;

Control de cambios en equipos: Permitir que slo personal de mantenimiento autorizado brinde mantenimiento y lleve a cabo reparaciones; Mantener registro de todas las fallas supuestas o reales en el Registro de Incidencias y de todo el mantenimiento preventivo, correctivo y actualizaciones de hardware en el documento de dar de Alta, Baja, Modificacin de Activos y en el Inventario de Activos Fsicos.

Prevencin de catstrofes: Incendios: Provocados por rayos, por fallas elctricas o descuido de los usuarios (cigarrillos, hornallas). Colocar extinguidores manuales en todo el edificio; Respetar los sealamientos de rutas de evacuacin. Activar el sistema de alarmas. En el Servidor Asegurar que se tengan los

respaldos externos y Apagar el mismo

42

Humo: Provocado por incendios y por el cigarrillo. El humo ataca los discos magnticos y pticos y provoca trastornos en la ventilacin de los artefactos elctricos. Se considera prohibir fumar en las oficinas y colocar detectores de humo en los techos;

Temperaturas extremas: Los artefactos elctricos y electrnicos funcionan correctamente dentro de un rango determinado de temperaturas, en general entre los 0 y los 70 C. Si se exceden estos extremos se corre el riesgo de que los materiales dejen de ser ferromagnticos. Se aconseja la utilizacin de equipos de aire acondicionado en todas las salas;

Polvo: El polvo se deposita sobre los artefactos removibles y entra por los ventiladores de los CPU y daa los circuitos. Es necesario tener una rutina de limpieza y aspiracin de los ambientes;

Electricidad: Trastornos o fallas en la lnea elctrica pueden provocar cortocircuitos, subidas de tensin, cortes en el flujo elctrico y hasta incendios. Instalar cables a tierra y estabilizadores de tensin. Tambin se sugiere la utilizacin de bateras o unidades de alimentacin ininterrumpida;

Humedad: El exceso de humedad en equipos elctricos provoca cortocircuitos y la escasez de humedad provoca esttica. Abrir ventanas para mantener la ventilacin en el rea de archivo. Colocar en lugares seguros el hardware, software y documentos importantes. Apagar equipos de cmputo prioritarios. En el Servidor cubrir con bolsas de plstico
43

documentos importantes que puedan mojarse. Colocar los no-breaks sobre mesas para evitar que los equipos se apaguen en caso de fallas elctricas.

Inundaciones: Colocar los equipos alejados del piso, instalar un falso suelo o ubicar censores en el piso que corten el suministro de energa elctrica al detectar agua;

Terremotos: Para proteger los equipos ms crticos de los terremotos se fijan stos de manera que no se puedan desplazar y se trata de ubicar todo equipo alejado de las ventanas;

Comida y bebidas: La institucin debe analizar su poltica respecto de comer, beber y fumar cerca de las instalaciones de procesamiento de informacin. Se recomienda prohibir estas actividades para proteger los equipos e instalaciones;

Ubicacin de la informacin crtica en lugares seguros: Mantener el equipamiento de sistemas de soporte UPC, de reposicin de informacin perdida (fallback) y los medios informticos de respaldo (backups) a una distancia prudencial de la fuente de informacin, en lugares protegidos contra intrusos y catstrofes naturales que permitan evitar daos ocasionados por eventuales desastres en el sitio original;

Proteccin de las copias de respaldo:

44

Los medios que contienen las copias de respaldo o backup como discos deben ser cuidadosamente almacenados en lugares alejados de la fuente de datos y protegidos contra robo, incendio e inundacin;

Proteccin de las unidades de soporte de informacin: Manejar los dvds, discos u otros dispositivos que contengan informacin crtica segn las especificaciones de los fabricantes, a fin de evitar prdidas o dao de la informacin;

Restriccin del acceso a unidades removibles: nicamente los usuarios locales deben tener acceso a las unidades removibles como discos removibles, CD-ROM y dvd;

Garantizar el adecuado suministro de energa: Proteger el equipamiento con respecto a las posibles fallas en el suministro de energa u otras anomalas elctricas. Se recomiendan las siguientes opciones para asegurar la continuidad del suministro de energa: o Usar mltiples bocas de suministro para evitar un nico punto de falla en el suministro de energa; o Utilizar fuentes o suministros de energa ininterrumpida (UPS); o Se recomienda usar una UPS para asegurar el apagado normal o la ejecucin continua del equipamiento que sustenta las operaciones crticas de la institucin; o <Ubicar interruptores de emergencia cerca de las salidas de emergencia de las salas donde se encuentra el equipamiento, a fin de facilitar un corte rpido de la energa en caso de producirse una situacin crtica;

Proteccin del cableado:

45

Proteger contra interceptacin o dao del cableado de energa elctrica y de comunicaciones, que transporta datos o brinda apoyo a los servicios de informacin: o Separar los cables de energa de los cables de comunicaciones para evitar interferencias;

Control de la baja de equipos: o Controlar los equipos que se den de baja para evitar la utilizacin indebida de la informacin que transporten; o Verificar el borrado seguro de datos sobrescribiendo las pistas de discos antes de desecharlos; o Procurar la destruccin fsica de cds y unidades de cinta y todo artefacto removible capaz de contener informacin; o Documentar toda baja o modificacin de equipos en el Relevamiento de Activos.

Control de la disponibilidad de almacenamiento:

Verificar la disponibilidad de espacio de almacenamiento fsico de datos; Monitorear las demandas de capacidad requeridas por los elementos de software; Realizar proyecciones sobre los futuros requerimientos de capacidad.

6.6.4.3.1.2 Proteccin lgica

Se analiza en esta parte la proteccin de los distintos Activos a nivel lgico.

6.6.4.3.1.2.1 Proteccin de la informacin

46

Se pretende establecer reglas para la proteccin de la informacin de la institucin, tcnicas de prevencin del hurto, modificacin o deterioro de la confidencialidad de los datos con significado para la institucin; Prevencin de ataques externos:

Ingeniera social: Consiste en la manipulacin de las personas para que voluntariamente realicen actos que normalmente no haran, como revelar su contrasea o cambiarla. Se capacita a los usuarios para prevenirlos de estos ataques y se los informa del procedimiento formalizado en la Poltica de seguridad sobre el cambio de contraseas;

Masquerading: Un intruso puede usar la identidad de un usuario autorizado que no le pertenece simplemente apoderndose de un nombre de usuario y contrasea vlidos. Se capacita a los usuarios para que mantengan en secreto tanto su nombre de usuario como su contrasea para que nadie ms los pueda usar en su nombre;

Piggy backing: Es el ataque en que un usuario no autorizado accede a una zona restringida gracias al permiso otorgado a otra persona que s est autorizada. Para evitar esto se establecen controles en los accesos a las salas y se construyen barreras fsicas que impidan el acceso;

Basurero: Basurero es la obtencin de informacin de los desperdicios dejados alrededor de un sistema: documentacin antigua; listados viejos;
47

memoria liberada por procesos; bloques libres de disco; tachos de basura dentro y fuera del edificio; cds, dvds desechados.

Es de vital importancia destruir toda documentacin que ya no se utilice, con una mquina trituradora de papel y borrar los documentos en forma segura, segn el sistema operativo que se use. [IRAM/ISO/IEC17799] indica: Los medios que contienen informacin sensible deben ser eliminados de manera segura, Incinerndolos o rompindolos en pequeos trozos, o eliminando los datos y utilizando los medios en otra aplicacin dentro de la institucin. Se debe prestar especial atencin a la eliminacin segura de: documentos en papel; papel carbnico; cintas de impresora de un slo uso; discos; medios de almacenamiento ptico; listados de programas; documentacin del sistema.

Clasificacin de la informacin:

La informacin se debe clasificar: en cuanto a su acceso en cuanto a su criticidad.

Establecer medidas de proteccin segn la clasificacin de la informacin:

48

Segn el tipo de informacin que se trate, se debern garantizar controles como se indica a continuacin:

Para la informacin pblica o no restringida: No es necesario establecer restricciones especiales, ms all de las recomendaciones sobre su buen uso y conservacin;

Para la informacin restringida y/o secreta: o Dependiendo que la informacin se haya clasificado como restringida o secreta se deben cumplir con los siguientes requerimientos mnimos y obligatorios para su proteccin: Autorizacin: Los usuarios a quienes por la naturaleza de su trabajo se les permita el acceso a la informacin clasificada como confidencial o secreta, deben estar expresamente autorizados. El Administrador de Seguridad debe conservar la

documentacin que respaldara las autorizaciones recibidas para los cambios de permisos. En cuanto a la informacin restringida, slo debe utilizarse teniendo en cuenta las autorizaciones definidas en la Norma de Ambientes de procesamiento. En estos casos documentar la autorizacin y las tareas efectuadas, de acuerdo al Procedimiento de Administracin de Usuarios y Recursos.

Conservacin: La informacin clasificada como secreta y los medios fsicos donde se almacene, deben protegerse utilizando cajas de seguridad cuya llave y/o combinacin debe ser conservada por el Dueo de los Datos, quien debe autorizar toda copia
49

adicional de dicha informacin as como la transmisin, envo, impresin y/o destruccin de la misma. La conservacin de soportes impresos de esta informacin debe efectuarse en archivos cerrados cuyo acceso fsico debe estar restringido nicamente a los usuarios autorizados. Realizar el proceso de generacin y/o restauracin de la informacin de acuerdo a lo definido en la Norma de Copias de Respaldo.

Impresin: Imprimir los reportes que contienen informacin confidencial en impresoras de acceso exclusivo para usuarios autorizados;

Destruccin: Destruir toda informacin secreta y sus correspondientes soportes fsicos cuando se considere no vigente y se discontine su utilizacin y/o conservacin.

Informar a los usuarios sobre el manejo de la informacin: Toda la informacin conservada en los equipos informticos como archivos y correos electrnicos residentes en el servidor de datos centralizados y/o estaciones de trabajo puede ser considerada propiedad de la Institucin y no de los usuarios, dependiendo de su Poltica de Seguridad, por lo que podr ser administrada y/o monitoreada por los responsables del rea de Sistemas de acuerdo con las pautas de seguridad definidas. Esto debe estar claramente establecido en la Norma de Clasificacin y Tratamiento de la Informacin de la Institucin y pertinentemente informado a todos los usuarios.

6.6.4.3.1.2.2 Proteccin del Sistema Operativo.

50

Actualizacin de del Sistema Operativo: o Actualizar peridicamente el Sistema Operativo del Servidor y estaciones de trabajo para las diferentes plataformas. En Microsoft, actualizar el SO con la versin que se considere necesaria de acuerdo con las necesidades funcionales y las mejoras implementadas; o Aplicar los parches que publican los proveedores de software en todos los equipos. Para ello se recomienda el uso de algn software de distribucin segn la cantidad de mquinas a actualizar;

Estandarizacin de servidor: La configuracin de seguridad de los equipos puede ser tediosa, pero es necesaria. El servidor debe seguir un estndar para su identificacin y para su configuracin. El Manual de Seguridad incluye estndares tcnicos que se elaboran para estos fines. Se deber evaluar la posibilidad de elaborar uno para facilitar la tarea de homogenizacin de configuraciones de seguridad por plataforma deben tener los equipos respecto de la seguridad, que se aplique al servidor existente.

Control del acceso remoto: Realizar los adecuados controles para evitar el acceso no autorizado a los equipos en forma remota, segn lo establecido en la Poltica de Seguridad de la institucin. En general se sugiere limitar el acceso remoto a un grupo reducido de usuarios para fines administrativos utilizando medios seguros y prohibir el acceso remoto de los equipos ms crticos.

Proteccin del inicio del sistema:

51

Establecer la configuracin del arranque de los equipos segn lo establecido en el Manual de Seguridad. La prctica ms recomendable es deshabilitar la posibilidad de booteo de los servidores desde el CD-ROM.

Control de la instalacin de programas y dispositivos: Permitir nicamente a usuarios con privilegios de administrador que instalen software y dispositivos en los equipos. Para la actualizacin de programas de software o instalacin de dispositivos se debe seguir el lineamiento indicado en los Procedimientos del Manual de Seguridad para el manejo de incidencias.

Desconexin de todas las unidades de red inutilizadas: Muchas veces se conectan unidades de red con fines especficos para alguna instalacin remota, etc. Todas las conexiones que no se necesitan deben ser removidas del sistema operativo para evitar el intento de conexin por parte de usuarios no autorizados y el descubrimiento de informacin.

Limpieza de la memoria: Cada vez que el sistema se cierra se deben limpiar las pginas de memoria virtual;

Apagado seguro: No permitir el apagado de equipos sin la autenticacin (login de un usuario). La nica excepcin es durante la utilizacin de medios alternativos de alimentacin elctrica como UPSs durante una emergencia;

Implantacin de un sistema de perfiles y grupos de usuarios: La administracin de usuarios es clave para el mantenimiento de la seguridad del entorno; todos los sistemas operativos actuales permiten la creacin de usuarios, perfiles de usuario y grupos.

52

Los perfiles son los tipos de usuarios existentes, el administrador luego crea los que considera necesarios. Por lo general se crean grupos para identificar a los usuarios que realizan una misma tarea.

Las mejores prcticas de seguridad sugieren crear un conjunto de grupos de usuarios, y asignar los permisos sobre los archivos y directorios a los grupos, y no a los usuarios. Esto hace mucho ms sencillo el mantenimiento de los permisos en caso de cambios o recupero de informacin de cintas de backup, puesto que solamente hay que modificar los permisos de los grupos, y no individualmente los de los usuarios, que, sern muchos ms en nmero. En general es til crear grupos por reas de trabajo o sectores dentro de las reas donde todos los usuarios que pertenecen a ese sector acceden con los mismos permisos a los recursos informticos de la Institucin.

Implantacin de una Poltica sobre las cuentas de usuarios: El Manual de Seguridad de la Institucin debe contener, entre sus normas y procedimientos, la Poltica para dar de alta, baja y modificacin a los Usuarios. En ella se debe especificar los parmetros que deben cumplir la identificacin de usuario, la cuenta, y las contraseas. El dar de Alta, Baja o Modificar los usuarios consiste basndonos en: o Alta de un usuario: requerimiento de acceso a una aplicacin o un servicio para un usuario inexistente; o Modificacin de un usuario: requerimiento de: diferentes tipos de acceso a las aplicaciones o servicios, acceso a una nueva aplicacin o servicio; eliminacin de acceso a una aplicacin o servicio;

o Baja de un usuario: requerimiento de eliminar los derechos de acceso de ese usuario a toda aplicacin o servicio;
53

o Deshabilitacin de un usuario: requerimiento de negar los derechos de acceso de ese usuario a toda aplicacin o servicio, sin eliminarlo definitivamente del dominio de usuarios;

Tipos de cuentas de usuarios: Cuentas personales: Identificacin personal del usuario: Cada persona debe tener una nica identificacin personal de usuario en los servicios centralizados de la compaa y es responsable de la correcta utilizacin de la informacin que se realiza con esa cuenta. La identificacin de la cuenta personal suele ser alfanumrica y est relacionada con el nombre y apellido del usuario.

Cuentas de servicios: Son cuentas de usuarios no personales que se crean con fines especficos: o Usuarios creados por defecto durante la instalacin de

aplicaciones y sistemas operativos: no deben utilizarse con fines operativos; o Usuarios genricos para satisfacer necesidades propias de la ejecucin de aplicaciones o servicios, por ejemplo, para administrar las comunicaciones: deben ser autorizados

expresamente por el Oficial de Seguridad; Para estos casos las contraseas deben permanecer resguardadas y su acceso debe ser registrado segn los Procedimientos correspondientes.

Descripcin de las cuentas: Las cuentas de usuarios generadas en cada uno de las aplicaciones, deben contener, al menos, los siguientes datos:

54

El nombre y apellido completo del propietario de la misma y el rea de trabajo, en el caso de los usuarios personales; En el caso de las cuentas de servicios debe figurar la funcin para la que fue creada; Debe crearse una cuenta para cada servicio individual con los mnimos privilegios posibles, y no utilizar una misma cuenta para varios servicios;

Todo usuario se debe comprometer a: mantener la confidencialidad de la informacin a la que acceda; utilizar en forma personal y exclusiva su identificacin de usuario; responsabilizarse del uso que se haga de su identificacin de usuario.

Implantacin de una Poltica de Contraseas de Usuarios: El Manual de Seguridad de la institucin debe contener, entre sus normas y procedimientos, la Poltica de Contraseas de Usuarios. En ella se debe especificar los parmetros que deben cumplir las contraseas.

A continuacin se enumera una serie de controles que debern tenerse en cuenta a la hora de elaborar la Poltica de Contraseas: Longitud mnima por ejemplo de 6 caracteres y sin contener blancos; Longitud mxima por ejemplo de 16 caracteres; Vida mxima para obligar a los usuarios a realizar el cambio de clave cada cierto perodo, por ejemplo de 30 das; Cantidad mnima de caracteres numricos; Cantidad mnima de caracteres alfabticos; Cantidad mnima de caracteres especiales (@#$%^&*); Cantidad mnima de caracteres distintos de la ltima contrasea; Tiempo mnimo que debe transcurrir antes de reutilizar una contrasea por ejemplo, un ao;

55

Cantidad mnima de contraseas distintas antes de reutilizar una. Es una variante del control anterior, utilizada para el mismo fin; Determinar si debe ser cambiada obligatoriamente la primera vez que el usuario ingrese al sistema;

Adems, debe cumplir con las siguientes caractersticas: Debe poder ser cambiada toda vez que el usuario lo requiera; No debe ser compartida; Se debe preservar su confidencialidad; No debe ser fcil de adivinar;

Para lograr esto existen varias soluciones:

Utilizar un software generador de passwords: Utilizar un software que analice la password y rechace contraseas fciles al momento de su ingreso;

Administracin de Usuarios: Garantizar que todos los usuarios posean los privilegios mnimos necesarios para la realizacin de su tarea.

Las prcticas recomendadas para las cuentas de usuarios son las siguientes: Renombrar la cuenta de Administrador Local; Deshabilitar la cuenta de invitado o Guest; Nunca usar cuentas grupales. Las cuentas deben ser de uso individual exclusivo; Todos los usuarios personales deben autenticarse en el sistema. No se deben permitir cuentas de usuario personales sin password;

56

Establecer una nomenclatura para la denominacin de las cuentas de usuarios personales y para las de servicios; Utilizar descripciones de usuarios claras y completas que permitan la identificacin y clasificacin de los usuarios.

Para lograr una adecuada y efectiva implantacin de un sistema de grupos y perfiles de usuarios, sin superposicin de roles ni de permisos, y con el fin de detectar cualquier inconsistencia, se sugiere relevar los usuarios con sus respectivos permisos y roles en un documento generado para tal fin llamado Mapa de Usuarios, que permite la rpida visualizacin de inconsistencias en la asignacin de perfiles. Revisin de las cuentas de usuario: El administrador de seguridad debe realizar una peridica revisin de las cuentas de los usuarios del sistema, a fin de detectar usuarios inactivos y realizar las bajas correspondientes, segn el procedimiento de seguridad de administracin de usuarios; Revisin de los permisos de los usuarios: Realizar una peridica revisin de los permisos otorgados sobre le file system y sobre los recursos. Un control bsico consiste en restringir los permisos para los grupos genricos, e ir otorgndolos individualmente o por grupo segn la necesidad. Revisin de los servicios de red: Revisar peridicamente los servicios de red habilitados y eliminar todos aqullos que no se necesiten, en particular los que permiten hacer conexiones remotas o transporte de datos en texto plano (como FTP); Revisin de los protocolos de red: Revisar peridicamente los protocolos de red habilitados y eliminar todos aqullos que no se necesiten, en particular los protocolos antiguos e inseguros;
57

 Control del inicio de sesin: Establecer un nmero mximo de intentos fallidos de inicio de sesin de los usuarios, luego del cual se bloquee la cuenta hasta que el usuario solicite su desbloqueo mediante el procedimiento vigente. Establecer el perodo en que una cuenta puede permanecer en estado bloqueado, luego del cual se debe proceder a borrarlo definitivamente, luego de los controles necesarios, indicados en la Norma de administracin de usuarios. La administracin de usuarios tambin implica realizar peridicos controles sobre los usuarios del sistema, eliminando los que no presenten actividad, segn el procedimiento correspondiente. Nombre del ltimo usuario logueado: Evitar que se muestre la identificacin del ltimo usuario que se logue en el sistema. Esto podra facilitar los ataques de adivinanza de contrasea por fuerza bruta; Bloqueo de cuentas de usuario: Las cuentas bloqueadas por intentos fallidos de sesin, o por permanecer inactivas durante un perodo determinado deben permanecer bloqueadas durante un tiempo, para impedir el inicio de sesin. Este perodo de tiempo puede ser de minutos o das, dependiendo de la criticidad de la informacin que maneje la institucin. A continuacin se exponen controles sobre las cuentas de usuarios, que deben estar explcitos en las Normas de Usuarios, y deben ser de conocimiento de todos los usuarios del Sistema: Toda cuenta de usuario que haya intentado cuatro veces el acceso al sistema en forma fallida y consecutiva, debe ser automticamente bloqueada; Toda cuenta de usuario que no haya accedido al sistema por un perodo de 60 das ser bloqueada y se iniciar la gestin de baja de la misma, que comprende:
58

verificacin por parte de Recursos Humanos la inexistencia del usuario; aprobacin para la eliminacin definitiva de la cuenta.

Registros de pistas de auditora o logs: Registrar pistas de auditora, ms conocidas como logs con el fin de asegurar un adecuado monitoreo de los eventos que pudieran afectar a la seguridad de la informacin de la institucin. Toda aplicacin utilizada en el entorno informtico debe permitir el registro automtico y la explotacin de la informacin de las siguientes pistas de auditora: Tareas generales a activar en sistema operativos y equipos de comunicaciones: o Intentos exitosos y fallidos de ingreso de usuarios; o Desconexin forzada de usuarios; o Alta, baja o modificacin de usuarios, grupos y/o perfiles; o Cambios en la configuracin de la seguridad; o Instalacin de software de aplicacin; y apagado del servidor y equipos de o Encendido

comunicaciones; o Procesos de depuracin de informacin no automatizados.

Tareas generales a activar en aplicaciones: o Intentos exitosos y fallidos de ingreso de usuarios; o Desconexin inactividad; o Alta, baja o modificacin de usuarios, grupos y/o perfiles; o Cambios en la configuracin de la seguridad; o Instalacin de software de aplicacin; o Procesos manuales de depuracin de datos;
59

automtica

de

sesiones

de

usuario

por

o Las acciones llevadas a cabo por los usuarios especiales.

Tareas especiales a activar: o Todos los accesos a informacin clasificada como

confidencial; o Todos los accesos de aquellas cuentas de usuarios con altos privilegios sobre los sistemas.

A continuacin se muestra una porcin pequea de un archivo de log generado por el sistema operativo Windows 2008 Server, en un entorno con 18 estaciones de trabajo en un dominio de un archivo de log:

Tabla 6.6.4.3.1.2.2 Proteccin del Sistema Operativo. Revisin de las licencias de software: Verificar que todos los equipos funcionen con el Sistema Operativo bajo la licencia otorgada por el proveedor. Administracin de las pistas de auditora:

60

Las pistas de auditora o logs son valiosas slo cuando pueden ser analizados, y se encuentren disponibles en forma legible y completa. Para lograr esto, los registros de log deben: Ser completos; deben registrar toda la informacin que se considere til para el caso; Ser autnticos; deben ser verdicos, no deben ser falsificados ni modificados por nadie; Ser ntegros; deben ser completos.

Para ello se debe establecer una serie de controles sobre la lgica de los logs, y sobre la tecnologa que los soporta.

A continuacin se detallan controles y medidas recomendadas para obtener un registro de auditora confiable:

Administracin del espacio disponible para el almacenamiento: Revisar peridicamente el crecimiento de las tareas con el objetivo de identificar la necesidad de depuracin de las mismas evitando toda posibilidad de prdida;

Eliminacin de las pistas: Ante situaciones que requieran la eliminacin de las pistas o tareas de auditora debido a la falta de espacio de almacenamiento, generar una copia de respaldo antes de proceder a su eliminacin. Estas copias deben mantenerse accesibles y adecuadamente registradas en el Inventario de Backup;

Definicin de eventos: Para aquellos entornos que gestionen informacin sensible se debern definir los eventos de seguridad que requieren monitoreo;

61

Estadsticas de eventos: El Oficial de Seguridad deber generar informes con las estadsticas de los eventos crticos detectados, a fin de tomar las acciones correctivas correspondientes, cuando la frecuencia de repeticin o el impacto lo justifiquen;

Herramientas de anlisis de logs: A fin de proteger a la informacin ms crtica es conveniente realizar una revisin de las pistas de auditora con herramientas de anlisis que faciliten la tarea. Estas herramientas de anlisis de eventos permiten la generacin de alarmas, reportes, etc.

3.1.2.3 Proteccin de los datos. Controlar y administrar el acceso de los usuarios sobre los activos lgicos: Se debe administrar correctamente los recursos lgicos como archivos, bases de datos, programas de software y llevar un control sobre ellos para detectar posibles accesos no autorizados, hurto de datos o descubrimiento de informacin. Para este fin se propone la elaboracin de una tabla que refleje la asignacin de permisos sobre los activos lgicos por perfil y por usuario. Control de cambios en Software: Llevar un adecuado control y documentacin de los cambios realizados en el software ya sea: Una actualizacin; Un cambio de plataforma; Agregados de funcionalidad.

62

Todos los cambios se registrarn adecuadamente en el Alta, baja o modificacin de Activos, como se especifica en el Documento de Actualizacin de Software. Este documento que tiene como fin especfico ayudar al administrador a controlar el proceso de actualizacin de software en forma Masiva. Cuando se actualiza el software antivirus, que es una tarea ardua ya que muchos programas no permiten que las actualizaciones sean instaladas por usuarios sin permisos de administrador, ste es el que debe pasar mquina por mquina instalando el software.

El Documento de Actualizacin de Software se usar como ayuda para el control de las actualizaciones registrando cada mquina a medida que se avanza con la estacin de trabajo de la red.

Documento de Actualizacin de Software

Tabla 3.1.2.3 Proteccin de los datos. Control de impacto de nuevo software: Antes de instalar nuevo software en los equipos se realiza un control de compatibilidades y aprobacin por parte de la Directora: Controlar las licencias de software y de las actualizaciones;
63

Verificar

los

requerimientos

de

capacidad

de

procesamiento

almacenamiento del nuevo software; Verificar la compatibilidad con la plataforma de hardware utilizada; Preparar los ambientes para la actualizacin; Realizar pruebas de instalacin y uso del nuevo software antes de la instalacin definitiva; Realizar pruebas de recuperacin de errores; Verificar la compatibilidad del nuevo software con otros elementos existentes; Capacitar a los usuarios.

Instalacin y continua actualizacin de software de deteccin y reparacin antivirus: Comprobar diariamente la existencia de nuevo software antivirus y sus actualizaciones; Comprobar la ausencia de virus antes de utilizar archivos transportados a travs de la red, o en medios magnticos como cds, memorias u otros; Comprobar la ausencia de virus en los archivos bajados de Internet (downloads) antes de su ejecucin o instalacin; Realizacin de copias de seguridad (backups): Guardar en forma segura los datos crticos, informacin de recuperacin de sistemas y registros exactos de las aplicaciones en forma peridica; El perodo de realizacin de copias y la vida de cada una estn definidos en el Manual de Procedimientos de realizacin de copias de seguridad (backups); Mantener siempre al menos los tres ltimos ciclos de backup; Comprobar peridicamente los medios de almacenamiento de los backups (cintas) para garantizar una recuperacin exitosa, en caso de necesitarlo;

64

Comprobar peridicamente el correcto funcionamiento de las unidades de cinta para la recuperacin de datos desde los medios fsicos de almacenamiento.

Verificar los procedimientos y procesos de recuperacin a partir de los backups, para garantizar su eficacia y la adecuada restitucin del sistema ante eventualidades;

Aqu se presenta un registro para llevar ese control de forma ordenada: el Inventario de Backup.

Inventario de Backup Se determinar la tcnica ms conveniente para realizar el Backup en el sistema. Para la aplicacin de cualquier tcnica se deber documentar el resguardo de datos que hizo y proteger ese documento con claves u otros mtodos para prohibir su acceso a extraos. Este documento deber contener como mnimo la siguiente informacin:

Tabla 3.1.2.3.1 Inventario de Backup

Descripcin de los campos CDIGO: Cdigo de 7 dgitos que rotula la copia de seguridad. Sirve para identificar unvocamente cada copia. Formato: BKPNNN Donde N representa un nmero, que crecer correlativamente para identificar los backups;

FECHA: Fecha en que se realiz la copia de seguridad;

TIPO: Incremental;
65

 Normal; Diferencial; Diaria; Copia.

Append/Sobreescritura: A: Append: si los backups se van concatenando en el medio fsico; S: sobreescritura: Si los backups son reemplazados por la nueva copia.

MEDIO: Medio fsico en el que se realiza la copia. Ej: Cinta#1, Cinta#2;

PASSWORD: Contrasea de cifrado de la copia. Restriccin de acceso a los datos: Establecer en forma unvoca los permisos otorgados a cada perfil de usuario para evitar accesos no autorizados en los distintos entornos: Archivos; Bases de datos; Aplicaciones; Servicios.

Proteccin de la documentacin del sistema: Almacenar la documentacin del sistema en forma segura: bajo llave en archivos o armarios de acceso restringido; Los documentos de administracin de la seguridad deben estar protegidos de manera especial, y slo debe tener acceso a ellos el o los responsables correspondientes. Son de crtico manejo los siguientes documentos: o La Poltica de Seguridad; o Los manuales de Procedimiento; o Los instructivos tcnicos;
66

o Los Estndares de seguridad; o El Inventario de Activos; o El Mapa de Vulnerabilidades; o El dar de alta, baja o modificacin de Activos; Proteger la documentacin del sistema almacenada en una red local, implementando un sistema de acceso o privilegios por perfil;

Proteccin del trfico cliente-servidor: Proteger el trfico entre equipos clientes y servidores mediante el recurso adecuado segn corresponda: o Firma digital; o Cifrado de paquetes; o Mtodos de hash.

Proteccin del trfico de los vnculos: Proteger el trfico entre equipos distantes mediante el cifrado de paquetes.

6.6.4.3.1.3 Proteccin a nivel de la institucin.

Se analiza en esta parte la proteccin de los distintos Activos a nivel de la institucin. Se deben considerar algunos de los siguientes puntos: Elaboracin/adecuacin de una Normativa de seguridad: A nivel institucional, el primer paso en la proteccin del entorno es establecer la normativa que dicte los lineamientos sobre los procedimientos, las tareas y procesos informticos. La normativa se materializa en un Manual de Seguridad compuesto por: La Poltica general de Seguridad; Las Normas; Los procedimientos;
67

Los estndares tcnico; Los Manuales de usuarios.

Determinacin de la necesidad de un cambio en la estructura de la institucin: Crear un sector dedicado a la seguridad informtica: Si la institucin en cuestin no presenta la estructura organizacional que soporte el siguiente esquema de responsabilidades, ser tarea de disear y proponer una serie de responsabilidades a crear en la misma, pudiendo implicar la creacin de un rea de Seguridad Informtica y una de una Auditora;

Determinar los roles y responsabilidades: Consiste en dar una razonable proteccin a la informacin a travs de la correcta administracin de la seguridad por parte de los responsables asignados a cada una de las funciones dentro de la institucin. Para ello se deben definir los roles y las responsabilidades que lo ejecuten. A continuacin se definen los roles y responsabilidades de cada una de las funciones relacionadas con la seguridad:

Dueo de los datos (Director) Es el responsable sobre la informacin correspondiente a su mbito de trabajo. Son sus principales responsabilidades: o Identificar toda la informacin de su rea, cualquiera sea su forma y medio de conservacin; o Clasificar su informacin de acuerdo a su grado de criticidad, documentando y actualizando peridicamente esta clasificacin; o Determinar qu usuarios de su rea pueden acceder a su informacin, asegurando que cada uno tenga garantizado el ingreso a los datos de acuerdo a sus respectivas funciones, y en el marco de lo especificado por la Norma de Administracin de Usuarios, Accesos y Recursos;
68

Administrador de Seguridad

Se define como tal a la persona que tiene a su cargo la ejecucin de las medidas de seguridad en algn equipo de procesamiento, servicio y/o aplicacin. Sus principales responsabilidades relacionadas con la proteccin de la informacin son: o Administrar todas las solicitudes de alta, baja y modificacin de permisos relacionados con los accesos de los usuarios a los respectivos equipos y aplicaciones; o Implantar en los sistemas todos los parmetros definidos en las normas, procedimientos y estndares especficos; o Asistir a los usuarios en las tareas relacionadas con la proteccin de los datos; o Analizar e informar cualquier evento que atente contra la seguridad informtica, as como controlar peridicamente que solamente los usuarios autorizados posean acceso a los recursos.

Operador Responsable Se establecen como Operador Responsable de la informacin a: o El responsable de los archivos centralizados de la informacin en soportes escritos en papel o electrnicos; o El responsable de los sitios donde se encuentren los equipos de procesamiento centralizado, de comunicacin y/o de almacenamiento; o Sus principales responsabilidades son: o Implantar las medidas de seguridad fsica definidas para la proteccin de la informacin en la normativa correspondiente;

69

o Disponer la efectiva custodia de las claves de mayor riesgo de los equipos/servicios/aplicaciones conservadas en medios impresos.

Usuarios Se considera como tales a todos los sujetos que hacen uso de los equipos, servicios y aplicaciones y de la informacin de la institucin, para poder cumplir con sus respectivas tareas. Son sus responsabilidades: o Cumplir con todas las medidas de seguridad definidas en el Manual de Seguridad; o Resguardar los soportes de informacin que conserven en su poder, segn lo establecido en el Procedimiento de Tratamiento de la Informacin; o Firmar el Compromiso de Confidencialidad de la Informacin. Implantacin de polticas para evitar ataques internos: [Huerta2000] Afirma que: el 80 % de los fraudes, robos, sabotajes o accidentes relacionados con los sistemas informticos son causados por el propio personal de la institucin propietaria de dichos sistemas, lo que se suele denominar insider factor.

Esto significa que la mayora de los ataques a los sistemas informticos son perpetrados por el propio personal que trabaja actualmente en la Institucin, o que ha trabajado con anterioridad. Estas son personas con envidia, codicia que desean vengarse por haber sido despedidos, o por otras desconformidades.

Las personas que trabajan en el rea de administracin de los sistemas o de redes tienen conocimiento de claves, formas de acceso, ubicacin de informacin crtica y hasta tienen conocimiento de las fallas y debilidades del sistema. Es por esto que se aconseja tomar medidas preventivas acerca de esta realidad:
70

Mnimo privilegio: A cada usuario se le debe otorgar el mnimo privilegio que necesita para realizar su actividad;

Separacin de funciones: La separacin de funciones es un mtodo usado para reducir el riesgo de mal uso, accidental o deliberado del sistema. o Evitar que una sola persona tenga la responsabilidad total de la seguridad de la Institucin;

Implantacin de polticas de escritorios y pantallas limpias:

Implementar una poltica de escritorios limpios para proteger documentos en papel y dispositivos de almacenamiento removibles para evitar robos, prdidas o dao de la informacin, y protegerla de desastres naturales.

Implementar una poltica de pantallas limpias para reducir los riesgos de acceso no autorizado, prdida y dao de la informacin durante el horario normal de trabajo y fuera del mismo. o Almacenar bajo llave los documentos en papel y los medios de almacenamiento cuando no estn siendo utilizados es decir fuera del horario de trabajo; o Guardar bajo llave la informacin sensible o crtica de la Institucin, especialmente cuando no hay personal en la oficina; o No dejar conectadas las computadoras personales, terminales e impresoras cuando estn desatendidas; o Proteger las computadoras personales, terminales e impresoras con cerraduras de seguridad, contraseas u otros controles cuando no estn en uso;
71

 Establecimiento de un mtodo de registro del flujo de personal: Registrar fecha y hora de entrada y salida del personal. Se determinar, segn el caso, la forma ms adecuada de llevar a cabo esta tarea. Control de las operaciones de oficina: Las oficinas manejan datos de una forma en que se propicia la divulgacin de informacin y el intercambio de datos mediante el uso de documentos impresos, intercambio de archivos, computacin mvil, correo postal, correo electrnico, correo de voz, mquinas de fax, comunicaciones telefnicas, servicios multimedia, etc; Se deben controlar: La forma en que se distribuye la informacin, por ejemplo a travs de comunicados generales o boletines institucional; El proceso de recepcin de correspondencia; Restriccin en el uso de determinadas instalaciones; Polticas de retencin y resguardo de informacin;

Reportar las incidencias: Crear un circuito que permita el reporte, registro y solucin de incidencias, as como la prevencin a partir de la Norma de Manejo de incidencias del Manual de Seguridad Informtica. Controlar los cambios: Mantener un control sobre los cambios realizados en el entorno, en equipos, en software y otros recursos. Para ello se recomienda seguir el procedimiento fijado en la Norma de Control de Cambios, y, para una fcil administracin de los cambios.

6.6.4.4 IMPLANTACIN

72

Con el estudio del entorno informtico, se da comienzo al segundo y ltimo grupo de etapas llamada Implantacin de la solucin. En el mismo se desarrolla la implantacin de la solucin. En esta etapa se lleva a la prctica lo planificado realizando los controles y ajustes necesarios segn lo relevado anteriormente. Se considerar la necesidad de implementar todas o alguna de las etapas propuestas, pero de hacerlo, deber respetar el orden sugerido ya que las tareas que se desarrollan alimentan muchas veces a otras que les siguen, aunque no necesariamente deben estar todas presentes. La Clasificacin de la Informacin no puede realizarse sin un relevamiento de los activos fsicos y lgicos de la Institucin, aunque no es estrictamente necesario que se formalice esto en un inventario. Tambin, para la elaboracin del Manual de Seguridad, en particular de ciertos procedimientos como los de manipulacin de equipos, el de transmisin de datos es necesario clasificar la informacin, y a su vez, para poder clasificar la informacin se debe contar con la Norma que establezca esa clasificacin.

6.6.4.4.1 Elaboracin del Relevamiento de Activos. Segn [IRAM17799] para mantener una adecuada proteccin de los activos de la institucin se debe rendir cuentas por todos los recursos de informacin importantes y se debe designar un propietario para cada uno de ellos.

En esta etapa de la metodologa se realizar un detallado relevamiento de los bienes o activos en posesin de la Institucin objetivo. Para el desarrollo de esta tarea se presenta una tabla para la documentacin de la existencia de los recursos de hardware, software y la informacin de una Institucin y su clasificacin, segn su criticidad.

6.6.4.4.1.1 Inventario de Activos

73

El Inventario de Activos aqu propuesto pretende llevar una contabilidad de los bienes de la institucin en cuestin, clasificndolos segn el nivel de proteccin que cada uno necesita, segn la valorizacin de los responsables. Se har distincin entre los elementos fsicos como las instalaciones y los como la informacin. Para este fin se propone la elaboracin de un Inventario de Activos Fsicos, y un Inventario de Activos Lgicos. El Inventario de Activos Fsicos contendr los siguientes elementos: Elementos de hardware: Equipamiento informtico: monitores, mdems; Equipos de comunicaciones: routers, hubs, switches, etc; Medios magnticos: cintas y discos removibles; Perifricos: impresoras, mquinas de fax; Cableado: cables internos y externos; Otros equipos tcnicos: de suministro de electricidad como UPSs Mobiliario, lugares de emplazamiento; Se har una distincin especial sobre las CPUs para facilitar su identificacin.

CPUs: Se establece una distincin del resto de los elementos de hardware para su fcil identificacin: Procesadores, computadoras porttiles.

Asimismo, el Inventario de Activos Lgico contendr estos elementos: Elementos de software: Sistemas operativos; Software de aplicaciones; Software de sistemas;

74

Herramientas de desarrollo; Utilitarios.

Servicios: Servicios informticos; Servicios de comunicaciones; Servicios generales (calefaccin, iluminacin, energa elctrica, aire acondicionado). Datos: bases de datos; archivos; documentacin de sistemas: manuales de usuario, material de capacitacin, procedimientos operativos o de soporte, planes de continuidad, documentos de alcance, de diseo, de pruebas, etc.; informacin archivada

Backups: Se hace especial mencin de los elementos de recuperacin de informacin, para su correcta administracin, actualizacin y control y como apoyo al documento de Administracin de Backups.

Estructura del Inventario de Activos Descripcin de los campos

CDIGO: Es el cdigo rotulador que se asignar a cada elemento que permitir identificar cada bien unvocamente, para su identificacin y seguimiento. Este rtulo se deber colocar a la vista en elementos fsicos (productos de hardware, cintas de backup, perifricos, etc) para su identificacin. Se establece para ello la siguiente clasificacin de elementos:
75

DESCRIP.: es una descripcin del elemento en cuestin en la que se debe destacar marca del producto, y otros datos relevantes (como nmero de serie, etc)

UBICACIN: Es la ubicacin fsica del activo. Para elementos de hardware, ser el piso, el sector, sala donde est ubicado. Para elementos de software ser la ubicacin lgica del archivo: servidor o PC con path completo en la unidad de hardware correspondiente.

RESP.: Es la persona que se hace cargo del elemento cuando ocurre un incidente en el que est involucrado.

FECHA CREACIN: Para elementos de hardware ser la fecha de compra del mismo, o la de fabricacin, y para los elementos de software se considerar la fecha de creacin de dicho archivo. Formato: dd/mm/aaaa

FECHA EXPIRACIN: Frecuentemente, la informacin deja de ser sensible o crtica despus de un cierto perodo de tiempo, por ejemplo, cuando la informacin se ha hecho pblica. Para elementos de hardware este campo puede dejarse en blanco, salvo que el elemento sea alquilado y tenga una fecha de baja preestablecida, y para los elementos de software se considerar la fecha en que la informacin contenida en el archivo pierda validez, o se realice la depuracin correspondiente. Formato: dd/mm/aaaa

CRITICIDAD: Indica el grado de proteccin que se le deber asignar al bien, segn la experiencia del Ingeniero o el valor asignado por el usuario.

76

Este nivel de criticidad ser asignado en el Inventario de Activos una vez hecho el correspondiente Anlisis de Criticidades y la posterior Clasificacin de la Informacin. Por el momento, se sugiere dejar este campo vaco y completarlo una vez pasadas las etapas mencionadas.

ESTADO: puede tomar tres valores: A: Significa que el activo ha sido dado de alta y efectivamente forma parte del inventario actual de la Institucin; B: Indica que el activo existi, y fue dado de baja; M: El activo ha sido modificado (pero sigue en uso).

6.6.4.4.1.2 Inventario de Activos Inventario de Activos Fsicos

Tabla 6.6.4.4.1.2 Inventario de Activos Fsicos

77

Tabla 6.6.4.4.1.2 Inventario de Activos Lgicos

6.6.4.4.1.3 Rotulacin de activos

Luego de la clasificacin de la informacin y de la elaboracin del inventario de Activos Lgicos y del Inventario de Activos Fsicos se procede a la identificacin de los activos por medio de rtulos.

La ventaja de llevar actualizado los inventarios es que de esta forma se pueden rotular los activos con el cdigo asignado en el Inventario, y no con la descripcin explcita. Este mecanismo es muy til para proteger la informacin contra hurtos y sabotajes. Es mucho ms fcil para un delincuente extraer de la Institucin una cinta de backup que un CPU, y ms fcil an que penetrar las barreras de seguridad lgica de la red.

La forma en que se rotulen los activos puede ser muy variada, pero para hacer esto se deber desarrollar un estndar que indique claramente cmo se realizar esta identificacin, si se utilizar una nomenclatura distinta de la del inventario de Activos, para lo cual se deber establecer la relacin entre el cdigo registrado en el Inventario y el asignado al medio fsico.
78

6.6.4.4.1.4 Anlisis de Criticidades

El anlisis de criticidades es el paso previo a la Clasificacin de la Informacin. Para clasificar la informacin de acuerdo a algn rango establecido en primer lugar hay que establecer cun crtico es el activo en cuestin. La criticidad se puede expresar mediante la necesidad de conservar tres atributos: La autenticidad; La disponibilidad; La integridad.

El Dueo de los Datos debe analizar su informacin para proceder a su clasificacin, basndose principalmente en los perjuicios que pudiera ocasionarle a la Institucin y/o a su personal, el incumplimiento de alguno de los valores establecidos en la Poltica General. Dichos prejuicios pueden ser: sociales, legales, de imagen, polticos, econmicos y/o financieros. La clasificacin de la informacin debe estar sustentada por los siguientes criterios bsicos: El valor estratgico de la informacin para la Institucin; La ventaja competitiva que puede darles a terceros su conocimiento; Los criterios especficos que definan las autoridades de la Institucin; Las leyes y reglamentaciones vigentes.

El impacto y probabilidad de una prdida en seguridad se pueden clasificar en cuatro niveles: Nivel 3: Alto riesgo; Dao irreparable, Impacto a nivel corporativo de 2 a 5 aos. Es un objetivo de ataque de alta probabilidad; Nivel 2: Dao Significativo. Impacto a nivel de pas de la Institucin / sede hasta 2 aos. Es un objetivo posible.

79

 Nivel 1: Dao Moderado. A nivel departamental. Impacto de menos de 1 ao. Es un objetivo poco probable; Nivel 0: Ningn Dao. Con licencia completa. Dominio pblico. No es un objetivo de ataque.

Cuanto mayor sea el nivel con que se clasifique la informacin, mayor ser el riesgo de la misma y por ende los controles que se ejerzan sobre ella para protegerla.

6.6.4.4.2 Clasificacin de la Informacin

La Clasificacin de la Informacin debe estar alineada a la Poltica de Seguridad de la institucin, y se debe definir para cada una de las reas. El tratamiento de la Informacin debe responder a su clasificacin.

6.6.4.4.2.1 Identificacin de la informacin

El administrador de las reas son Dueos de los Datos, tienen la responsabilidad primaria de clasificar la informacin y protegerla adecuadamente. La clasificacin de datos y los procedimientos de manejo especial se usan para proteger los datos de divulgaciones no autorizadas.

Cada Dueo de los Datos debe identificar toda la informacin que se genera dentro del rea que maneja, en todas sus formas y medios, tales como: documentos propios; informacin en los sistemas/equipos de procesamiento, individuales y/o centralizados; informes, reportes y listados; medios magnticos mviles; cualquier otro soporte fsico que contenga informacin.

80

La direccin de la Institucin debe evaluar la probabilidad y el impacto producto de la divulgacin, modificacin y/o prdida de informacin, como base para determinar el valor de la informacin. Cada Institucin deber establecer las categoras adecuadas para la clasificacin de la informacin que maneja. En algunos casos manejar informacin confidencial, en otros ser restringida o pblica.

6.6.4.4.2.2 Tipos de informacin

Entre los modelos ms utilizados est el siguiente, en el que la informacin se puede clasificar en tres categoras: Confidencial o Sensible: Informacin de acceso restringido, con alto grado de secreto, puede presentar mayores riesgos para la Institucin sobre la que tiene permiso un grupo reducido de usuarios sobre la que se deben realizar estrictos controles; Por ejemplo: o Polticas de largo alcance;

Los generadores de este tipo de informacin, o el correspondiente Dueo de los Datos, deben proceder a clasificarla y salvaguardarla de acuerdo al Procedimiento de Tratamiento de Informacin. Adems, es necesario incluir en los registros de eventos, todos aqullos referidos a la actualizacin de esta informacin. Restringida: Informacin de acceso medianamente restringido utilizada por usuarios de rango medio sobre la que es necesario realizar suficientes controles para garantizar el acceso adecuado;

81

 Pblica: Informacin de acceso libre, sobre la que se realizan los mnimos controles informacin disponible para la comunidad. Privada: relacionada con los individuos, tal como evaluaciones de desempeo, compensaciones y beneficios, carpetas personales; Uso Interno: relacionada con la operatoria diaria.

6.6.4.4.2.3 Beneficios de la clasificacin de la informacin

Mejora de forma continua la seguridad de la informacin; Establece los principales controles necesarios para evitar accesos externos o internos no autorizados a la informacin.; Brinda medidas de control para la proteccin de datos de carcter personal; Posiciona la utilizacin del correo electrnico e Internet como una herramienta de trabajo; Promueve el buen uso y proteccin de las contraseas.

6.6.4.4.2.4 Riesgos de la informacin

Para establecer una clasificacin es necesario realizar el paso previo segn esta metodologa, que consiste en hacer un anlisis de la criticidad de los Activos lgicos y fsicos. El Dueo de los Datos debe identificar los riesgos a los cuales est expuesta su informacin, teniendo en cuenta la posibilidad de que personal interno y/o externo realice: Divulgacin no autorizada; Modificacin indebida; Destruccin de los soportes.

82

6.6.4.4.3 Elaboracin/ adaptacin de la Normativa de Seguridad 6.6.4.4.3.1 Interiorizacin con la poltica y negocio de la institucin

Para la elaboracin o adaptacin de un adecuado Marco Normativo se interiorizar con la estructura, la jerarqua y el manejo de los empleados de la Institucin, pero sobre todo debe interpretar y conocer la estrategia de las mismas y sus polticas implcitas sobre el manejo de la informacin. Se deber evaluar la adecuacin de esas costumbres y sugerir los cambios necesarios para llevar a cabo las mejores prcticas de seguridad.

6.6.4.4.3.2 Elaboracin/adaptacin de la Normativa de Seguridad

En esta etapa de la metodologa se determinar si es conveniente hacer una adaptacin de la Normativa de Seguridad, si existiera, o si se inclina por la elaboracin de una nueva. Es el marco que regula el comportamiento de las personas en la Institucin, su forma de trabajar y de efectuar las tareas que involucran los recursos del entorno informtico. El Manual de Seguridad est formado por la Poltica de Seguridad, las Normas, los Procedimientos, los Instructivos y Estndares tcnicos.

A continuacin se muestra un grfico que lo ilustra:

Grfico 6.6.4.4.3.2 Elaboracin/adaptacin de la Normativa de Seguridad

83

La Poltica de Seguridad es la ms general. Contiene los lineamientos y definiciones independientes de plataformas y tecnologas. Las Normas son tambin leyes pero ms puntuales que las polticas. Las Normas generalmente tratan temas especficos a alto nivel. Los Procedimientos, en cambio, bajan el nivel a una serie de pasos a seguir, siempre independientemente de la plataforma con que se trabaje. Finalmente, los Estndares tcnicos son documentos que describen la configuracin de cierto sistema, aplicacin o hardware. Para la elaboracin del Manual de Seguridad de la Informacin, que es el conjunto de documentacin que avala el Marco Normativo de la Institucin, se deber realizar un relevamiento de aspectos organizativos y polticos, adems de los tcnicos. Se deber descubrir la forma de comunicacin que maneja la Institucin. Debe prestar especial atencin en esto, ya que la Poltica y las Normas son enunciadas con un carcter exclusivamente imperativo, ya que son leyes a cumplir algunas veces por gran parte del personal y en su mayora por todos. El siguiente ejemplo lo ilustra: En nuestro pas, por tal motivo se utilizan frases del tipo: Se deben implementar medidas de restriccin de acceso al Centros De Cmputos obligatoriedad de la Norma. Se debe tener presente al momento de escribir el Manual de Seguridad de una Institucin, que estas leyes deben ser interpretadas y cumplidas por los usuarios, por lo que deben ser de fcil comprensin, simples y sintticas, sin ambigedades ni contradicciones. A continuacin se pasa a describir en detalle cada componente del Manual de Seguridad de la Informacin: para enfatizar la

6.6.4.4.3.2.1 Poltica de Seguridad 6.6.4.4.3.2.1.1 Definicin

84

La Poltica de Seguridad es un documento que establece las pautas, segn el enfoque de la Institucin, y su negocio, en cuanto a la gestin de la seguridad. La poltica de Seguridad contiene los principios de seguridad sobre los cuales deben basarse las normas, procedimientos y estndares detallados. Debe ser conocida y acatada por todos y cada uno de los miembros de la Institucin, y debe ser concebida bajo el total consentimiento y apoyo de la direccin.

Entre estos principios se encuentran: Eficacia: Garantizar que toda informacin que sea utilizada es necesaria y entregada de forma oportuna, correcta, consistente y til para el desarrollo de las actividades; Eficiencia: Asegurar que el tratamiento de la informacin se realice mediante una ptima utilizacin de los recursos humanos y materiales; Confiabilidad: Garantizar que los sistemas informticos brinden informacin correcta para ser utilizada en la operatoria de cada uno de los procesos; Integridad: Asegurar que sea procesada toda la informacin necesaria y suficiente para la marcha de las actividades en cada uno de los sistemas informticos y procesos transaccionales; Exactitud: Asegurar que toda la informacin se encuentre libre de errores y/o irregularidades de cualquier tipo; Disponibilidad: Garantizar que la informacin y la capacidad de su tratamiento manual y automtico, sean resguardados y recuperados eventualmente cuando sea necesario, de manera tal que no se interrumpa significativamente la marcha de las actividades;
85

 Legalidad: Asegurar que toda la informacin y los medios fsicos que la contienen, procesen cumplan con las regulaciones legales vigentes en cada mbito; Confidencialidad: Garantizar que toda la informacin est protegida del uso no autorizado, revelaciones accidentales, espionaje industrial, violacin de la privacidad y otras acciones similares de accesos de terceros no permitidos; Autorizacin: Garantizar que todos los accesos a datos y/o transacciones que los utilicen, cumplan con los niveles de autorizacin correspondientes para su utilizacin y divulgacin; Proteccin Fsica: Garantizar que todos los medios de procesamiento y/o conservacin de informacin cuenten con medidas de proteccin fsica que eviten el acceso y/o utilizacin indebida por personal no autorizado; No Repudio: Garantizar los medios necesarios para que el receptor de una comunicacin pueda corroborar fehacientemente la autenticidad del emisor.

6.6.4.4.3.2.1.2 mbitos de aplicacin y personal afectado

La Poltica de seguridad, junto con sus extensiones, como los Manuales de Procedimiento y Estndares de Seguridad, formaliza las medidas a implementar en los distintos mbitos determinados en el Alcance de la documentacin respectiva, y que afecta a: Personal efectivo del rea de sistemas; Personal efectivo de otras reas; Externos (soporte de hardware, contratistas, etc); Pasantes;

86

6.6.4.4.3.2.2 Normas y Procedimientos 6.6.4.4.3.2.2.1 Definicin

Una Norma es toda definicin concreta sobre cada uno de los temas de seguridad que luego sern adaptados a cada servicio informtico en forma especfica. Un Procedimiento es toda especificacin de las pautas a seguir para el desarrollo de una tarea en particular. Incluye el desarrollo de instrucciones operativas y procedimientos apropiados de respuesta a incidencias y recuperacin de las prestaciones frente a una catstrofe.

Las Normas y Procedimientos debern contener: Definicin de la seguridad de la informacin, sus objetivos y alcance generales; Declaracin del propsito de los responsables del nivel gerencial, apoyando los objetivos y principios de la seguridad de la informacin; Explicacin de las Polticas, principios, Normas y requisitos de cumplimiento en materia de seguridad, que son especialmente importantes para la Institucin; Definicin de los responsables en materia de gestin de la seguridad de la informacin: o por nivel jerrquico; o por rea o sector del negocio; Definicin de los responsables sobre los activos afectados: o Hardware; o CPUs; o Software; o Servicios; o Datos; o Backups;

87

Definicin del procedimiento a seguir ante la ocurrencia de incidencias relativos a la seguridad; Referencias a documentos que puedan respaldar la poltica, por ejemplo: Estndares de Seguridad ms detallados para sistemas de informacin especficos o normas de seguridad que deben cumplir los usuarios; Instructivos que definen la forma de proceder ante la sucesin de ciertos eventos, la administracin de las contraseas, el uso de los recursos especficos y el manejo de los datos;

Normativas internacionales.

6.6.4.4.3.2.2.2 Espectro de las Normas y los Procedimientos

En un entorno informtico se pueden generar Normas y Procedimientos en los distintos aspectos de la seguridad, haciendo foco en los niveles fsico, lgico y de la Institucin. Un Marco Normativo completo est compuesto por Polticas, Normas y sus respectivos Procedimientos, Instructivos y Estndares. En general, se puede elaborar la normativa abarcando los siguientes tpicos, siempre dependiendo del negocio y de la estructura de la Institucin objetivo:

A nivel fsico Comunicaciones; Correo electrnico; Uso de Internet; Uso de antivirus; Seguridad fsica; Seguridad del entorno, centros de cmputos, oficinas, escritorios, etc. Backup; Separacin fsica de ambientes de procesamiento: controles y documentacin; Destruccin de Informacin;
88

Destruccin de la informacin contenida en distintos soportes magnticos, borrado seguro y eliminacin de medios impresos. Utilizacin de equipos; Utilizacin de celulares; Recuperacin del Entorno ante Desastres; Administracin de la Seguridad de Acceso; Reinicio de sistemas;

Para procesos crticos, de tiempo real o que poseen un alto nivel de disponibilidad, los cuales deben ser reiniciados bajo condiciones especficas y siguiendo procedimientos especiales. Eliminacin segura de salidas de tareas fallidas;

Se establecen las pautas para terminar procesos o tareas de las que dependen otras, o de las que se esperaba un resultado.

A nivel lgico Clasificacin y manejo de la informacin; Modo de procesamiento de los datos; Acceso a datos; Administracin de usuarios; Administracin de contraseas; Procedimiento de solicitud de permisos de usuarios; Alta, baja y Modificacin de las Aplicaciones; Uso de Software; Normas para el manejo de salidas (outputs), como el uso de papelera especial o la administracin de salidas confidenciales; Continuidad del procesamiento - Recuperacin del Entorno ante Desastres; Administracin de registros de eventos de auditora (logs); Conexiones a la LAN;
89

Accesos Remotos; Concientizacin y Capacitacin; Normas para usuarios; Criptografa; Seguridad en Bases de Datos; Administracin de la Seguridad de las Aplicaciones; Administracin de la Seguridad de la Red; Intercambio de archivos a travs de la red; Acuerdo de Confidencialidad.

A nivel de la Institucin Responsabilidades de Seguridad; Licencias legales de Software; Auditoria de Sistemas; Administracin y respuesta ante Incidencias; Denominacin de responsables sobre los activos de la Institucin; Identificacin y registro de cambios en el sistema; Procedimiento de aprobacin formal de los cambios propuestos; Comunicaciones a usuarios; Procedimiento de Alta, Baja y Modificacin de usuarios.

6.6.4.4.3.2.2.3 Normas y Procedimientos de la Institucin Norma de Responsabilidades de Seguridad

En un entorno informtico donde se pretende implementar Normas y Procedimientos de a cuerdo a la Poltica de Seguridad vigente, es necesario definir el equipo de recursos humanos responsable de hacer cumplir esto, de efectuar controles y capacitar a los usuarios en cuanto al uso y aplicacin de esta normativa. Los roles dentro de esta Institucin debern ser los siguientes: Dueo de los Datos;
90

Oficial de seguridad; Administrador de seguridad, que puede estar dividido en: o Administrador de Seguridad de Base y de Aplicaciones; Operador Responsable; Auditor de Sistemas; Usuarios;

Norma de Administracin de Usuarios Una norma muy importante que jams debe faltar en ningn entorno informtico es la que regula la administracin de usuarios. Esta norma es un marco para la creacin de nuevos usuarios, para la administracin de perfiles y la asignacin y modificacin de permisos y la baja de usuarios para establecer un adecuado control de acceso y as garantizar la autorizacin y confidencialidad de los datos. Establece, entre otras cosas, la administracin de: Usuarios de gestin, aplicacin y de servicios; Proceso de autenticacin por identificacin de usuario y contrasea; Caractersticas de las contraseas: o Cantidad mnima de caracteres; o Cantidad mnima de caracteres distintos de la ltima contrasea; o Cantidad mxima de caracteres repetidos; o Cantidad mnima de caracteres alfabticos; o Cantidad mnima de caracteres numricos; o Cantidad mnima de caracteres especiales; o Vida mnima de la contrasea; o Vida mxima de la contrasea (expiracin); o Cantidad de contraseas que se deben utilizar antes de repetir una contrasea; o Cantidad de intentos fallidos de logueo antes de bloquearse la estacin de trabajo;
91

o Cantidad mxima de das de inactividad para el bloqueo del usuario; o Cantidad mxima de das de inactividad para la baja definitiva del usuario; Medidas de restriccin complementarias.

Procedimiento de Alta, Baja y Modificacin de Usuarios Requerimientos para dar de alta a una cuenta personal de usuario; Procedimientos para la modificacin de permisos de un usuario; Procedimientos para la eliminacin normal de un usuario o Eliminacin de la entrada correspondiente en el archivo de contraseas; o Restriccin de todos los permisos previamente otorgados en los sistemas operativos, en las bases de datos y en las aplicaciones; Procedimientos para la eliminacin conflictiva de un usuario.

Norma para Licencias legales de software Licencias a nombre de la institucin; Responsabilidades en la instalacin de software;

Norma de Comunicaciones/Correo electrnico y uso de Internet/ Antivirus Normas de buen uso; Utilizacin de herramientas exclusivamente para el desempeo de las funciones laborales; Restricciones; Responsabilidad del usuario sobre la informacin transmitida.

Norma de Backup Proteccin de los medios fsicos; Recuperacin de la informacin;

92

Procedimiento de Backups Especificacin de la rotacin de los medios fsicos e inventario (uso del documento de administracin de backup); Operatoria y periodicidad; Autorizacin para recuperacin.

Norma de Ambientes de procesamiento Separacin funcional entre ambientes; Evaluacin de los controles y la seguridad.

Norma de Seguridad fsica Caractersticas mnimas de la estructura fsica; Caractersticas ambientales; Proteccin de la informacin guardada en soportes y equipos; Proteccin de los escritorios;

Acceso restringido al centros de cmputos : o Verificacin de las condiciones fsicas de los centros de cmputos ; o Registro de los incidencias ocurridos;

Acceso a los centros de cmputos por visitas: o Acompaados siempre de personal autorizado; o Realizacin de sus tareas bajo supervisin; o Registro de los motivos de la visita;

Traslado de equipamiento fuera del centros de cmputos para mantenimiento: o Borrado de la informacin del equipamiento; o Solicitud de autorizacin a los Responsables de Datos involucrados ante la imposibilidad de borrar la informacin.
93

Procedimiento de destruccin de Informacin Utilizacin de mquinas trituradoras de papeles; Destruccin definitiva de medios magnticos desechados (CDs, etc); Borrado seguro de discos rgidos.

6.6.4.4.3.2.3 Estndares, Esquemas y Manuales de usuarios 6.6.4.4.3.2.3.1 Definicin

Los Estndares de Seguridad son documentos ms detallados para sistemas de informacin particulares o equipos, que deban llevar a cabo los usuarios para el desarrollo de tareas especficas, cuyo seguimiento depende de la plataforma. Definen la parametrizacin de una aplicacin, sistema operativo o equipo. Su uso otorga el beneficio de la homogenizacin del ambiente, y facilita la automatizacin de tareas de instalacin y configuracin. Los Esquemas tcnicos y Manuales de Usuario son documentos que especifican la forma de llevar a cabo una tarea, la forma de implantacin de controles y procesos segn la Poltica de Seguridad, Norma o Procedimiento en que se basan, a un nivel ms bajo de detalle.

6.6.4.4.3.2.4 Implantacin y uso de la Normativa de Seguridad

Para implantar el conjunto normativo de Seguridad Informtica se debe definir un plan de accin que contemple: Clasificacin de la informacin; Definicin de los dueos de la informacin; Definicin de los Responsables de Datos, Seguridad y Administradores; Publicacin de la Poltica, Normas, Procedimientos, Estndares, Esquemas y Manuales de usuario; Capacitacin de los usuarios finales e informticos en el tema;
94

Adaptacin de sistemas operativos, servicios y aplicaciones; Acondicionamiento fsico del Centro de cmputos y sitios donde se encuentren los equipamientos; Revisin del plan de copias de respaldo, medios fsicos y lugar en los que se conservan los mismos; Creacin y/o adaptacin de los distintos ambientes de procesamiento.

6.6.4.4.3.2.5 Convenio de Confidencialidad

Para las Instituciones que manejen informacin particularmente sensible para su negocio, se sugiere elaborar un documento que especifique las responsabilidades de los usuarios respecto del manejo y la publicacin de la informacin de la Institucin. Este documento deber detallar qu informacin es secreta y confidencial, el trato que se le debe dar, los requerimientos de control de acceso y las medidas a tomar si no se cumpliera con ellas. Los usuarios involucrados debern firmar este convenio cuando ingresan a la institucin, tanto los miembros de la nmina como los externos.

6.6.4.4.4 Publicacin de la Normativa de Seguridad

Se debe dar a conocer el Manual de Seguridad de la Institucin. En esta etapa se deben firmar los convenios de confidencialidad existentes y la confirmacin de lectura y conocimiento de las Normas por parte de los usuarios, si as se haya dispuesto. Es recomendable que esta etapa dispare el comienzo de la fase de concientizacin y capacitacin de usuarios como se sugiere en esta metodologa.

6.6.4.4.4.1 Implantacin de una campaa de concientizacin

95

Para lograr el conocimiento del Manual de seguridad y su correcta interpretacin se debe realizar una campaa de concientizacin para que los usuarios adquieran los conceptos de Seguridad que se defienden a travs de la normativa, y comprendan la importancia de su implantacin. La proteccin de la informacin debe convertirse en un factor cultural dentro de la Institucin. Los usuarios deben incorporar los conceptos a su desenvolvimiento diario para realizar su trabajo cumpliendo con prcticas seguras de manera casi implcita.

Para ello la campaa de concientizacin debe remachar en conceptos como la confidencialidad, la legalidad, la autorizacin, la informacin de incidencias, etc. Para lanzar una campaa de concientizacin se puede recurrir a herramientas de marketing, como publicacin de afiches, elementos de escritorio y librera, mensajera masiva, publicacin de noticias, foros de discusin, cursos, charlas informales y que promuevan conceptos e incentiven a la incorporacin de prcticas que lleven a la implantacin de la seguridad.

6.6.4.4.4.2 Capacitacin de los usuarios

Se debe realizar una adecuada capacitacin de los usuarios que garantice que poseen los conocimientos mnimos para el manejo de la informacin y la implantacin de las medidas impuestas en las Normas de Seguridad vigentes. Es responsabilidad de la Institucin y no de los usuarios en particular la capacitacin tcnica y administrativa correspondiente.

El Manual de Seguridad de la Institucin, compuesto de la Poltica de Seguridad, las Normas y Procedimientos, Estndares tcnicos e Instructivos deben ser conocidos por todos los miembros de la Institucin estn involucrados directamente con alguna de las responsabilidades de Seguridad. En los casos en que sea preciso una capacitacin formal, como en los aspectos tcnicos, se debe garantizar la adquisicin de los conocimientos necesarios para poder
96

implementar las Normas correspondientes, proveyendo a los usuarios de los medios educativos adecuados manuales, bibliografa.

6.6.4.4.5 Implantacin del Plan de Aseguramiento

En esta etapa se implantarn todas las medidas planificadas especialmente para el entorno informtico, y especficamente en cada nivel estudiado: fsico, lgico y organizacional. Cada tarea desarrollada en esta etapa implica un perodo de pruebas o revisin de los controles efectuados. As, por ejemplo luego de efectuar una restriccin de permisos de usuarios se debe realizar una revisin sobre los accesos para verificar su correcta asignacin, y una prueba de acceso a los recursos para detectar excesos de autorizacin o restricciones que no permitan desarrollar el trabajo normal del usuario afectado. Dado que un proyecto de esta clase puede tener una magnitud considerable en un entorno informtico, se sugiere realizar las revisiones y pruebas necesarias luego de finalizada cada subetapa, correspondiente a los niveles antes mencionados.

6.6.4.4.5.1 Implantacin a nivel fsico

En la tercera etapa se estudiaron las soluciones posibles para los problemas de seguridad de los activos de nivel fsico, lgico y de la organizacin. La metodologa aqu propuesta invita a llevar a la prctica los controles seleccionados para obtener el nivel de seguridad deseado en el aspecto fsico. En esta parte se implanta la solucin correspondiente sobre los activos fsicos:

Proteccin de las Instalaciones

Se hacen efectivas las medidas planificadas sobre las instalaciones fsicas del entorno.

97

Proteccin de los equipos

Se implantan los procedimientos de proteccin sobre los equipos informticos.

Revisiones y pruebas

Luego de realizar los cambios o controles, se realizan las revisiones y pruebas pertinentes sobre equipos de procesamiento, equipos de comunicacin, dispositivos electrnicos, unidades de Dvd, Cd, etc.

6.6.4.4.5.2 Implantacin a nivel lgico

Aqu se implantan los controles sobre los activos lgicos de la Institucin:

Proteccin de la informacin

En esta parte se procede a proteger la informacin del entorno como activo fundamental de la institucin.

Proteccin del sistema operativo

Se implantan medidas de proteccin en el software de base del sistema.

Proteccin de los datos

Se establecen las medidas preventivas al menor nivel de granularidad de los activos lgicos: los datos.

Revisiones y pruebas

98

Una vez realizados los cambios o controles, se realizan las revisiones y pruebas sobre las aplicaciones, el software de base como sistemas operativos y bases de datos y los datos.

6.6.4.4.5.3 Implantacin a nivel de la Organizacin

Aqu se implantan los controles en la estructura de la Institucin, en las tareas y procesos, en los roles y responsabilidades asignadas.

Proteccin de la Institucin

Se realiza la implantacin de medidas correctivas y preventivas sobre la estructura de la Institucin, sobre los roles y responsabilidades de los individuos involucrados con el entorno informtico, el comportamiento de los empleados en la oficina, etc. Revisiones y pruebas

Siempre luego de realizar los cambios o controles, se realizan las revisiones y pruebas para asegurar un control interno adecuado, y que no surgieron incoherencias generadas por las medidas aplicadas.

6.6.4.4.6 Elaboracin del Plan de Recuperacin del Entorno ante Desastres

El Plan de Recuperacin del Entorno ante Desastres tiene como objetivo detectar los riesgos presentes en el entorno informtico, analizar su probabilidad de ocurrencia, establecer su criticidad segn cmo afectan la continuidad de la institucin, y finalmente proponer un plan que logre mitigar en cierta medida estos riesgos, y que permita la recuperacin de la disponibilidad de los recursos lgicos, fsicos y humanos para mantener la continuidad del proceso de la institucin.

99

Muchas veces desastres naturales o accidentes, como incendios, inundaciones, hasta cortes en el suministro de energa elctrica provocan prdidas enormes a nivel de bienes. En esta tesis se utilizarn indistintamente los trminos emergencia, contingencia y desastre. Por lo tanto, el hecho de utilizar la palabra contingencia no indica menor gravedad que las situaciones en las que se referencia al hecho acontecido como un desastre.

El plan de recuperacin del entorno ante desastres contiene las siguientes partes: Establecimiento del escenario considerado; Determinacin de los tipos de operacin en una contingencia; Establecimiento de criticidades: Criticidades por equipo; Criticidades por servicios; Criticidades por aplicaciones;

Determinacin de las prestaciones mnimas; Anlisis de riesgos: Probabilidad de ocurrencia de desastres; Determinacin de los niveles de desastre;

Presentacin de las distintas estrategias posibles de recuperacin; Seleccin de la estrategia de recuperacin; Elaboracin de la estrategia de recuperacin: Mitigacin de riesgos Medidas preventivas; Descripcin de la estrategia; Requerimientos para llevar a cabo el Plan; Esquemas tcnicos con pasos a seguir;

Formacin del Equipo de Recuperacin del Entorno ante Desastres: Roles y responsabilidades; Asignacin de roles;

Establecimiento de los procedimientos: Declaracin de la emergencia;

100

Recuperacin de las prestaciones; Restablecimiento de las condiciones normales.

6.6.4.4.6.1 Determinacin del escenario considerado

Se deber hacer un relevamiento de: Las condiciones fsicas del entorno; Los servicios y aplicaciones existentes; Los equipos presentes; El servidor; Los elementos de backup; Los elementos de almacenamiento de datos; Los elementos de comunicaciones.

6.6.4.4.6.2 Establecimiento de criticidades En funcin del impacto producido por la suspensin de las prestaciones del entorno informtico, se determina la criticidad y el tiempo mximo de tolerancia de corte de las mismas. A continuacin se presenta el anlisis realizado desde la perspectiva de los equipos y desde el punto de vista de servicios y aplicaciones. Los documentos que registran las criticidades los organizamos en tablas llamadas: Tabla de Criticidades por Equipo, Tabla de Criticidades por Servicios y Tabla de Criticidades por Aplicaciones.

6.6.4.4.6.2.1 Tabla de Criticidades por Equipo.

101

Tabla 6.6.4.4.6.2.1 Tabla de Criticidades por Equipo

Tabla 6.6.4.4.6.3.4 Criticidades por Servicios.

Tabla 6.6.4.4.6.3.5 Criticidades por Aplicaciones.

6.6.4.4.6.4 Determinacin de las prestaciones mnimas

Ante una situacin de desastre se debe tener en claro cul debe ser la prestacin mnima que debe recuperarse de manera prioritaria, para preservar la continuidad del negocio.

102

Asimismo se debe estimar el tiempo mximo para recuperar esta prestacin.

6.6.4.4.6.5 Anlisis de riesgos

En esta etapa se analizan los riesgos presentes en el entorno informtico como se ha explicado en la etapa 2 de esta metodologa, para determinar qu riesgos se pueden mitigar, cules se pueden transferir y cules se deben asumir.

6.6.4.4.6.5.1 Probabilidad de ocurrencia de desastres

Los riesgos considerados para el plan de recuperacin ante desastres, son aquellos que presentan una probabilidad de ocurrencia no despreciable en funcin de las caractersticas del entorno: Caractersticas generales del edificio; Condiciones ambientales; Equipamiento alojado; Condiciones de acceso; Condiciones de las oficinas contiguas.

6.6.4.4.6.5.2 Determinacin de los niveles de desastre

En funcin del impacto producido por una contingencia, se definen 3 grandes tipos de desastres:

Total o Mayor: En el caso en que: o El lugar fsico no pueda disponerse por un perodo mximo tolerado para la interrupcin de las prestaciones mnimas. o El tiempo que demoran las tareas de restablecimiento de todas o algunas de las prestaciones sea mayor al perodo mximo aceptable.

103

Parcial: En el caso en que: o Los equipos han sufrido daos menores que permiten su

funcionamiento parcial o sus prestaciones pueden ser realizadas por otros equipos, y es necesaria la accin de alguien externo proveedores, mantenimiento, etc.

Menor: En el caso en que: o Los desperfectos se solucionan mediante la reinstalacin y/o reconfiguracin de los equipos, y por lo tanto no es necesaria la accin de alguien externo para superar la situacin de emergencia.

6.6.4.4.6.6 Presentacin de las distintas estrategias posibles de recuperacin

En esta etapa se analizar las distintas alternativas que aporten solucin al problema, teniendo en cuenta todo el anlisis anterior.

6.6.4.4.6.7 Seleccin de la estrategia de recuperacin

Se presenta las distintas alternativas al cliente quin decide por cul opta. La estrategia de recuperacin deber ofrecer medidas preventivas y de mitigacin de los riesgos existentes, adems de la estrategia de recuperacin de las prestaciones.

4.6.8 Elaboracin de la estrategia de recuperacin

La estrategia de recuperacin deber ofrecer medidas preventivas y de mitigacin de los riesgos existentes, adems de la estrategia de recuperacin de las prestaciones. 6.6.4.4.6.8.1 Mitigacin de riesgos Medidas preventivas

104

La estrategia de recuperacin supone la realizacin de acciones de mitigacin de los riesgos considerados en el anlisis correspondiente, las cuales deben considerar las actuales condiciones de redundancia y tolerancia a fallas existentes, as: Realizar pruebas peridicas de recuperacin de las cintas de backup; Almacenamiento de cintas de backups adicionales en locaciones externas al edificio del entorno analizado; Generacin peridica de backups en medios de recuperacin universal.

6.6.4.4.6.8.2 Descripcin de la estrategia

Cada estrategia depender pura y exclusivamente del entorno informtico en estudio, y del Alcance del Plan. Muchas Institucin suelen implementar el plan de recuperacin del entorno ante desastres en varias etapas, comenzando por ejemplo por el servidor de datos, continuando por las aplicaciones, luego las comunicaciones y el Centro de Cmputos o Centro de Procesamiento de Datos, o Data Center. Otras, en cambio, deciden hacer un solo plan completo en una fase, que abarque todos sus bienes y activos fsicos y lgicos.

El plan de recuperacin del entorno ante desastres suele ser requerido por auditoras, por lo que a veces el cliente se ve presionado por las fechas y se decide dejar ciertos elementos fuera del Alcance. Creacin de un Equipo de Recuperacin del Entorno ante Desastres con responsabilidades y conocimientos especficos que actuar ante las situaciones de contingencia; Recuperacin de las prestaciones de los elementos afectados por una contingencia utilizando la redundancia existente; Exigencia del cumplimiento de los tiempos de respuesta especificados en los contratos de soporte con proveedores de hardware.

6.6.4.4.6.8.3 Requerimientos para llevar a cabo el Plan

105

Los requerimientos conforman una gua de las principales caractersticas y condiciones que deben cumplir los elementos, a fin de ser utilizados en procedimientos de mantenimiento y auditora.

Los documentos desarrollados establecen las condiciones de: Caractersticas fsicas del Centro de Cmputos alternativo, si la estrategia requiriera la instalacin de un centros de cmputos recuperacin; Caractersticas fsicas de los equipos de recuperacin, si la estrategia implicara la compra de equipos de contingencia; Miembros del Equipo de Recuperacin ante Desastres; alternativo para la

6.6.4.4.6.8.4 Esquemas tcnicos

Los esquemas definen pasos generales a seguir de manera operativa para la ejecucin de una determinada tarea.

La ejecucin de dichos pasos supone el conocimiento tcnico de la tarea que se est realizando y tiene por objetivo brindar un marco integral de rpida referencia.

Algunos de los esquemas a desarrollar son: Recuperacin de equipos; Restablecimiento de servidor; Restablecimiento de bases de datos; Restablecimiento de Aplicativos; Ejemplos de notificacin de la emergencia.

6.6.4.4.6.8.5 Formacin del Equipo de Recuperacin del Entorno Informtico ante Desastres
106

La formacin del equipo de recuperacin del entorno informtico ante desastres tiene como fin determinar y asignar distintas responsabilidades para lograr una exitosa recuperacin del entorno ante una emergencia, segn el Plan de recuperacin del entorno informtico ante Desastres ya establecido.

Para ello se establecen ciertas pautas que las personas que lo componen deben cumplir: La recuperacin del entorno informtico ante desastres tiene las siguientes responsabilidades: Restablecer las condiciones normales que se presentaban antes del desastre;

6.6.4.4.6.8.5.1 Roles y responsabilidades

Definir las medidas preventivas necesarias y factibles de aplicar, a fin de disminuir la probabilidad de ocurrencia de desastres; Definir, probar, ajustar y mantener actualizado el Plan de Recuperacin del Entorno ante Desastres;

Ante un desastre que afecte al Centro de Cmputos debe: Recuperar las prestaciones en el menor tiempo posible y dentro de los plazos mximos establecidos; Analizar las causas del desastre y la forma en que se ha procedido a fin de emitir un informe y modificar las medidas preventivas y plan de recuperacin en funcin de las conclusiones.

A su vez, la formacin del equipo de recuperacin del entorno informtico ante desastres est compuesta por sub-tareas con distintas obligaciones. Estas tareas son: Tareas de direccin estratgica y coordinacin
107

Tareas de recuperacin de hardware Tareas de recuperacin de software

Grficamente la tarea de recuperacin del entorno informtico ante desastres se esquematiza de la siguiente forma:

Grfico 6.6.4.4.6.8.5 Formacin del Equipo de Recuperacin del Entorno Informtico ante Desastres

Las tareas de direccin estratgica y coordinacin

Las responsabilidades son: Dirigir y coordinar las actividades del resto de las tareas que conforman la Recuperacin del Entorno Informtico ante Desastre Realizar las declaraciones de los distintos estados: emergencia, contingencia y restablecimiento de las condiciones normales; Determinar el nivel de desastre producido por una contingencia: mayor, parcial, menor; Elaborar los planes de recuperacin de las prestaciones y restablecimiento de las condiciones normales; Controlar la ejecucin de los planes, detectar desvos y realizar los ajustes de los planes en funcin de los inconvenientes, problemas y errores hallados durante la aplicacin de los mismos;
108

Interactuar con personal de mantenimiento para la resolucin de contingencias fsicas del Centro de Cmputos.

Equipo de recuperacin de hardware Las responsabilidades son:

Identificar los elementos de hardware que hayan sido daados por una contingencia; Coordinar con los proveedores de hardware el cumplimiento de los contratos de mantenimiento, garantas y niveles de soporte; Participar en las instalaciones de sistemas operativos que realicen los proveedores;

Verificar el correcto funcionamiento de los elementos de hardware que hayan sido restaurados o reemplazados por los proveedores.

Equipo de recuperacin de software

Las responsabilidades son: Identificar los servicios, procesos, bases de datos y aplicaciones que hayan sido afectados por una contingencia; Instalar, configurar y ajustar todo el software que haya sido afectado por una contingencia.

6.6.4.4.6.8.6 Establecimiento de los procedimientos

Ms all del alcance del Plan De Recuperacin Del Entorno

Informtico Ante

Desastres, se deben especificar procedimientos claros que ayuden a alcanzar el restablecimiento de las condiciones normales del entorno informtico. Los principales procedimientos a definir son:

6.6.4.4.6.8.6.1 Declaracin de la emergencia

109

Abarca desde la deteccin del desastre hasta que el mismo es comunicado a los afectados; Durante el mismo no se procede a recuperar nada, simplemente se evala los daos causados; Se encuentra conformado por los siguientes sub-procedimientos: o Respuesta inicial ante la deteccin de un siniestro o contingencia; o Evaluacin del nivel de desastre; o Notificacin de la emergencia.

6.6.4.4.6.8.6.2 Recuperacin de las prestaciones

Consta bsicamente del diseo y ejecucin del plan de recuperacin de las prestaciones, conforme a lo acontecido; Se encuentra conformado por los siguientes sub-procedimientos: o Definicin del plan de recuperacin de las prestaciones; o Ejecucin del plan; o Ajustes al plan.

Consiste en el diseo y ejecucin del plan de restablecimiento de las condiciones normales de operacin, finalizando con el anlisis de la situacin ocurrida a fin de ajustar el plan de recuperacin del entorno informtico ante desastres en funcin de los errores, demoras e inconvenientes acontecidos, as como tambin la posible toma de nuevas medidas preventivas;

6.6.4.4.6.8.6.3 Restablecimiento de las condiciones normales

Se encuentra conformado por los siguientes sub-procedimientos: o Definicin del plan de restablecimiento de las condiciones normales; o Ejecucin del plan; o Evaluacin y anlisis de la contingencia.
110

6.6.4.5 ESTABILIZACIN

En esta etapa se realiza un estudio para verificar la obtencin de los resultados esperados de la implantacin anterior, y la realizacin de los ajustes necesarios para estabilizar el entorno informtico; ya que metodologa, al abarcar todos los niveles fsicos, lgico y organizacional hace que todos los mbitos de la institucin se vean afectados por el proyecto en mayor o menor medida.

Es por eso que en esta etapa uno de los objetivos es verificar la evolucin del entorno informtico a partir de los cambios propuestos, y realizar los ajustes necesarios para corregir errores, adecuar los controles y minimizar las diferencias entre el Plan y la Implantacin de la solucin.

6.6.4.5.1 Anlisis de resultados.

Dentro del proyecto de Aseguramiento del entorno informtico, se debe considerar un tiempo para realizar el balance respecto de la efectividad y adecuacin de los cambios implantados en el entorno informtico y evaluar la necesidad de realizar ajustes. Estos cambios deben ser considerados dentro del Plan de Aseguramiento, en los distintos modelos propuestos para cada etapa.

En particular los modelos que debern revisarse al menos una vez por ao para su adaptacin a los cambios son: Informe de Riesgos; Mapa de Usuarios; Mapa de Red; Plan de recuperacin del entorno informtico ante desastres.

6.6.4.5.2 Ajuste
111

Se realizar ajustes sobre el Plan de Aseguramiento segn los resultados obtenidos y analizados en la etapa anterior de esta misma etapa y los inconvenientes o nuevos requerimientos que pudieran surgir en la etapa de implantacin. Se debe considerar siempre en esta disciplina que los avances tecnolgicos son muy rpidos, y se deben considerar las nuevas soluciones ofrecidas en el mercado, que pueden traducirse, muchas veces, en cambios funcionales y en las tcnicas de seguridad de implantacin.

Los puntos de control que necesiten cambios, mejoras o los que surjan durante el proyecto se tomarn en cuenta para completar y adaptar el Plan de aseguramiento para una segunda implementacin, delimitando nuevamente su Alcance, que podr reducirse a aplicar solamente los cambios surgidos en esta etapa para lograr un completo aseguramiento del entorno informtico.

6.6.4.5.3 Cierre de la implantacin.

El cierre de la implantacin se debe realizar cuando se concluyeron los ltimos controles que constituyen el Plan de Aseguramiento y concluidas las etapas de concientizacin y capacitacin de usuarios. Es recomendable realizar un balance del trabajo y presentar los resultados al sector responsables de la institucin.

6.6.4.5.4 Capacitacin de usuarios.

Se deber capacitar a los usuarios para la correcta interpretacin y su adaptacin a los cambios implementados en el entorno informtico y por sobre todo para que comprenda la importancia de los cambios realizados. Se debe convencer al usuario de la importancia de su colaboracin en el esfuerzo de mantener el entorno informtico seguro.
112

As mismo, se le debe informar de las nuevas reglas y/o polticas de la organizacin, la forma de trabajar para que su labor no interfiera ni perjudique el esfuerzo implicado en el proyecto de aseguramiento, los procedimientos a usar para revertir situaciones o manejar catstrofes, etc. Se deber dejar constancia de que el usuario fue informado respecto de las Polticas de Seguridad, y su completa comprensin, y su conformidad respecto de su cumplimiento.

6.6.4.5.4.1 Tcnicas para la capacitacin de usuarios:

Presentaciones grupales; Manuales y folletos; Un usuario experimentado capacita a un usuario inexperto; Comunicados.

Se recomienda generar confianza de los usuarios en la persona encargada de la capacitacin. Los usuarios deben estar consientes de este peligro y deben conocer su alcance e implicancias. Se les debe dar recomendaciones para el uso cotidiano de sus herramientas de trabajo y la proteccin de los activos de la organizacin.

6.6.4.5.4.1.1 Temario

A continuacin se presenta un temario bsico de capacitacin general que deber ser analizarlo para aplicar en detalle los temas que correspondan segn las Polticas aplicadas en la empresa objetivo:

1. Qu es la informacin?

113

Explicar qu se entiende por informacin, sus diferentes formas, cmo se genera, dnde y cmo se puede guardar, y su valor para la Institucin. Esto ltimo se relaciona directamente con el nivel de confidencialidad de informacin que se maneje en el negocio dependiendo de sus caractersticas.

2. Qu es la Seguridad.

Presentar el concepto de Seguridad, sus implicancias y sus consecuencias.

3. Intrusos y amenazas.

Definir los intrusos externos e internos, sus amenazas y formas de presentacin.

4. Plan de Aseguramiento del Entorno Informtico Explicacin del proyecto de seguridad implementado, composicin del Plan de Aseguramiento, su Alcance, implicancias, resultados esperados,

responsabilidades de los usuarios desprendidas de la aplicacin del Plan.

5. Medidas adicionales de proteccin.

Los virus informticos son, dentro de la seguridad informtica, la fuente de mayores prdidas econmicas en el mundo entero. Instalar un buen software antivirus no es suficiente, ya que la variedad y cantidad de puertas de entrada de virus, troyanos, etc., puede sorprender en cualquier momento a la mejor herramienta, sin contar con otros inconvenientes como falsas alarmas, etc.

6. Diseo del Manual de Seguridad

114

La seguridad no depende solamente de la tecnologa. Las Instituciones establecen las bases fundamentales para custodiar su informacin a travs del desarrollo de Polticas, Normas y Procedimientos que una vez definidos. Los usuarios deben conocer la diferencia entre los distintos elementos del Manual de Seguridad como la Poltica General, las Normas y procedimientos y dems documentos tcnicos, su responsabilidad y las posibles consecuencias sobre el incumplimiento de las mismas. Plan de Recuperacin del Entorno Informtico ante Desastres.

7. Soluciones Tecnolgicas

o Firewalls; o Antivirus; o Sistemas de Deteccin de Intrusos; o Sistemas de Backup; o Plan de Recuperacin del Entorno informtico ante Desastres.

8. Formacin en Seguridad

Evaluar la posibilidad de capacitacin en temas especficos de seguridad, tanto tcnicos como funcionales para los distintos roles y niveles jerrquicos de la institucin.

9. Responsabilidades:

Administradores de Seguridad y nuevas responsabilidades. El rol de cada usuario.

115

116

ANEXOS

ANEXO 1 Estructura de la encuesta MODELO DE ENCUESTA UNIVERSIDAD TCNICA DE AMBATO FACULTAD DE INGENIERA EN SISTEMAS LUGAR DE LA ENCUESTA OBJETIVOS DE LA ENCUESTA Seores, su veracidad en las respuestas permitir al grupo investigador desarrollar un trabajo real y efectivo. Agradecemos su colaboracin y garantizamos absoluta reversa de su informacin CUESTIONARIO NIVEL FSICO

117

1. Existe un control del acceso fsico? Si ( ) No ( ) 2. Hay otros sectores informticos en la Institucin en el mismo piso? Si ( ) No ( ) 3. Existe algn control que impida el acceso fsico a los recursos a personal no autorizado como puertas de seguridad, alarmas, controles mediante tarjetas? Si ( ) No ( ) 4. La instalacin elctrica del equipo de cmputo es independiente de otras Instalaciones? Si ( ) No ( ) 5. El servidor tiene instalados sistemas de alimentacin ininterrumpida? Si ( ) No ( ) 6. Existen controles para el acceso para los recursos? Si ( ) No ( ) 7. Guarda la documentacin impresa o magntica bajo llave propia? Si ( ) No ( ) 8. Maneja alguna rotulacin o numeracin para los cds, dvd, etc.? Si ( ) No ( ) 9. Posee conexin fsica a una LAN la Institucin? Si ( ) No ( ) 10. Tiene acceso a Internet la Institucin? Si ( ) No ( ) 11. Hay cables al descubierto la Institucin? Si ( ) No ( ) 12. La estacin de trabajo es usada por otro usuario regularmente? Si ( ) No ( ) 13. El lugar donde se ubican las computadoras est seguro de inundaciones, robo o cualquier otra situacin que pueda poner en peligro los equipos?
118

Si ( ) No ( ) NIVEL LGICO 14. La Institucin posee conexin permanente a Internet? Si ( ) No ( ) 15. Se ha adoptado medidas de ndole tcnica u organizativa para proteger los datos? Si ( ) No ( ) 16. Tiene acceso solamente a los recursos que necesita para trabajar? Si ( ) No ( ) 17. Lo ven desde la LAN solo los que lo necesitan ver? Si ( ) No ( ) 18. Tiene documentacin de las aplicaciones que utiliza? Si ( ) No ( ) 19. Es usuario experto de un Sistema Operativo? Si ( ) No ( ) 20. Usa las mismas contraseas para ms de un sistema? Si ( ) No ( ) 21. Cambia las contraseas con regularidad? Si ( ) No ( ) 22. Realiza copias de respaldo de su informacin personal sensible? Si ( ) No ( ) 23. Posee carpetas compartidas en esta PC? Si ( ) No ( ) 24. Usa un antivirus regularmente para revisar archivos peligrosos? Si ( ) No ( ) NIVEL ORGANIZACIONAL
119

25. Existe una persona encargada de administrar la seguridad? Si ( ) No ( ) 26. Existen Normas o Procedimiento de seguridad? Si ( ) No ( ) 27. Existe algun procedimiento para solicitar nuevos requerimientos para la institucin ? Si ( ) No ( ) 28. Cundo ocurre un incidente, informa a alguien? Si ( ) No ( ) 29. Ha firmado un acuerdo de confidencialidad? Si ( ) No ( ) GRACIAS POR SU COLABORACIN Fecha de aplicacin-

120

ANEXO 2 Croquis del problema (mapa para llegar a la Centro de Educacin Bsico)

Darwin y Junn s/n Tras el Ex Registro Civil

121

ANEXO 3 RESUMEN DE ETAPAS Y TAREAS DE LA METODOLOGA

1 DEFINICIN DEL ALCANCE 1.1 Anlisis de Requerimientos de Usuario 1.2 Elaboracin del Alcance 1.3 Elaboracin del Plan de Trabajo 2 RELEVAMIENTO 2.1 Elaboracin del Relevamiento General 2.2 Elaboracin del Relevamiento de Usuario 2.3 Anlisis de vulnerabilidades 2.3.5 Mapa de Vulnerabilidades 2.4 Anlisis de Riesgos 3 PLANIFICACIN 3.1 Elaboracin del Plan de Aseguramiento. 4 IMPLANTACIN 4.1 Elaboracin del Relevamiento de Activos 4.2 Clasificacin de la Informacin 4.3 Elaboracin/ adaptacin de la Normativa de Seguridad 4.4 Publicacin de la Normativa de Seguridad 4.5 Implantacin del Plan de Aseguramiento 4.6 Elaboracin del Plan de Recuperacin del Entorno ante Desastres (plan de recuperacin del entorno ante desastres) 5 ESTABILIZACIN 5.1 Anlisis de resultados 5.2 Ajuste 5.3 Cierre de la implantacin 5.4 Capacitacin de usuarios

122

Anexo 4

GLOSARIO DE TRMINOS. Los siguientes son trminos utilizados en este trabajo, obtenidos de

[IRAM/ISO/IEC17799], [Huerta2000] , [Stallings1999], [Technet]:

Anlisis de riesgos: Evaluacin de las amenazas, impactos y vulnerabilidades relativos a la informacin y a las instalaciones de procesamiento de la misma, y a la probabilidad de que ocurran.

Autenticacin: procedimiento de comprobacin de la identidad de un usuario.

Autorizacin: Garantizar que todos los accesos a datos y/o transacciones que los utilicen, cumplan con los niveles de autorizacin correspondientes para su utilizacin y divulgacin.

Backup: copia de los datos de un archivo automatizado en un soporte que posibilite su recuperacin.

Basurero: La informacin de los desperdicios dejados alrededor de un sistema puede ser aprovechada por intrusos provocar un hurto o dao.

Bombas lgicas: Programas que se activan al producirse un acontecimiento determinado. La condicin suele ser una fecha (Bombas de Tiempo), una combinacin de teclas, o un estilo tcnico Bombas Lgicas), etc. Si no se produce la condicin permanece oculto al usuario.

Confiabilidad: Garantizar que los sistemas informticos brinden informacin correcta para ser utilizada en la operatoria de cada uno de los procesos.
123

Confidencialidad: Garantizar que toda la informacin est protegida del uso no autorizado, revelaciones accidentales, espionaje industrial, violacin de la privacidad y otras acciones similares de accesos de terceros no permitidos.

Contrasea: informacin confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticacin de un usuario.

Control de acceso: mecanismo que en funcin de la identificacin ya autenticada permite acceder a datos o recursos.

Disponibilidad: Garantizar que la informacin y la capacidad de su tratamiento manual y automtico, sean resguardados y recuperados eventualmente cuando sea necesario, de manera tal que no se interrumpa significativamente la marcha de las actividades.

Eficacia: Garantizar que toda informacin que sea utilizada es necesaria y entregada de forma oportuna, correcta, consistente y til para el desarrollo de las actividades.

Eficiencia: Asegurar que el tratamiento de la informacin se realice mediante una ptima utilizacin de los recursos humanos y materiales.

Entorno: Se considera entorno un amplio espectro de ambientes, desde empresas multinacionales distribuidas fsicamente en el mundo hasta datos individuales, una empresa informatizada, puede definirse como el edificio que alberga a la empresa objetivo o como el Centro de Cmputos (CC) o Centro de Procesamiento de Datos (CPD) donde se encuentran los servidores, un sector informtico de un negocio, una red de telecomunicaciones, un equipo de cmputos, una aplicacin, archivos lgicos o cualquier elemento susceptible a ataques informticos.

124

Exactitud: Asegurar que toda la informacin se encuentre libre de errores y/o irregularidades de cualquier tipo.

Fallback: Metodologa de emergencia ante fallas que posibilitan la recuperacin de informacin perdida.

Firewall (cortafuegos): Dispositivo que se coloca entre una red local e Internet y cuyo objetivo es asegurar que todas las comunicaciones entre los usuarios de dicha red e Internet se realicen conforme a las normas de seguridad de la organizacin que lo instala.

Gusanos (Worms): Son programas independientes (no necesitan insertarse en otros archivos) que se expanden a travs de la red realizando distintas acciones como instalar virus, o atacar una PC como un intruso.

Herramientas de seguridad: Son utilitarios que sirven para identificar vulnerabilidades en un sistema. Pueden ser una amenaza si un intruso las utiliza en el sistema y detecta fallas en la seguridad de las que el administrador no est enterado.

Identificacin: procedimiento de reconocimiento de la identidad de un usuario.

ID: Nombre o identificacin de usuario.

Incidencia o incidente: cualquier anomala que afecte o pudiera afectar a la seguridad del entorno.

Ingeniera social: Consiste en la manipulacin de las personas para que voluntariamente realicen actos que normalmente no haran, como revelar su contrasea o cambiarla.

125

Integridad: Asegurar que sea procesada toda la informacin necesaria y suficiente para la marcha de las actividades en cada uno de los sistemas informaticos y procesos transaccionales.

Legalidad: Asegurar que toda la informacin y los medios fsicos que la contienen, procesen y/o transporten, cumplan con las regulaciones legales vigentes en cada mbito.

Login: Conexin. Entrada en una red.

Logs: Registros de situaciones en un sistema informtico, tales como actividades de usuarios, control de contraseas, etc. Es el resultado de puesta en marcha del logging.

Mainframe: Estructura principal. Computadora de gran tamao de tipo multiusuario, utilizada en empresas.

Masquerading: Un intruso puede usar la identidad de un usuario autorizado que no le pertenece simplemente apoderndose de un nombre de usuario y contrasea vlidos. No Repudio: Garantizar los medios necesarios para que el receptor de una comunicacin pueda corroborar fehacientemente la autenticidad del emisor.

Normativa de Seguridad: Conjunto de reglas, normas, procedimientos, estndares e instructivos que regulan los aspectos funcionales y tcnicos de la seguridad informtica en una organizacin.

Outputs: Salida. Se refiere al producto del proceso de datos, con relacin a su presentacin, bien puede ser impresa o por pantalla u otro medio idneo.

126

Password: (palabra de paso, contrasea) Conjunto de caracteres alfanumricos que permite a un usuario el acceso a un determinado recurso o la utilizacin de un servicio dado.

PC: Personal Computer. Computadora Personal.

Piggy backing: Ocurre cuando un usuario no autorizado accede a una zona restringida gracias al permiso otorgado a otra persona que s est autorizada.

Proteccin Fsica: Garantizar que todos los medios de procesamiento y/o conservacin de informacin cuenten con medidas de proteccin fsica que eviten el acceso y/o utilizacin indebida por personal no autorizado.

Propiedad: (derecho a propiedad) Asegurar que todos los derechos de propiedad sobre la informacin utilizada en el desarrollo de las tareas, estn adecuadamente establecidos a favor de sus propietarios.

Recurso: cualquier parte componente de un entorno informtico.

Router: Sistema constituido por hardware y software para la transmisin de datos en una red. El emisor y el receptor deben utilizar el mismo protocolo de comunicaciones.

Scanners: Software, a veces asociado a equipamiento que permite realizar la inspeccin de comunicaciones, usualmente mediante el barrido de frecuencias.

Seguridad de la informacin: La preservacin de la confidencialidad, integridad y disponibilidad de la informacin.

Sistemas de informacin: conjunto de archivos automatizados, programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos.
127

Soporte: objeto fsico susceptible de ser tratado en un entorno informtico y sobre el cual se pueden grabar o recuperar datos.

Timeouts: Son programas que se pueden utilizar durante un perodo de tiempo determinado;

Troyanos: Similar al famoso Caballo de Troya, estos programas maliciosos ocultan sus intenciones reales bajo la apariencia de un juego, una animacin, etc. Algunos troyanos permiten el acceso al equipo infectado, otros borran archivos, introducen un virus o comprometen la seguridad del sistema atacado de diferentes maneras.

UPS: Usage Parameter Control. Parmetros de control de uso.

Usuario: sujeto o proceso autorizado para acceder a datos o recursos.

Web: World Wide Web, o simplemente Web, es el universo de informacin accesible a travs de Internet, una fuente inagotable del conocimiento humano.

Worms: (Gusanos) Son programas que tratan de reproducirse a si mismo, no produciendo efectos destructivos sino el fin de dicho programa es el de colapsar el sistema o ancho de banda, replicndose a si mismo

128

ESTNDARES INTERNACIONALES. RESEA INTRODUCTORIA. ISO/IEC estndar 17799 Information Technology Code of Practice for Information Security Management El ISO/IEC estndar 17799 es un marco que brinda recomendaciones para la gestin de la seguridad de la informacin. Metodologa para el anlisis e implantacin de Tcnicas de seguridad en Entornos Informticos. La seccin Seguridad de los archivos del sistema trata el control del software operativo y la proteccin de los datos de prueba del sistema. Los relevamientos que forman parte de esta tesis se efectan segn lo dispuesto en la Ley Orgnica espaola 15/1999, de 13 de Diciembre, de Proteccin de datos de carcter personal, en adelante LOPD y Real Decreto 994/1999, de 11 de Junio, por el que se aprueba el Reglamento de Medidas de Seguridad (en adelante RMS) de los archivos automatizados que contengan datos de carcter personal.

Finalmente, este trabajo se referencia en la verificacin de la seguridad de los procesos de desarrollo y soporte, y de los procedimientos de control de cambios en donde el estndar afirma que se debe imponer el cumplimiento de los procedimientos formales de control de cambios. Estos deben garantizar que no se

129

comprometan los procedimientos de seguridad y control, que los programadores de soporte solo tengan acceso a aquellas partes del sistema necesarias para el desempeo de sus tareas, y que se obtenga un acuerdo y aprobacin formal para cualquier cambio. En el apartado Desarrollo y mantenimiento de sistemas del estndar se hace referencia a los controles considerados en la etapa de Anlisis de vulnerabilidades en las aplicaciones. Para validar la forma de realizacin de los cambios se han considerado los puntos referidos en la seccin Seguridad de los procesos de desarrollo y soporte. Para el registro y seguimiento de pistas de auditora se toma en cuenta la Monitorizacin del acceso y uso de los sistemas. Cobit Objetivos de Control para la Informacin y Tecnologas - 2000, emitido por el Comit directivo del Cobit y la Information Systems audit. and Control Fundation Metodologa para el Aseguramiento de Entornos Informatizados. MAEI Mara Victoria Bisogno. 225 Los objetivos de Administracin de proyectos fueron considerados para los controles a realizar a nivel de metodologa de desarrollo de proyectos. Cobit es un estndar que pretende conciliar el negocio con los recursos (personas, aplicaciones, datos, tecnologa, instalaciones) del ambiente de IT, haciendo nfasis en la organizacin y en la planificacin. Define 34 procesos de IT que considera como unidades controlables, sobre los que establece objetivos de control. stos se agrupan en cuatro dominios: Planificacin y organizacin Adquisicin e implantacin

130

 Entrega y soporte Monitorizacin Cobit define 318 objetivos detallados que involucran a todas las reas de la empresa. Estos objetivos permiten determinar la situacin actual, es decir, el nivel de madurez, segn el modelo de madurez o Capability Maturity Model (MMC), y permite fijar objetivos para subir el nivel mediante estos puntos de control. Para la elaboracin de esta metodologa se consideraron los siguientes puntos de control: Planificacin y organizacin: Objetivos de Determinacin de la direccin tecnolgica para la verificacin de temas tcnicos de la aplicacin como la estrategia de recuperacin ante desastres. Objetivos de Definicin de la organizacin y las relaciones de IT para el anlisis del control interno y separacin de funciones. Los de Administracin de calidad conforman la base para el estudio de la separacin de ambientes, el anlisis de los entornos y de las pruebas. Adquisicin e implantacin: Para el anlisis de las interfases con los usuarios, el anlisis de la documentacin, aprobacin del diseo y de cambios como parte del control de cambios analizado en la etapa 2.3, se han analizado los objetivos de control de Adquisicin y mantenimiento del software de aplicacin, los de Desarrollo y mantenimiento de procedimientos y Administracin de cambios. Metodologa para el Aseguramiento de Entornos Informatizados. MAEI - Mara Victoria Bisogno. 226

131

 Entrega y soporte: En el anlisis de la administracin de la seguridad informtica se estudiaron los objetivos de control de Garanta de la seguridad de los sistemas. Los objetivos de Administracin de problemas e incidenciasse consideran en la etapa de manejo de incidencias. El anlisis de manejo de datos es efectuado siguiendo los procedimientos presentados en Administracin de datos. El anlisis de las operaciones se basa en los objetivos de control de Administracin de operaciones. Monitoreo: Los objetivos agrupados en Evaluacin de la idoneidad del control interno se consideran a la hora de evaluar la coherencia, efectividad y adecuacin del control interno. MAGERIT Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin de las Administraciones Pblicas MAGERIT, es una metodologa formal destinada a investigar los riesgos que soportan los Sistemas de Informacin, y recomendar las medidas apropiadas que deberan adoptarse para controlar estos riesgos. Las recomendaciones de MAGERIT permiten conocer, prevenir, impedir, reducir o controlar los riesgos investigados, mediante la gestin de riesgos. En particular, se han considerado las presentes en la Gua Para Responsables Del Dominio Protegible, entre las que se encuentran: Conocimiento de las Amenazas, Estimacin de las Vulnerabilidades, Identificacin de Impactos, Estimacin de Impactos, Riesgos
132

Segn MAGERIT, el anlisis de riegos identifica seis elementos: Activos Amenazas Vulnerabilidades Impactos Metodologa para el Aseguramiento de Entornos Informatizados. MAEI Mara Victoria Bisogno. Riesgo Salvaguardas Estos seis elementos son estudiados durante todo el proceso que presentamos en nuestra metodologa de revisin de aplicaciones, donde se realiza el relevamiento que abarca, entre otras cosas, la evaluacin de la aplicacin a revisar como activo lgico de la organizacin, y los elementos relacionados con sta como bases de datos y otras aplicaciones, para pasar a la etapa donde se identifican las amenazas, las vulnerabilidades y se estudia su riesgo asociado, para finalmente recomendar la mejor salvaguarda que corresponda.

133