36819948 Bisogno Tesisdegradoingenieriainformatica

UNIVERSIDAD DE BUENOS AIRES

FACULTAD DE INGENIERÍA

Ingeniería en informática

Tesis de grado:

“Metodología para elAseguramiento de

EntornosInformatizados” – MAEI.

Alumna: María Victoria BisognoPadrón: 74.784E-mail: [email protected]; [email protected]: Prof. Lic. Sergio VillagraCo-tutores: Andrea Morales, Saverio Locane, y Héctor Dinamarca12 de octubre de 2004

Metodología para el Aseguramiento de Entornos Informatizados.MAEI - María Victoria Bisogno.

1

I. ÍNDICE:

I. Índice:.....................................................................................................1II. Prefacio......................................................................................

61. Propósito de la tesis..................................................................................62. Estado del Arte de la Seguridad Informática.................................................8

3. Motivación para la realización de este trabajo............................................. 10

4. Alcance de la tesis.................................................................................. 115. Organización del documento .................................................................... 12

III. Introducción. ............................................................................ 13

1. La metodología. ..................................................................................... 13

1.1 El estudio del entorno......................................................................... 13

1.2 La implantación de la solución. ............................................................ 13

2. Descripción de las fases. ......................................................................... 15

IV. Desarrollo de la metodología AEI ................................................. 23

1 Definición del Alcance................................................................................. 25

Contenido: ............................................................................................. 251.1 Análisis de Requerimientos de Usuario..................................................... 26

1.1.1 Documento de Requerimientos de Usuario .......................................... 26

1.1.2 Ejemplo - Requerimientos de Usuario................................................. 27

1.2 Elaboración del Alcance ......................................................................... 271.2.1 Alcance..........................................................................................

281.2.2 Ejemplo - Alcance ........................................................................... 301.3 Aprobación del Alcance.......................................................................... 33

1.4 Estimación de tiempos y costos. ............................................................. 33

1.4.1 Costos capitales.............................................................................. 341.4.2 Costos recurrentes .......................................................................... 351.4.3 Costos No recurrentes...................................................................... 37

1.5 Elaboración del Plan de Trabajo .............................................................. 37

2 Relevamiento ............................................................................................ 40 Contenido: .............................................................................................

402.1 Elaboración del Relevamiento General. .................................................... 41

2.1.1 Relevamiento General...................................................................... 432.2 Elaboración del Relevamiento de Usuario ................................................. 45

2.2.1 Relevamiento de Usuario.................................................................. 48

2.2.2 Asignación de puntaje...................................................................... 49

2.2.3 Aclaración sobre las preguntas.......................................................... 51


2

2.2.4 Resultados de la evaluación.............................................................. 55

2.2.5 Evaluación del entorno..................................................................... 56

2.2.5.1 Referencias al puntaje obtenido en el test por nivel:.......................... 56

2.2.5.2 Configuraciones de resultados:....................................................... 56

2.3 Análisis de vulnerabilidades.................................................................... 572.3.1 Conocer al enemigo......................................................................... 57

2.3.2 Ejemplo – Atacantes........................................................................ 58

2.3.3 Las amenazas................................................................................. 592.3.4 Análisis de Vulnerabilidades.............................................................. 61

2.3.4.1 Aspectos funcionales..................................................................... 61

2.3.4.2 Análisis de la documentación.......................................................... 65

2.3.4.3 Análisis de las aplicaciones y equipos .............................................. 66

2.3.4.3.1 Intento de Penetración ............................................................... 69

2.3.4.3.2 Herramientas de análisis de vulnerabilidades ................................. 70

2.3.5 Mapa de Vulnerabilidades................................................................. 70

2.3.5.1 Vulnerabilidades a nivel físico......................................................... 71

2.3.5.2 Vulnerabilidades a nivel lógico........................................................ 75

2.3.5.3 Vulnerabilidades a nivel de la organización....................................... 82

2.4 Análisis de Riesgos ............................................................................... 83

2.4.1 Informe de Riesgos ......................................................................... 85

2.4.2 Ejemplo – Informe de Riesgos........................................................... 86

3 Planificación .............................................................................................. 89 Contenido: .............................................................................................

893.1 Elaboración del Plan de Aseguramiento....................................................... 90

3.1.1 Protección física.............................................................................. 903.1.1.1 Protección de las Instalaciones ....................................................... 91

3.1.1.2 Protección de los equipos............................................................... 94

3.1.2 Protección lógica........................................................................... 100

3.1.2.1 Protección de la información ........................................................ 100

3.1.2.2 Protección del Sistema Operativo.................................................. 104

3.1.2.3 Protección de los datos................................................................ 115

3.1.3 Protección a nivel de la organización................................................ 122

3.2 Aprobación del Plan de Aseguramiento ..................................................... 130

4 Implantación........................................................................................... 132Contenido: ...........................................................................................

1324.1 Elaboración del Relevamiento de Activos................................................ 135

4.1.1 Inventario de Activos..................................................................... 135


3

4.1.2 Ejemplo – Inventario de Activos ...................................................... 139

4.1.3 Rotulación de activos..................................................................... 140

4.1.4 Análisis de Criticidades................................................................... 140

4.2 Clasificación de la Información.............................................................. 142

4.2.1 Identificación de la información....................................................... 142

4.2.2 Tipos de información...................................................................... 143

4.2.3 Beneficios de la clasificación de la información................................... 144

4.2.4 Riesgos de la información............................................................... 144

4.3 Elaboración/ adaptación de la Normativa de Seguridad............................. 144

4.3.1 Interiorización del experto con la política y negocio de la organización .. 144

4.3.2 Elaboración/adaptación de la Normativa de Seguridad........................ 145

4.3.2.1 Política de Seguridad................................................................... 147

4.3.2.1.1 Definición ............................................................................... 1474.3.2.1.2 Ámbitos de aplicación y personal afectado................................... 149

4.3.2.2 Normas y Procedimientos ............................................................ 149

4.3.2.2.1 Definición ............................................................................... 1494.3.2.2.2 Espectro de las Normas y los Procedimientos............................... 150

4.3.2.2.3 Ejemplo – Normas y Procedimientos........................................... 152

4.3.2.3 Estándares, Esquemas y Manuales de usuarios ............................... 156

4.3.2.3.1 Definición ............................................................................... 1564.3.2.4 Implantación y uso de la Normativa de Seguridad ........................... 156

4.3.2.5 Convenio de Confidencialidad....................................................... 157

4.3.3 Aprobación de la Política de Seguridad ............................................. 157

4.4 Publicación de la Normativa de Seguridad .............................................. 158

4.4.1 Implantación de una campaña de concientización .............................. 158

4.4.2 Capacitación de los usuarios ........................................................... 159

4.5 Implantación del Plan de Aseguramiento................................................ 159

4.5.1 Implantación a nivel físico .............................................................. 160

4.5.2 Implantación a nivel lógico ............................................................. 160

4.5.3 Implantación a nivel de la organización ............................................ 161

4.6 Elaboración del Plan de Recuperación del Entorno ante Desastres (PRED) ... 161

4.6.1 Determinación del escenario considerado.......................................... 163

4.6.2 Determinación de los tipos de operación en una contingencia .............. 163

4.6.3 Establecimiento de criticidades........................................................ 164

4.6.3.1 Tabla de Criticidades por Equipo................................................... 165

4.6.3.2 Ejemplo - Tabla de Criticidades por Equipo..................................... 165

4.6.3.3 Tabla de Criticidades por Servicios................................................ 165


4

4.6.3.4 Ejemplo - Tabla de Criticidades por Servicios.................................. 166

4.6.3.5 Tabla de Criticidades por Aplicaciones............................................ 167

4.6.3.6 Ejemplo - Tabla de Criticidades por Aplicaciones. ............................ 167

4.6.4 Determinación de las prestaciones mínimas ...................................... 168

4.6.5 Análisis de riesgos......................................................................... 1684.6.5.1 Probabilidad de ocurrencia de desastres......................................... 168

4.6.5.2 Determinación de los niveles de desastre....................................... 168

4.6.6 Presentación de las distintas estrategias posibles de recuperación........ 169

4.6.7 Selección de la estrategia de recuperación........................................ 169

4.6.8 Elaboración de la estrategia de recuperación..................................... 169

4.6.8.1 Mitigación de riesgos – Medidas preventivas................................... 169

4.6.8.2 Descripción de la estrategia ......................................................... 170

4.6.8.3 Requerimientos para llevar a cabo el Plan ...................................... 170

4.6.8.4 Esquemas técnicos ..................................................................... 1714.6.8.5 Formación del Equipo de Recuperación del Entorno ante Desastres(ERED) ................................................................................................ 1714.6.8.5.1 Roles y responsabilidades ......................................................... 172

4.6.8.5.2 Asignación de roles.................................................................. 174

4.6.8.6 Establecimiento de los procedimientos........................................... 175

4.6.8.6.1 Declaración de la emergencia .................................................... 175

4.6.8.6.2 Recuperación de las prestaciones............................................... 175

4.6.8.6.3 Reestablecimiento de las condiciones normales............................ 176

5 Estabilización........................................................................................... 177

Contenido: ........................................................................................... 1775.1 Análisis de resultados..........................................................................

1785.2 Ajuste............................................................................................... 1795.3 Cierre de la implantación. .................................................................... 179

5.4 Capacitación de usuarios. .................................................................... 180

5.4.1 Técnicas para la capacitación de usuarios:........................................ 180

6 Mantenimiento......................................................................................... 183Contenido: ...........................................................................................

1836.1 Control de incidencias. ........................................................................ 184

6.1.1 Incidencias de seguridad................................................................ 1846.1.2 Notificación de incidencias.............................................................. 185

6.1.3 Documentación............................................................................. 188

6.1.4 Reporte de Incidencias................................................................... 188

6.1.4.1 Manual de Procedimientos sobre Reporte de Incidencias.................. 191


5

6.1.5 Respuesta a incidencias ................................................................. 1916.1.6 Recolección de incidencias.............................................................. 192

6.1.7 Registro de incidencias................................................................... 192

6.1.8 Investigación................................................................................ 1946.1.9 Seguimiento de incidencias............................................................. 194

6.1.10 Prevención de incidencias ............................................................. 1946.2 Control de cambios............................................................................. 195

6.2.1 Procedimiento de Control de Cambios .............................................. 197

6.2 2 Diagrama de flujo.......................................................................... 204

6.2.3 Formulario de Control de cambios.................................................... 205

6.2.4 ABM Activos ................................................................................. 210

6.2.5 Ejemplo - AMB Activos................................................................... 211

6.2.6 Actualizaciones de Software............................................................ 212

6.2.6.1 Documento de Actualizaciones de Software.................................... 213

V. Conclusión.............................................................................. 214VI. Bibliografía............................................................................. 219VII. Anexo I. MAEI – Resumen de Fases y Tareas............................... 222

VIII. Anexo II. Estándares Internacionales. Reseña introductoria........... 223

ISO/IEC estándar 17799 ........................................................................ 223

Cobit ................................................................................................... 224MAGERIT.............................................................................................. 226

IX. Anexo III. Glosario de términos................................................. 228


6

II. PREFACIO

1. Propósito de la tesis

La Seguridad Informática es una disciplina cuya importancia crece día a día.

Aunque la seguridad es un concepto difícil de medir, su influencia afectadirectamente a todas las actividades de cualquier entorno informatizado en los queinterviene el Ingeniero en Informática, por lo que es considerada de vitalimportancia.

[Huerta2000] define la seguridad como “una característica de cualquier sistema(informático o no) que nos indica que ese sistema está libre de todo peligro, daño oriesgo, y que es, en cierta manera, infalible”... “para el caso de sistemasinformáticos, es muy difícil de conseguir (según la mayoría de los expertos,imposible) por lo que se pasa a hablar de confiabilidad”.

[IRAM/ISO/IEC17799] sostiene que “la seguridad de la información protege a ésta deuna amplia gama de amenazas, a fin de garantizar la continuidad comercial,minimizar el daño al negocio y maximizar el retorno sobre las inversiones y lasoportunidades.”

En cualquier entorno informatizado es necesario estar protegido de las múltiples (yhasta desconocidas) amenazas, garantizando, fundamentalmente, la preservación detres características:

� Integridad: que se proteja la exactitud y totalidad de los datos y los métodosde procesamiento;

� Confidencialidad: que la información sea accesible sólo a las personasautorizadas;

� Disponibilidad: que los usuarios autorizados tengan acceso a la información y alos recursos cuando los necesiten;

[IRAM/ISO/IEC17799] también agrega “La seguridad de la información se lograimplementando un conjunto adecuado de controles, que abarca políticas, prácticas,procedimientos, estructuras organizacionales y funciones del software”.

Para la realización de este trabajo se han estudiado diversas metodologías deseguridad citadas en el Anexo I, que cubren distintos aspectos, pero ninguna tieneun enfoque estructural similar al que un Ingeniero en Informática le da a losproblemas, según la visión que se adquiere con la formación en la Universidad.


7

Además, la bibliografía relacionada ofrece soluciones puntuales para problemasespecíficos de seguridad, pero no da una solución integral al problema.

La motivación de este trabajo es la falta de una herramienta que les permita a losprofesionales de Informática analizar e implementar técnicas de seguridad enentornos informatizados bajo la visión del Ingeniero.

El propósito del presente proyecto es formalizar una metodología práctica, y factiblepara convertir entornos informatizados inseguros en entornos protegidos, y lograruna clara evaluación de los mismos, teniendo en cuenta el objetivo y los procesos delnegocio.

El principal objetivo, entonces, es proveer a los Ingenieros en Informática yLicenciados en Análisis de Sistemas de una herramienta con modelos estructuradospara que, de forma ordenada y efectiva, les facilite y les guíe en la tarea de darinforme de las vulnerabilidades presentes en el entorno en que trabajan y lasposibles soluciones, para luego implementarlas con éxito y así lograr una efectivaprotección y documentación del entorno objetivo.

Esta metodología estará compuesta por una serie de fases en las que se aplicaránprocedimientos y se buscará el conocimiento de los procesos, y a su vez, unacompleta documentación que avale y acompañe al proyecto y que sirva de referentea lo largo de la vida operativa del entorno.

Se pretende que esta metodología cree un cambio cultural en el ambiente donde seimplementa (una empresa informatizada, un sector informatizado de un negocio,etc.), al aplicar políticas que afecten al personal, al uso de los recursos y a la formade trabajo, además de una conciencia integral de la importancia de la seguridad enentornos informatizados y las implicancias de las falencias en este tema.

Este proyecto está destinado a aplicarse en entornos en los que nunca se hanrealizado controles de seguridad, como en los que están bajo un régimen deseguridad controlado, sobre el que se desea evaluar su efectividad, o comprobar sucompletitud.

Al hablar de sistema “inseguro” se hace referencia a un sistema no confiable, noauditado, no controlado o mal administrado con respecto a la seguridad.

NOTA: De ahora en más se hará referencia al experto en seguridad, actorprotagonista del proceso de aseguramiento aquí presentado, como “ES”.


8

2. Estado del Arte de la Seguridad Informática.

Básicamente, los problemas de Seguridad Informática son sucesos que no deseamosque ocurran. La mayoría son inesperados, aunque en muchos casos se puedenprevenir.

Cuando hablamos de incidentes de Seguridad, o problemas de Seguridad Informáticanos referimos a:

� Acceso no autorizado a la información;

� Descubrimiento de información;

� Modificación no autorizada de datos;

� Invasión a la privacidad;

� Denegación de servicios;

� Etc.

Cada entorno informatizado es diferente, y maneja distintos tipos de información, ypor ende, es distinta la forma en que se tratan los datos.

Los componentes de los entornos informatizados son distintos, por lo que lasespecificaciones de seguridad asociadas a cada uno varía notablemente dependiendode la tecnología utilizada a nivel de plataforma, software base y dispositivos físicos.

La funcionalidad y características técnicas de los componentes de los entornos varíannotablemente según la marca, en particular en los aspectos concernientes a laseguridad.

Hoy en día la amenaza más común en los ambientes informatizados se centra en laeliminación o disminución de la disponibilidad de los recursos y servicios que utiliza elusuario.

El crecimiento de las telecomunicaciones y la estricta dependencia que existe entre elnegocio de las empresas y la tecnología informática hace crítica la inversión enseguridad. Cada vez más los procesos comerciales se ven estrechamente ligados aprocesos informáticos.

Prácticamente toda la información vital para el negocio de una compañía comercial seencuentra informatizada, no sólo almacenada en dispositivos electrónicos, sino que,en la mayor parte de los casos, se encuentra distribuida físicamente y viajaconstantemente a través de medios públicos como redes de telefonía e Internet.

Es por eso que se pone énfasis en el crecimiento de soluciones para el problema de laSeguridad Informática, por lo que el conocimiento en esta área ha crecido


9

enormemente en los últimos años, al punto en que somos capaces de afirmar que esposible lograr una completa enumeración de las fallas de seguridad de los sistemas ylos entornos en los que viven.

Estas fallas de seguridad son las que se convierten en amenazas susceptibles de seraprovechadas por usuarios malintencionados para causar daño o algún tipo deinvasión a la confidencialidad.

Protegerse contra accesos no autorizados es el problema más sencillo a resolver, yaque durante años se han desarrollado y perfeccionado algoritmos matemáticos parala encripción de datos, para el intercambio seguro de información, para garantizar elcorrecto funcionamiento del software, que se ha traducido en herramientas capacesde proporcionar soluciones rápidas y sencillas a problemas técnicos de seguridad.

Desafortunadamente, no es suficiente simplemente arreglar los errores o eliminar lasfallas técnicas de seguridad. El problema va mucho más allá.

La Seguridad Informática es un problema cultural, en el que el usuario juega un rolprotagónico.

La responsabilidad sobre la seguridad de los datos y equipos ya no recae solamenteen el personal técnico especializado encargado de resguardar los bienes y serviciosbrindados por el entorno, sino que es el usuario el que debe velar por la seguridad delos bienes físicos y lógicos que maneja.

Para ello debe existir una conciencia de trabajo seguro, de resguardo de laconfidencialidad y de protección de los activos utilizados a diario en el trabajo decada individuo.

Por esta razón la seguridad Informática debe estar incorporada desde el principio detodo proceso, desde el diseño para garantizar la evaluación de todos los factoresfuncionales (y no solamente los técnicos) a tener en cuenta para el uso seguro delentorno. Si esto sucede, el objetivo inicial de la seguridad habrá sido logrado.

La seguridad, entonces, debe nacer en el diseño seguro de los sistemas, de lacorrecta formación de la estructura de la organización, de la adecuada distribución detareas y contraposición de intereses en los roles de control y ejecución de tareas.Luego de lograr eso se deben implantar medidas de índole técnica que garanticen eladecuado uso de los recursos y servicios solamente a los usuarios autorizados, y ladisponibilidad de los mismos.

Pero lo importante es ver que la Seguridad Informática ya no es un problema de lagente especializada en sistemas, sino que ha salido de los laboratorios y los centrosde cómputo para instalarse en el escritorio del usuario, en donde nacen losproblemas de Seguridad.


10

3. Motivación para la realización de este trabajo

Este trabajo es la culminación de muchos años de estudio, en los que incursioné entécnicas, modelos, formas de trabajo, teorías, estudios y descubrimientos y a travésde ellos me empapé de conocimientos en las distintas formas en que los presenta laciencia.

Durante los años transcurridos en la facultad, mi forma de pensar se fue modelando,puliendo, transformando, de modo de lograr una visión distinta de la vida, no solo delos problemas de la ingeniería.

Luego, al ingresar en el mundo laboral, descubrí que los aspectos del negocio tienenuna influencia crucial en la toma de decisiones en todos los aspectos, incluido el delas soluciones informáticas.

En el tiempo que llevo tratando clientes, observando distintas realidades, yconociendo su negocio, como el de la industria petrolera, el de la industria del maíz,el de los laboratorios químicos, el de entidades estatales, el de los bancos, el de laslíneas aéreas, entre otros, aprendí que es fundamental tener en cuenta los procesosdel negocio al evaluar los procesos informáticos.

Es por eso que en este trabajo pretendo traducir el conocimiento en seguridadinformática disperso por el mundo en sus distintas formas, ya sea de conocimientopúblico o el privado al que pueda acceder, para crear una herramienta de trabajoque siga la línea de pensamiento del Ingeniero de la UBA, agregando a esta línea depensamiento la incursión en los procesos de negocio del cliente con que se trabaje,para ofrecerle la mejor solución.

Particularmente como alumna, el tema me fue atrapando luego de cursar la materia“Introducción a los sistemas distribuidos” en la que se vieron técnicas de seguridaden el contexto del modelo TCP/IP.

En esa oportunidad la seguridad informática fue presentada con seriedad, aunque deforma escueta, pero especialmente logró despertar mi interés personal, por lo quecomencé a investigar sobre el tema.

Un tiempo después descubrí de la existencia de la asignatura “Criptografía ySeguridad Informática” dictada como materia optativa en la carrera IngenieríaElectrónica. Inmediatamente me interesé en la misma y realicé los trámitescorrespondientes para lograr la autorización para cursarla y la aceptación de loscréditos como materia optativa.


11

Pude cursarla efectivamente y aprobarla en el segundo cuatrimestre del año 2002, locual dejó una marca importante en mi formación profesional ya desde mi condiciónde alumna.

Luego continué investigando sobre el tema, pero noté que la información seencontraba dispersa y desordenada; sin embargo también noté que la bibliografía eraen general muy específica.

Considero muy importante para la formación de los Ingenieros en Informática laeducación en Seguridad Informática.

Cualquier profesional de esta carrera debería poseer un mínimo conocimiento sobreel tema que le permita profundizar en el aspecto que considere necesario.

Es por esto que decidí realizar este trabajo con la idea de que sirva de guía para loscolegas en el trabajo de detectar fallas de seguridad y recomendar soluciones en elaspecto del entorno en que se esté trabajando, que a fin de cuentas este es eltrabajo del ingeniero: dar soluciones.

4. Alcance de la tesis

En esta tesis se desarrollará una metodología de trabajo.

Se describirán las tareas y subtareas a realizar para obtener resultados específicos,se indicará un orden para realizarlas, se servirá de documentación a desarrollar paracompletar informes y relevamientos, se dará un marco general para el desarrollo delproyecto de aseguramiento del entorno en estudio, pero no se entrará en detalle enlos siguientes temas:

� Administración del proyecto:

No se entrará en detalles en la formalización del Alcance, ni en la estimación detiempos y costos del proyecto, ya que son tareas puramente administrativas queno hacen al problema de aseguramiento del entorno informatizado.

� Vulnerabilidades conocidas en sistemas operativos y aplicaciones:

No se enumerarán las vulnerabilidades conocidas en software base ni enaplicativos, ya que éstas cambian y se incrementan día a día, lo que restaríaescalabilidad y vigencia en el tiempo a la tesis.

� Implantación de las soluciones en plataformas tecnológicas específicas:


12

No se entrará en detalle en configuraciones ni ejecución de procesos específicospara solucionar problemas de seguridad en sistemas operativos ni softwareaplicativo pues se pretende hacer una metodología portable, independiente de laplataforma tecnológica.

5. Organización del documento

El trabajo ha sido desarrollado en seis partes:

I. Índice

II. Prefacio

III. Introducción

IV. Desarrollo de la Metodología AEI

V. Conclusión

VI. Bibliografía

VII. Anexo I. MAEI – Resumen de Fases y Tareas

VIII. Anexo II. Estándares Internacionales. Reseña introductoria.

IX. Anexo III. Glosario de términos.

A su vez, la parte IV, Desarrollo de la Metodología AEI, está organizada en seiscapítulos correspondientes a cada una de las fases de la metodología que aquí sepresenta. Los capítulos son los siguientes:

1. Definición del Alcance.

2. Relevamiento.

3. Planificación.

4. Implantación.

5. Estabilización.

6. Mantenimiento.


13

III. INTRODUCCIÓN.

1. La metodología.

La metodología propuesta se compone de seis fases que agrupan etapas. Estas fases,a su vez, desde un aspecto macroscópico se pueden generalizar en dos grandesgrupos: el estudio del entorno y la implantación de la solución.

1.1 El estudio del entorno.

En este primer grupo de fases se encuentran:

� La definición del Alcance;

� El Relevamiento;

� La Planificación.

Aquí se fija como objetivo conocer al entorno informatizado donde se implementarála metodología, a fin de asegurarlo.

Este conocimiento implica la intervención del usuario, que aportará el conocimientopersonal desde su perspectiva, también aportará inquietudes y necesidades queayudarán al ES a dar la solución más satisfactoria para el cliente.

Cliente es toda entidad, empresa, organismo o persona que presente su entornoinformatizado con el fin de que el ES lo analice y lo asegure.

En este estudio, el ES investiga, observa, documenta. Investiga cómo se trabaja,cómo está formada la empresa, qué tecnología posee, cómo ésta es utilizada.Observa cómo se manejan los empleados, cuáles son las políticas implícitas en elentorno con respecto al trabajo, al manejo de la información y de los bienes.Documenta en un formato comprensible el conocimiento que él adquiere, para elintercambio con el usuario, y como fuente para el desarrollo de la solución de lapróxima etapa de la metodología.

1.2 La implantación de la solución.

Este segundo grupo de fases comprende:


14

� La Implantación de la solución;

� La Estabilización del entorno;

� El Mantenimiento de la solución, para guardar el entorno en condicionesconfiables de seguridad.

En esta parte el ES ya conoce el entorno objetivo, por lo que se dedica a hallar lasolución que mejor se adapte al mismo.

Vuelca la planificación a la práctica, a través de la implantación de las técnicas que seeligieron en la etapa anterior, genera y desarrolla los modelos de análisis que formanparte del Plan de Aseguramiento y que le servirán de ahí en adelante, durante toda lavida del ambiente.

Luego de la ejecución del Plan de Aseguramiento, el entorno objetivo se estabilizadeterminando una adecuada capacitación de los usuarios, y verificando los beneficioslogrados como resultado.

La implantación se cierra, aunque siempre queda latente una extensión de la mismaque se ocupará del registro de incidencias, de cambios en los bienes físicos y lógicos,entre los que se considerarán las periódicas actualizaciones de software antivirus yotras técnicas a aplicarse con regularidad para mantener el nivel de seguridad amedida que el entorno cambia.

A continuación se exhibe un diagrama que muestra las fases:


15

Relevamiento

Definición delAlcance

Estabilización

Implantación Planificación

Mantenimiento Entornoinseguro

Entornoprotegido

Plan deaseguramiento aprobado?

No

Sí

Estudio delEntorn

o

Implantación de la solución

2. Descripción de las fases.

Las siguientes son las fases de la metodología AEI, con las principales etapas que lasconstituyen. Las mismas se desarrollarán en detalle en la parte IV de este trabajo,Desarrollo de la metodología AEI.

1. Definición del Alcance

En esta fase se determinan qué aspectos, sectores, áreas y recursos se van aproteger.

Se desarrolla en cinco subfases:

1.1 Análisis de requerimientos de usuario

En esta etapa se realiza la negociación con el cliente sobre los niveles,sectores, servicios y activos a proteger en función de los requerimientosque hace el usuario.

1.2 Elaboración del Alcance

Se confecciona un documento detallando objetivos claros y puntuales que sedeberán cumplir en el proceso de aseguramiento.

1.3 Aprobación del Alcance


16

En esta etapa el cliente determina la aprobación o el rechazo del Alcance, demanera de continuar o no con el proyecto, o ver las modificaciones que élpropone.

1.4 Estimación de tiempos y costos

Parte destinada a la determinación aproximada de la duración del proyecto yde los costos asociados: recursos financieros, recursos humanos, recursosrecurrentes y no recurrentes, etc.

1.5 Elaboración del Plan de Trabajo

Luego del análisis anterior, y con el objetivo bien claro, el ES confecciona elplan a seguir estimando períodos de trabajo, asignación de recursos yfechas de presentación de los entregables.

2. Relevamiento

En esta etapa el ES comienza a familiarizarse con el entorno a proteger, mediantela identificación de los elementos que lo componen.

Comprende las siguientes etapas:

2.1 Elaboración del Relevamiento General

El ES realiza una inspección general sobre los aspectos de la organización,de su negocio y de los bienes.

2.2 Elaboración del Relevamiento de Usuario

Consiste en obtener información del usuario respecto de las costumbres yusos del sistema, el manejo de la información, y el nivel de conciencia delusuario respecto a las potenciales amenazas existentes en su entorno.

Se elabora el Relevamiento de Usuario.

2.3 Análisis de vulnerabilidades

Determinación de las amenazas presentes en la organización respecto de laseguridad.

2.4 Análisis de riesgos

Se analiza el impacto y la probabilidad de ocurrencia de las vulnerabilidadesdetectadas en la etapa anterior, el riesgo que implican y los potencialesnuevos riesgos a los que esté expuesto el entorno.

3. Planificación

Esta fase comprende el análisis detallado de los puntos a proteger estudiando elentorno en distintos aspectos: el físico, el lógico y el de la organización.

3.1 Elaboración del Plan de Aseguramiento


17

El Plan de Aseguramiento es el documento que describe las medidas que setomarán para asegurar el sistema, según los objetivos planteados en elAlcance.

3.2 Aprobación del Plan de Aseguramiento

El Plan de Aseguramiento debe ser consensuado por el cliente paracomenzar su implantación. Por motivos de presupuesto, de política, u otrascausas el responsable del proyecto por parte del cliente puede solicitarrecortes o ampliaciones del Plan, que serán analizadas por el ES quiendeberá exigir una justificación por todos los cambios solicitados, y presentarlos riesgos que estos generen en el entorno.

4. Implantación

En esta fase se llevará a cabo el Plan de Aseguramiento antes propuesto (yaprobado) y las etapas de ajuste político y organizativo que el ES considerenecesarias.

Vemos a continuación las etapas de esta fase:

4.1 Elaboración del Relevamiento de Activos

Es una enumeración detallada de los bienes físicos y lógicos de la empresa,junto con una asignación de responsabilidades sobre cada activo, y lavaloración de su criticidad a nivel de la seguridad, y la clasificación de lainformación en cuanto a su criticidad.

En esta etapa se elabora el Inventario de Activos

4.2 Clasificación de la Información

A partir del análisis de criticidad de los activos, se procede a clasificar lainformación según su grado de criticidad en cuanto a la disponibilidad,confidencialidad e integridad. Esto permitirá determinar las medidasnecesarias de seguridad a fijar en el marco normativo de la empresa.

4.3 Elaboración/adaptación de la Normativa de Seguridad

Esta etapa de la implantación consiste en el punto de partida del proceso deaseguramiento de un entorno. Pretende establecer las pautas, los requisitoslegales, normativos, reglamentarios y contractuales que deben cumplirtodos los miembros de la organización, sus socios comerciales, loscontratistas y los prestadores de servicios.

4.4 Publicación de la Normativa de Seguridad

Una vez elaborada, se debe dar a conocer el Manual de Seguridad de laorganización, haciendo firmar los convenios de confidencialidad existentes yla confirmación de lectura y conocimiento de las Normas por parte de losusuarios.


18

4.5 Implantación del Plan de Aseguramiento

En esta etapa se implantarán todas las medidas planificadas especialmentepara el entorno objetivo, en cada nivel analizado: físico, lógico y de laorganización.

4.6 Elaboración del Plan de Recuperación del Entorno ante Desastres

El Plan de Recuperación del Entorno ante Desastres consiste en un plan paragarantizar la continuidad del negocio cuando ocurran eventuales catástrofesde distinta índole.

Para la elaboración de este plan se deberá tener en cuenta la criticidad delas aplicaciones y de los equipos, y el riesgo al que están expuestos, segúnlo estudiado en la etapa 2.2 de la fase de Alcance.

Los desastres pueden ser naturales (inundaciones, caídas de rayos,tormentas eléctricas), provocados intencionalmente (sabotaje, hurto,negación de servicio), por error humano (incendios, destrucción accidentalde información) o, fallas mecánicas o eléctricas inherentes a los equipos(rotura de discos, placas de red quemadas).

En todos los casos habrá que prever cierto número de accidentes, suprobabilidad de ocurrencia, identificar los equipos y aplicaciones críticas parael funcionamiento del negocio, y crear un plan de contingencia que garanticela continuidad del negocio y la recuperación del entorno informatizado en untiempo adecuado.

5. Estabilización

En este período se pretende estabilizar el entorno ya que a esta altura delproyecto, seguramente ha sufrido numerosos cambios.

Se hace una observación y evaluación de la implantación en las siguientesetapas:

5.1 Análisis de resultados

En esta etapa se cotejan los resultados obtenidos con el Alcance planteadoen la fase 1 de esta metodología y se evalúan los resultados obtenidos: losobjetivos logrados y los puntos postergados o descartados con su respectivajustificación.

5.2 Ajuste

Esta subfase de estabilización está dedicada a realizar ajustes sobre el Plande Aseguramiento según los resultados obtenidos y analizados en la etapaanterior de esta misma fase y los inconvenientes o nuevos requerimientosque pudieran surgir en la etapa de implantación.


19

Los puntos de control que necesiten cambios, mejoras o los que surjandurante el proyecto se tomarán en cuenta para completar y adaptar el Plande aseguramiento para una segunda implementación, delimitandonuevamente su Alcance, que podrá reducirse a aplicar solamente loscambios surgidos en esta etapa para lograr un completo aseguramiento delentorno.

5.3 Cierre de la implantación

El cierre de la implantación se realiza cuando se concluyeron los últimoscontroles que constituyen el Plan de Aseguramiento y concluidas las etapasde concientización y capacitación de usuarios de la fase 4 de estametodología.

5.4 Capacitación de usuarios

Se les explica a los usuarios los cambios efectuados, los nuevos procesos yformas de proceder ante incidencias, y la manera en que deben administrarla seguridad para mantener el entorno protegido.

6. Mantenimiento

Esta fase comienza posteriormente a la implantación del Plan de Aseguramiento,luego de la estabilización del entorno y se mantiene durante toda su vida.

Durante la vida del entorno ocurrirán incidencias y cambios que deberán seranalizados y documentados, así como también se deberán llevar a cabo controlesperiódicos y aplicar las correspondientes actualizaciones para mantener un nivelconfiable de seguridad en el entorno, en las siguientes subfases:

6.1 Control de incidencias

Esta fase se ocupa de analizar y documentar las incidencias ocurridas deluso diario de los recursos, tales como:

� Mal funcionamiento de elementos de hardware;

� Ruptura de elementos de hardware;

� Anomalías en productos de software;

� Fallas en procesos;

� Detección de virus malignos;

� Averío de documentación;

� Pérdida de bienes;

� Etc.

Todo incidente, incluso los no especificados en este trabajo, deberá serreportado a quien corresponda, según lo especificado en la Normativa deseguridad, mediante un Reporte de Incidencias, y asentado en el Registro deIncidencias por el responsable a cargo. El Registro de Incidencias es undocumento destinado para tal fin.


20

[IRAM/ISO/IEC17799] hace referencia a este importante punto:

“Los incidencias que afectan la seguridad deben ser comunicados mediantecanales gerenciales adecuados tan pronto como sea posible. Se debeconcientizar a todos los empleados y contratistas acerca de losprocedimientos de comunicación de los diferentes tipos de incidencias(violaciones, amenazas, debilidades o anomalías en materia de seguridad)que podrían producir un impacto en la seguridad de los activos de laorganización.”

6.2 Control de cambios

Durante la vida del sistema se producirán cambios en el aspecto lógico comofísico, que deberán ser detalladamente registrados. Se deberá documentarcada Alta, Baja o Modificación de activos en un archivo específico quellamaremos ABM Activos, y que está directamente relacionado con elInventario de Activos.

Esta etapa incluye la periódica actualización de software antivirus y dedetección de intrusos, la revisión periódica del archivo de los registros de logdel sistema, el mantenimiento de las demás herramientas de las que sehace uso durante la implantación, etc.

El ES establecerá los períodos con que se realizan los controles establecidosen el plan de aseguramiento, según él lo crea conveniente para el caso enestudio.

A continuación se muestra una tabla con las fases y etapas de esta metodología y ladocumentación propuesta para su implantación:

FASE / ETAPA ACTOR ENTREGABLE

1 Definición del Alcance

1.1 Análisis de requerimientos de usuario ES, cliente Documento de Requerimientos deUsuario

1.2 Elaboración del Alcance ES, clienteAlcance

1.3. Aprobación del Alcancecliente

1.4 Estimación de tiempos y costosES

1.4.1 Costos capitales

1.4.2 Costos recurrentes

1.4.3 Costos no recurrentes

1.5 Elaboración del Plan de Trabajo ESPlan de Trabajo

2 Relevamiento

2.1 Elaboración del Relevamiento General ES,usuarios

Relevamiento General

2.2 Elaboración del Relevamiento de Usuario ESRelevamiento de Usuario


21

FASE / ETAPA ACTOR ENTREGABLE

2.3 Análisis de vulnerabilidades ESMapa de Vulnerabilidades

2.4 Análisis de riesgos ESInforme de Riesgos

3 PlanificaciónES

3.1 Elaboración del Plan de Aseguramiento ESPlan de Aseguramiento

3.1.1 Protección física ES Plan de Aseguramiento, Mapa deElementos de Red

3.1.1.1 Protección de las instalaciones ESPlan de Aseguramiento

3.1.1.2 Protección de los equipos ES Plan de Aseguramiento, Mapa deElementos de Red

3.1.2 Protección lógica ES Plan de Aseguramiento, Mapa deUsuarios, Inventario de Backups,Documento de Actualización deSoftware, Tabla de Permisos sobre

Activos Lógicos

3.1.2.1 Protección de la información ESPlan de Aseguramiento

3.1.2.2 Protección de los SistemasOperativos

Plan de Aseguramiento, Mapa deUsuarios, Registros y archivos de Log

3.1.2.3 Protección de los datos ES Plan de Aseguramiento, Tabla dePermisos sobre Activos Lógicos,Documento de actualización de

Software, Inventario de backups,

3.1.2.4 Protección a nivel de la organización ESPlan de Aseguramiento

3.2 Aprobación del Plan de aseguramientocliente

4 Implantación

4.1 Elaboración del Relevamiento de Activos ESInventario de Activos, ABM Activos

4.1.1 Inventario de activos Inventario de Activos Físicos,Inventario de Activos Lógicos

4.1.2 Rotulación de activos ESInventario de Activos

4.1.3 Análisis de criticidades ESInventario de Activos

4.2 Clasificación de la informaciónES

4.3 Elaboración/adaptación de la Normativade Seguridad

ESManual de Seguridad

4.3.1 Interiorización del experto con lapolítica y negocio de la organización

cliente Organigrama, documentación delproceso comercial, etc.

4.3.2 Elaboración/adaptación de laNormativa de Seguridad

ESManual de Seguridad

4.3.3 Aprobación de la Política de Seguridad

4.4 Publicación de la Normativa deSeguridad

4.4.1 Implantación de una campaña deconcientización

Comunicados, Presentaciones,Documentación,

4.4.2 Capacitación de usuarios Presentaciones, Documentación,Manual de Seguridad


4.5.1 Implantación a nivel físico ESInventario de Activos, ABM Activos

4.5.2 Implantación a nivel lógico ESInventario de Activos, ABM Activos

4.5.3 Implantación a nivel de la


22

FASE / ETAPA ACTOR ENTREGABLE organización

4.6 Elaboración del Plan de Recuperacióndel Entorno ante Desastres

Tabla de Criticidades por Equipo,Tabla de Criticidades por Servicio,Tabla de Criticidades por Aplicación,PRED, Procedimiento de Declaraciónde la emergencia, Procedimiento deRecuperación

de las prestaciones,Procedimiento de Reestablecimiento

de las Condiciones Normales

5 Estabilización

5.1 Análisis de resultados ESInforme de Implantación

5.2 Ajuste

5.3 Cierre de la implantación ESInforme de Cierre de la Implantación

5.4 Capacitación de usuarios ES Manual de Seguridad, Manual deProcedimientos sobre Reporte deIncidencias, presentaciones,Manuales, Folletos, Cursos,

Comunicados

6 Mantenimiento

6.1 Control de incidencias ES, cliente Reportes de Incidencias, Registro deIncidencias

6.2 Control de cambios ES, cliente Formulario de Control de Cambios,ABM Activos, Documento de

Actualizaciones de software


23

IV. DESARROLLO DE LA METODOLOGÍA AEI

La metodología de Aseguramiento de Entornos Informatizados (MAEI) de desarrollaen las siguientes fases:

1. Definición del Alcance

2. Relevamiento

3. Planificación

4. Implantación

5. Estabilización

6. Mantenimiento

Estas fases, como vimos en la introducción, se categorizar formando dos grandesgrupos según el objetivo que persiguen: el estudio del entorno y la implantación dela solución.

Partiendo de un entorno inseguro o desprotegido, a través de las primeras tres fasesde la MAEI se logra un estudio del entorno que le aporta el ES el conocimientonecesario para encarar la solución de los problemas de seguridad detectados.

Es en esta parte en que el ES delimita el entorno elaborando el Alcance, que abarcalos activos lógicos y físicos afectados en el análisis.

Una vez delimitada el área de trabajo o entorno objetivo, se procede a realizar elsondeo que conducirá al conocimiento funcional y técnico detallado del entorno, susactivos, los empleados, los procesos y procedimientos involucrados que se registraráen los respectivos documentos de Relevamiento.

Para finalizar esta primera parte del trabajo, el ES construye el Plan deAseguramiento del Entorno que contendrá todos los objetivos de control deseados yla forma de implantarlos en el entorno para asegurarlo.

Todas las tareas desarrolladas en esta etapa inicial conducen a la familiarización delExperto con el entorno y su conocimiento. Esto le permitirá al Experto determinar lasmejores medidas a tomar para asegurar el entorno objetivo.

Esta Tesis se basa en estándares internacionales, Normas y las mejores prácticasprofesionales, por lo que no es necesario poseer un conocimiento especializado enSeguridad Informática para utilizar la Metodología AEI. Sin embargo, se confía en elbuen criterio del Ingeniero o Licenciado en Análisis de Sistemas que la utilice paralograr la mejor implementación de la solución.


24

Continuando con la metodología, la segunda parte del trabajo consiste en llevar a lapráctica los controles planificados antes, en la fase que llamamos Implantación.

Luego de la implantación de los controles y las mejoras en los procesos que conducena la obtención de los objetivos fijados en el Plan, el ES deberá realizar un balanceponderando los objetivos fijados al principio del proyecto con los resultados obtenidosen la última etapa. Su trabajo aquí es evaluar la implantación, su grado de éxito yrealizar los ajustes al Plan que sean necesarios para completar el aseguramiento delentorno. A esta fase la llamamos Estabilización.

Finalmente nace una fase que se mantendrá a lo largo de toda la vida del entorno: lafase de Mantenimiento, que acompaña todos los cambios en el entrono persiguiendola preservación de su seguridad.

En esta etapa, la etapa final de la MAEI, el entorno se convierte en seguro y semantiene de esa forma hasta que se implanten cambios lo suficientemente grandescomo para que se deba considerar la construcción de un nuevo Plan deAseguramiento. En este caso la metodología EAI permite reiniciar el procesohaciendo mucho más cortas las etapas iniciales, saltando tareas de sondeo como larealización del Relevamiento General y el Relevamiento de Usuario, que ya han sidorealizados no requieren mayor detalle.

Como vimos, entonces, partiendo de un entorno inseguro, realizando las tareas queforman parte de las primeras tres fases de la MAEI, en una primera etapa se logra elconocimiento del entorno. Siguiendo con la implantación de la solución, a través delas tres últimas fases compuestas por tareas de implantación, control y mejoracontinua, se obtiene un entorno seguro, que es el objetivo de este trabajo.


25

1 DEFINICIÓN DEL ALCANCE

Contenido:

1.1 Análisis de Requerimientos de Usuario

1.1.1 Documento de Requerimientos de Usuario

1.1.2 Ejemplo - Documento de Requerimientos de Usuario


1.2.1 Alcance

1.2.2 Ejemplo - Alcance


1.4 Estimación de tiempos y costos



1.4.3 Costos No recurrentes



26

1.1 Análisis de Requerimientos de Usuario

En esta etapa el ES se pone en contacto con el cliente (la persona o entidadinteresada en asegurar el entorno objetivo) y escucha e interpreta lo que el usuariole pide.

En general el usuario no sabe qué es lo que quiere asegurar, por eso es tarea de ESorientarlo en el campo mostrándole los distintos aspectos que se deberían asegurar,para determinar a qué nivel el usuario desea que se realice el proyecto deaseguramiento.

A partir de esta decisión el ES concentrará su esfuerzo en el Relevamiento General yen el Relevamiento de usuario, haciendo foco en el o los aspectos que el usuarioseñaló.

Muy probablemente el usuario no tenga claro siquiera qué nivel desea proteger(físico, lógico u organizacional) y dejará la decisión en manos de ES.

El ES puede, entonces, pasar a las etapas siguientes de esta fase de la MAEI paradetectar a grandes rasgos las mayores falencias en cuanto a seguridad por nivel (aso apunta el Relevamiento de Usuario) y ofrecer los resultados al cliente para queeste decida el camino a seguir.

1.1.1 Documento de Requerimientos de Usuario

De una forma u otra, el ES registrará el pedido del usuario en un documento llamadoDocumento de Requerimientos de Usuario, que contendrá la voluntad del usuariorespecto de los niveles y elementos a asegurar.

El Documento de Requerimientos de Usuario contendrá la siguiente información:

Niveles a asegurar:

� Nivel físico;

� Nivel lógico;

� Nivel de la Organización.

Elementos a asegurar por nivel:


27

� Nivel físico:

o Elementos a asegurar del nivel físico.

� Nivel lógico:

o Elementos a asegurar del nivel lógico.

� Nivel de la organización:

o Elementos a asegurar del nivel de la organización.

1.1.2 Ejemplo - Requerimientos de Usuario

Niveles a asegurar:

� Nivel físico;

� Nivel lógico.

Elementos a asegurar por nivel:

� Nivel físico:

o Protección del acceso a los servidores;

o Protección de los equipos;

o Controlar el acceso del personal y determinar a qué usuarios se les puedepermitir el uso de los distintos recursos y a cuáles se les debe restringir.

� Nivel lógico:

o Poner contraseñas para el acceso a los servidores;

o Hacer backup de los datos más importantes;

o Ver que nadie (usuarios no autorizados) puedan leer la base de datos de lanómina de personal.


A partir de los requerimientos obtenidos del usuario se establece el alcance quetendrá el proyecto de aseguramiento del entorno informatizado objetivo.


28

En esta etapa se determinan claramente todos los puntos sobre los que se elaboraráel Plan de Aseguramiento y se registran en un documento elaborado para tal fin. Estedocumento se llamará Alcance.

Cabe mencionar que el Alcance es elaborado por el ES con una adecuadacolaboración del cliente, que deberá asumir responsabilidad sobre los temas que sedecida dejar fuera del proyecto. Éste deberá reflejar objetivos claros y puntuales quese deberán cumplir en el proceso de aseguramiento.

1.2.1 Alcance

El Alcance deberá contener la siguiente información:

Objetivo

Se define claramente lo que se pretende lograr en el proyecto.

Los objetivos deben responder al acrónimo SMART, que enmarca las prácticasfundamentales necesarias para alcanzar alta motivación y mejora para conseguir elobjetivo propuesto:

S : Simple, específico con un significado preciso.

M: Meaningful (con significado), motivante, mensurable.

A: Aceptable, alcanzable orientado a la acción, acordado, activable, asignable.

R: Realístico, susceptible a revision, relative, compensatorio, razonable, orientado aresultados, relevante a una misión.

T: Timelines (líneas de tiempo), con registro de fecha, relacionado con el tiempo,tangible, basado en tiempo, específico en el tiempo, limitado por el tiempo,relacionado con el tiempo, verdadero.

Participantes del proyecto

� Responsable por la empresa objetivo:

Ejecutivo de nivel gerencial que avala el proyecto.

� Experto en Seguridad (ES):

Profesional responsable del diseño y planificación del Plan de Aseguramiento delentorno.


29

� Recursos afectados al proyecto:

Son personas que colaborarán durante todo el proyecto liderado por el ES.

Definición del Entorno

Se debe determinar con precisión cuál será el entorno donde se implementará elproyecto. El Alcance estará circunscrito a ese entorno y todas las referencias que sehagan a él serán en relación a esta definición.

El entorno puede ser desde un equipo informático hasta una Corporación distribuidaen distintas regiones geográficas; puede definirse como el edificio que alberga a laempresa objetivo o como el Centro de Cómputos (CC) o Centro de Procesamiento deDatos (CPD) donde se encuentran los servidores.

Niveles que cubrirá el proyecto

Esto es, definir a qué nivel se hará al estudio para lograr el aseguramiento.

Como se definió en la introducción, el estudio se puede enfocar en alguno o todosestos niveles:

� Nivel físico;

� Nivel lógico;

� Nivel de la organización.

Hitos a cubrir en cada nivel:

Definir a alto nivel qué hitos se deberán cumplir a lo largo del proyecto.

Elementos fuera del Alcance

Ítems que se haya decidido dejar fuera del proyecto por diversos motivos;

Planificación del trabajo


30

Definición de las etapas o fases en que se desarrollará el proyecto, a nivel macro, sinentrar en detalle.

Entregables de cada etapa

El cliente debe ver el avance del proyecto a medida que transcurre el tiempo. Paraeso se define una serie de documentos o entregables de cada etapa del proyecto quereflejarán el trabajo hecho.

Consideraciones adicionales

Consideraciones que el ES crea necesarias para el proyecto.

1.2.2 Ejemplo - Alcance

El siguiente ejemplo pretende mostrar los objetivos planteados en un Alcancegenérico, que abarca parte de los elementos susceptibles de ser analizados:

Objetivo

Crear e implementar los controles y medidas necesarias para cumplir con el nivelmedio de seguridad, según los estándares de la empresa, en el corto plazo.

Participantes del proyecto

9 Responsable por la empresa objetivo:

Gerente del área de sistemas, Ing. Francisco López.

9 Recursos afectados al proyecto:

Project leader: ES

Recursos:

Carina Rodríguez

Pablo Benigno

Santiago Carpenari

Manuel Lopez

Cintia Kers

Definición del Entorno

Se define como entorno al Centro de Procesamiento de Datos (CPD) de la compañía.


31

Niveles que cubrirá el proyecto

¾ Nivel físico;

¾ Nivel lógico;

¾ Nivel de la organización.

Hitos a cubrir en cada nivel

¾ Alcance a nivel Físico:

9 Protección del edificio contra el acceso físico no autorizado;

9 Protección de las oficinas del sector de Cómputos contra el acceso físico no

autorizado;

9 Protección del hardware e instalaciones del sector de Cómputos y de Ventas

contra el acceso físico no autorizado;

9 Protección de la red de comunicaciones de toda la empresa contra el acceso

físico no autorizado;

▪ Protección de Cables;

▪ Protección de Servidores;

▪ Protección de la conexión gíreles.

¾ Alcance a nivel Lógico:

9 Protección de los datos del sector de Cómputos contra el acceso no

autorizado;

9 Protección de la integridad de los datos del sector de Cómputos;

9 Protección de las aplicaciones de toda la empresa contra el acceso no

autorizado;

9 Implantación de restricciones de uso de software

9 Implantación de un sistema de administración de usuarios y contraseñas;

¾ Alcance a nivel de la organización:

9 Elaboración de la Normativa de Seguridad de la empresa;

9 Revisión de la estructura de la organización en el sector de Cómputos;

9 Protección de las marcas de la empresa;

9 Capacitación de los empleados.


32

Elementos fuera del proyecto

Los elementos pendientes que no formarán parte de este proyecto de aseguramientodel entorno:

9 Regularización de la situación de las licencias de software;

9 Protección del hardware e instalaciones del sector de Diseño y Manufactura;

9 Implantación de medidas de prevención de catástrofes naturales:

▪ Incendios;

▪ Inundaciones;

▪ Cortocircuitos;

▪ Etc;

9 Elaboración de un Plan de Recuperación del Entorno ante Desastres.

Planificación del trabajo

¾ El proyecto se llevará a cabo en las siguientes etapas:

9 Relevamiento;

9 Planificación;

9 Implantación;

9 Estabilización;

9 Mantenimiento.

Entregables de cada etapa:

¾ Etapa 1:

9 Relevamiento general;

9 Relevamiento de usuario;

9 Mapa de vulnerabilidades;

9 Informe de Riesgos.

¾ Etapa 2:

9 Plan de Aseguramiento;

9 Documento de Administración de Backups;

9 Documento de Actualización de Software;

9 Mapa de Usuarios;

9 Tabla de Permisos sobre Activos Lógicos;


33

9 Test de viabilidad.

¾ Etapa 3:

9 Políticas de Seguridad, Normas, Procedimientos, Estándares Técnicos,

Manuales de Procedimiento;

9 Inventario de Activos;

9 ABM de Activos;

9 Presentaciones y comunicados a usuarios como medio de capacitación.

¾ Etapa 4:

9 Informe de Implantación;

9 Informe de cierre de la implantación.

¾ Etapa 5:

9 Registro de Incidencias.


Como documento inicial del proyecto el Alcance deberá ser aprobado por losresponsables del lado del cliente, previo consenso con el ES encargado de laelaboración del Plan de Aseguramiento del entorno informatizado objetivo.

1.4 Estimación de tiempos y costos.

Como en todo proyecto de IT, es necesario realizar una estimación del tiempo que sedeberá invertir y los recursos a asignar para culminar con éxito y en un tiempo finitoel proyecto de aseguramiento del entorno.

Para la estimación de tiempos no existe una fórmula que determine el tiempo quellevará cada tarea. La duración de las mismas depende de muchos factores:

� de la cantidad de recursos asignados;

� de la calidad de esos recursos;

� de la carga que se les pueda asignar a esos recursos;

� de la experiencia de los recursos humanos involucrados;


34

� del tamaño del entorno;

� de la complejidad del entorno;

� de la estabilidad económico-financiera de la empresa objetivo (pues el proyectopuede perder prioridad ante situaciones de crisis);

� del apoyo del nivel gerencial y la seriedad con que tomen el proyecto (puesmuchas decisiones surgirán a ese nivel, como la aprobación de la política deseguridad).

Es por eso que la experiencia le dará al ES la capacidad para medir el tiempo que lellevará hacer cada tarea según los parámetros antes mencionados.

La estimación de costos, por otro lado, es una variable fundamental a determinar, enla que la experiencia del ES se utiliza para la asignación de recursos, a partir de lacual se calculan los costos.

Para ello existen métodos, pero no es el fin de este trabajo entrar en detalle alrespecto.

En esta sección mencionaremos los costos que se deberán tener en cuenta a nivelgeneral. Como en todo este trabajo, se deja la responsabilidad al ES de bajar el nivelde análisis, para que, siguiendo esta Metodología para el Aseguramiento de EntornosInformatizados, llegue al punto de reflejar el caso en el que está trabajando.

Los costos que genera un proyecto de IT como éste se pueden categorizar en 3clases:

� costos capitales;

� costos recurrentes;

� costos no recurrentes.


Son los costos para adquirir, desarrollar, o instalar los principales bienes o activos.Un activo principal es una ventaja palpable que tiene una vida útil de más que un añoy se pretende continuar su uso con el tiempo.

Activos capitales estándar incluyen hardware de computadora (como computadoraspersonales e impresoras) y software comprado como un paquete o desarrollado apedido.

Los siguientes son algunos ejemplos de costos capitales:


35

� Equipos de procesamiento de datos:

o CPUs;

o Workstations;

o Laptops;

o Unidades de almacenamiento externo (Discos rígidos externos);

o Monitores;

o Impresoras;

o Scanners.

� Equipos de telecomunicaciones:

o Routers;

o Switches;

o Hubs;

o Modems;

o Servidores;

o Cableado de red.

� Software:

o Sistemas operativos;

o Aplicaciones;

o Software de comunicaciones;

o Utilitarios;

o Firewalls;

o IDSs.

� Otros:

o UPSs o SAIs;

o Generadores de energía eléctrica;

o Mueblería.


Los costos recurrentes son los costos que se presentan con regularidad.


36

En contraste con los costos capitales, los costos recurrentes deben ser tratados comosi fueran a ser pagados completamente al ser facturados.

Los costos recurrentes en general son costos operativos, en muchos casos fáciles dedefinir como alquileres de equipos y salarios. Otros son más difíciles de distinguir delos costos capitales, como por ejemplo la compra de hardware y software, quepueden ser tratados como costos capitales o recurrentes.

En el entorno de IT, los costos recurrentes son los siguientes:

� Salarios

Incluye los costos por todos los empleados involucrados directa o indirectamentecon el proyecto, encargados del manejo, el soporte y la administración delproyecto en todas sus fases.

� Contratos

Contratos a ser pagados regularmente durante la vida del entorno, como porejemplo:o Contratos de mantenimiento de hardware;

o Contratos de mantenimiento de software;

o Contratos de operación externa de IT (outsourcing).

� Hardware:

o Alquiler de equipos;

o Actualización de equipos;

o Mantenimiento interno.

� Software:

o Actualización de software;

o Licencias de software;

o Mantenimiento interno.

� Telecomunicaciones:

o Alquileres;

o Transmisión de datos;

o Mantenimiento.

� Recursos humanos:


37

o Salarios;

o Seguros;

o Capacitación;

o Provisiones;

o Viajes.

1.4.3 Costos No recurrentes

Los costos no recurrentes son los que se presentan una sola vez durante la vida delproyecto de seguridad. Aunque aparecen una vez, suelen ser los mayores costos delproyecto.

Por ejemplo, el costo de los empleados que se contratan para hacer tareas exclusivasen proyecto, y que luego de terminado se retiran sin participar en ningún otroproyecto, es un costo no recurrente.

� Salarios;

� Contratos;

� Estudios

� Análisis de requerimientos, diseño, performance, estudios de viabilidad, etc;

� Conversión de costos;

� Provisión de datos;

� Testing;

� Auditorías internas;

� Acondicionamiento del entorno;

� Costos incidentales;

� Entrenamiento;

� Viajes;

� Documentación.

Una vez estimados los tiempos y los costos a invertir en el proyecto, el ES está encondiciones de elaborar la propuesta de trabajo que contendrá el Plan de trabajo queespecifique las tareas y los recursos necesarios para desarrollarlas.



38

El paso siguiente a la elaboración del Alcance, y una vez aprobado por losresponsables, es la elaboración del Plan de Trabajo.

Este Plan de Trabajo no es más que la organización de las tareas a desarrollardurante la duración estimada del proyecto.

En todo plan se fijan objetivos o “hitos” a cumplir. Estos hitos están asociados a unaserie de tareas necesarias para lograr el objetivo, que tendrán un período asignado.Una buena práctica es fijar las fechas de inicio y fin de la tarea para que los períodosno se extiendan demasiado.

Cada subetapa del proyecto tendrá (o no) entregables, documentos o resultados paralos que se trabaja en el período asignado.

A su vez, el comienzo de una tarea puede depender del resultado de otras tareas,por lo que no podrá comenzar hasta que todas las tareas de las que depende hayanfinalizado.

Puede haber tareas que se solapen, cuyo resultado alimente otra tarea, etc.

Las posibilidades de dependencia son múltiples, por lo que es importante organizarlascon anticipación previendo posibles retrasos o inconvenientes.

El Plan de Trabajo deberá incluir, como mínimo:

� Nombre del proyecto;

� Duración total del proyecto;

� Períodos laborales;

� Hitos;

� Tareas;

� Fases;� Duración de las tareas;

� Fecha de Inicio del proyecto;

� Fecha de Inicio de cada tarea;

� Fecha de Fin del proyecto;

� Fecha de Fin de cada tarea;

� Recursos asignados por tarea;

� Solapamiento de tareas;

� Tareas predecesoras o tareas dependientes de otras;

� Entregables por hito;


39

� Entregables por tarea.

Ejemplo

Como ejemplo incluimos una imagen de un Plan de Trabajo de un proyecto denormativa de seguridad.

Este proyecto se desarrolla en dos semanas, y está compuesto de 17 tareas.

Id Task Name Duración

1 MAEI - Manual de Seguridad 10 días

2 Sondeo en sede central 3 días

3 Sondeo General 1 día

4 Política general de seguridad 2 días

5 Responsabilidades de seguridad 2 días

6 Clasificación y tratamiento de la información 2 días

7 Comunicaciones de redes de datos 2 días

8 Administración de usuarios y recursos 2 días

9 Protección ante virus informáticos 2 días

10 Protección física 2 días

11 Copiasde respaldo (backup) 2 días

12 Ambientes de procesamiento 2 días

13 Continuidad de procesamiento 2 días

14 Generación de registros de eventos 2 días

15 Sondeo en planta 1 día

16 Revisión documentación 1 día

17 Reunión de presentación con directores/gerente 1 día

18 Análisis documentación con directores/gerentes 3 días

19 Actualización de la documentación 3 días

20 Generación versión final 1 día

M M J V S D L M M J V S D L M M ay '04 23 may '04 30 may '04


40

2 RELEVAMIENTO

Contenido:

2.1 Elaboración del Relevamiento General

2.1.1 Relevamiento General


2.2.1 Relevamiento de Usuario

2.2.2 Asignación de puntaje

2.2.3 Aclaración sobre las preguntas

2.2.4 Resultados de la evaluación

2.2.5 Evaluación del entorno

2.2.5.1 Referencias al puntaje obtenido en el test por nivel

2.2.5.2 Configuraciones de resultados

2.3 Análisis de vulnerabilidades

2.3.1 Conocer al enemigo

2.3.2 Ejemplo – Atacantes

2.3.3 Las amenazas

2.3.4 Análisis de Vulnerabilidades

2.3.4.1 Aspectos funcionales

2.3.4.2 Análisis de la documentación

2.3.4.3 Análisis de las aplicaciones y equipos

2.3.4.3.1 Intento de Penetración

2.3.4.3.2 Herramientas de análisis de vulnerabilidades

2.3.5 Mapa de Vulnerabilidades

2.3.5.1 Vulnerabilidades a nivel físico

2.3.5.2 Vulnerabilidades a nivel lógico

2.3.5.3 Vulnerabilidades a nivel de la organización

2.4 Análisis de Riesgos

2.4.1 Informe de Riesgos

2.4.2 Ejemplo – Informe de Riesgos


41

2.1 Elaboración del Relevamiento General.

Para desarrollar un Plan de Aseguramiento, el ES debe conocer la empresa objetivo,su organización y sus procesos de negocio.

Sobre esta información se basará una serie de estudios que dependerá de muchos delos factores aquí relevados. Por ejemplo, para la correcta administración de losusuarios se deberá tener en cuenta si la empresa tiene procesos de manufactura osolamente administrativos, pues en estos dos ámbitos suelen ser muy distintos loscircuitos de autorización de alta de usuarios, etc.

Es por eso que aquí se propone una serie de puntos de control sobre los que sedeberá investigar, cuestionar y observar:

� El rubro de la empresa, y conocer sobre su negocio;

� La calidad de la sede en cuanto al manejo del negocio (Administrativa,productiva, comercial, etc);

� El tamaño de la empresa y su distribución física;

� Detalles sobre la infraestructura edilicia (cantidad de edificios, pisos u oficinas) ysu distribución física;

� Que exista una definición de funciones y estructura de comunicación en laempresa;

� Que exista un área de Seguridad Informática;

� Que existan roles adecuados para la supervisión de la seguridad de lasaplicaciones y equipos que existen en el entorno, y la realización de controles quegaranticen la autorización y el adecuado uso de los recursos;

� Organización de personal – jerarquías dentro de la empresa;

� Que exista un encargado de soporte para las aplicaciones y equipos tratados;

� La arquitectura de la red;

� La tecnología que maneja la empresa (hardware y software);


42

� Las aplicaciones específicas que apoyan al negocio;

� Analizar la existencia de documentación en relación a:

o Un marco normativo que defina la política de la empresa, y siente las basespara el desarrollo de procedimientos y estándares técnicos;

o Relaciones formales y conocidas por el personal, referidas a la documentaciónde carácter obligatorio y deseable que debe ser desarrollada y mantenida;

o Los requerimientos de tecnología, de procesamiento, de archivos y deinterfases para los usuarios.

Para verificar estos puntos de control el ES puede realizar las siguientes tareas:

� Revisar la documentación del proceso de negocio de la empresa objetivo con elfin de conocer su estructura y funcionamiento;

� Entrevistar a los responsables del nivel gerencial para obtener información sobreel manejo del negocio y sobre los aspectos críticos del mismo;

� Entrevistar a los responsables del nivel gerencial para obtener información sobreel manejo del negocio y los activos de información que los soportan;

� Obtener de los usuarios, información adicional sobre el entorno a relevar, talescomo:

o Satisfacción funcional de los requerimientos de información de los usuarios;

o Confianza de los usuarios en la información que manejan estos equipos yaplicaciones;

� Entrevistar al personal del Área de Sistemas a fin de identificar la documentaciónexistente y los procedimientos formales e informales relacionados con eldesarrollo, autorización y mantenimiento de la misma;

� Analizar la documentación existente en cuanto a estructura, niveles deaprobación, vigencia, contenido, publicación y distribución entre los involucrados;

� Identificar los componentes de hardware presentes en las instalaciones;

� Identificar los componentes de software de base;


43

� Entrevistar al personal de comunicaciones para comprender globalmente lasfacilidades de acceso a través de Internet y los mecanismos de seguridadimplantados para prevenir el acceso a dichas facilidades.

2.1.1 Relevamiento General

El sondeo propuesto en el Relevamiento General deberá documentarse como partede los entregables del proyecto de aseguramiento del entorno. Para esto se proponeel siguiente esquema que resume los puntos de control básicos a relevar:

� Rubro de la empresa

� Calidad de la sede

o Administrativa, productiva, comercial, etc;

� Negocio

o Descripción;

o Procesos de negocio;

o Productos;

o Servicios;

o Actividades rutinarias;

o Actividades extraordinarias;

o Actividades excepcionales.

� Dependencia:

o Es una empresa con presencia multinacional?

o El negocio se ve afectado por la actividad de la empresa en otros países?

o El negocio se ve afectado por la actividad de la empresa en otras provincias?

o El negocio se ve afectado por la actividad de la empresa en otras ciudades?

o El negocio se ve afectado por la actividad de la empresa en otros edificios?

� Si es multinacional:

o Se trata de una sede o de la corporación?

o Cantidad de países donde opera;

o Listado de países donde opera.

� Información edilicia:


44

o Cantidad de edificios;

o Cantidad de pisos por edificio;

o Cantidad total de pisos;

o Cantidad de oficinas por piso;

o Cantidad total de oficinas.

� Red

o Arquitectura física;

o Arquitectura lógica;

o Protocolos;

o Cableado.

� Hardware

o Tipos de maquinarias (mainframes, terminales, PCs);

o Cantidad de equipos por tipo;

o Elementos de Red (switches, routers, hubs, etc.);

o Cantidad de elementos de red;

o Telefonía (centrales telefónicas, teléfonos);

o Cantidad de teléfonos;

o Otros elementos (UPSs, impresoras, scaners, etc.);

o Cantidad de elementos por tipo.

� Software

o Sistemas Operativos;

o Utilitarios;

o Bases de datos;

o Software de gestión;

o Otros;

o Cantidad de licencias.

� Personal

o Jerarquía;

o Cantidad de áreas;

o Cantidad de sectores;

o Personal: Contabilización por puesto (gerentes, administrativos, usuarios, nousuarios, externos).


45

� Administración

o ¿Existe un área de desarrollo de software?

o ¿Existe un área de control de calidad de software?

o ¿Existe de un área de Seguridad Informática?

o ¿De quién es la responsabilidad de la administración de los equipos (de lacorporación, del país, de la sucursal, del sector)?

o ¿Cuántas personas abarca?

o ¿De quién es la responsabilidad de la operación de los equipos ((de lacorporación, del país, de la sucursal, del sector)?

o ¿Cuántas personas abarca?


En esta etapa del relevamiento el ES realiza una investigación sobre el entornoobjetivo con el fin de obtener un panorama de la situación actual y conocer su formade funcionamiento, y detectar, a grandes rasgos, fuentes de debilidades para luegorealizar un estudio profundo enfocado en los puntos hallados, en la etapa llamadaAnálisis de Vulnerabilidades.

En este análisis, el ES verificará los siguientes objetivos de control:

� Que se haya definido y documentado un modelo de administración de laseguridad;

� Que existan estándares y procedimientos de trabajo definidos para todas lastareas del área;

� Que el circuito de trabajo responda a criterios de seguridad, eficiencia yproductividad;

� Que exista un perímetro de seguridad para los equipos de procesamiento crítico;

� Que se apliquen medidas de seguridad física en el entorno de trabajo de losusuarios finales;

� Que los equipos informáticos sean utilizados sólo con fines autorizados ysiguiendo los procedimientos establecidos;

� Que existan procedimientos de control para la utilización de los recursos;


46

� Que exista un encargado de soporte del mantenimiento para las aplicacionesanalizadas;

� Que los usuarios tienen conciencia de los problemas de seguridad informática yestán informados acerca de los riesgos existentes;

� Que existen adecuados procedimientos manuales o automatizados de control decambios a los programas y de toma de nuevos requerimientos de usuarios;

� Que existen acuerdos de confidencialidad firmados por los usuarios para elmanejo de la información que tratan los sistemas;

� Que exista un marco normativo que defina la política de la empresa, y siente lasbases para el desarrollo de procedimientos y estándares técnicos;

� Que existan relaciones formales y conocidas por el personal, referidas a ladocumentación de carácter obligatorio y deseable que debe ser desarrollada ymantenida;

� Que exista documentación de usuario que especifique los requerimientos detecnología, de procesamiento, de archivos y de interfases;

� Que se encuentre implantado adecuadamente un ambiente general de control deaccesos propio de las aplicaciones y recursos a efectos de prevenir el uso noautorizado de funciones interactivas, tanto desde conexiones desde la red internacomo desde Internet.

Para verificar estos puntos de control el ES y su equipo de trabajo puede realizar lassiguientes tareas:

� Entrevistar a los usuarios a fin de obtener información sobre el entorno a relevar,en los siguientes aspectos:

o Físico;

o Lógico;

o De la organización.

Para ello el ES explicará a los usuarios el objetivo de la charla, y dará todo eldetalle necesario para que las respuestas de los mismos sean válidas.

� Entrevistar a ciertos usuarios finales a efectos de verificar:


47

o Cuán involucrados están con la seguridad en el entorno donde trabajan;

o Cómo reaccionan ante incidencias de seguridad y cómo realizan solicitudes decambios;

o Si conocen el marco normativo que define la política de la empresa.

En estas entrevistas, se sugiere realizar un test en cada uno de los diferentesdepartamentos de la organización, y, dentro de estos, en los distintos sectores.

Este test tiene por fin obtener una medida de lo expuesto que se encuentra elambiente a vulnerabilidades, fallas en la cultura de trabajo, vicios en la organización,el nivel de información que manejan los empleados y su nivel de conciencia respectode la seguridad, etc. O sea, una medida general de lo expuesto que se encuentra elsistema a los ataques informáticos por nivel.

Esto servirá como introducción al ES para la construcción del Mapa deVulnerabilidades y para fijar los objetivos del Plan de Aseguramiento del sistema.

El siguiente esquema pretende mostrar las principales puertas de ataques que sedeben proteger, y evaluar, en un entorno informatizado:

Una vez recompilada como mínimo esta información, la Metodología AEI prevé laintervención del usuario como fuente de conocimiento del ES.

A continuación se especifica el documento formal que materializa la intervencióndirecta del usuario como referente de las características del entorno en estudio.


48

El Relevamiento de Usuario consiste en una serie de preguntas separadas en tresmódulos por nivel. Los módulos corresponden a los niveles físico, lógico y de laorganización respectivamente.

El Experto en Seguridad, evaluará la criticidad de cada punto asignando un valorsegún la respuesta obtenida.

2.2.1 Relevamiento de Usuario

AREA:

SECTOR:

CPU:

EMPLEADO:

ANTIGÜEDAD:

Nº NIVEL SÍ NO PUNTOS

NIVEL FÍSICO

1 ¿El espacio es compartido? (oficina propia, box del sector, común)

2 ¿Hay otros sectores de la empresa en el mismo piso?

3 ¿Se accede a esta Workstation con llave propia del sector?

4 ¿Existe algún circuito de circulación abierto hasta esta Workstation?

5 ¿Está cerca de alguna puerta?

6 ¿Está cerca de algún pasillo?

7 ¿Está cerca de alguna ventana?

8 ¿Guarda la documentación impresa o magnética bajo llave propia?

9¿Guarda la documentación impresa o magnética bajo llave común alsector?

10 ¿Maneja algún tipo de codificación para la rotulación de diskettes, cintas,CDs, etc?

11 ¿Posee conexión física a una LAN?

12 ¿Posee conexión física a una WAN?

13 ¿Tiene acceso a Internet?

14 ¿Hay cables al descubierto?

15 ¿Usa esta Workstation otro usuario regularmente?

16¿Trabaja con servidores de uso exclusivo de su sector o son compartidospor más de un sector ( por ejemplo Desarrollo y Prueba)?


49

Nº NIVEL SÍ NO PUNTOS

SUBTOTAL NIVEL FÍSICO

NIVEL LÓGICO

17 ¿Posee conexión permanente a Internet?

18 ¿Posee IP fija?

19 ¿Se puede acceder en forma remota a esta Workstation?

20 ¿Tiene acceso solamente a los recursos que necesita para trabajar?

21 ¿Lo ven desde la LAN sólo los que lo necesitan ver?

22 ¿Posee documentación de las aplicaciones que utiliza?

23 ¿Hay más usuarios configurados de los que realmente usan la workstation?

24 ¿Usa un SO monousuario?

25 ¿Es usuario experto de su SO?

26 ¿Usa la misma contraseña para más de un sistema?

27 ¿Cambia las contraseñas con regularidad?

28 ¿realiza copias de respaldo de su información personal sensible?

29 ¿Posee carpetas compartidas en esta PC?

30 ¿Usa el antivirus regularmente para revisar archivos peligrosos?

SUBTOTAL NIVEL LÓGICO

NIVEL DE LA ORGANIZACIÓN

31 ¿Existe una persona encargada de administrar la seguridad?

32 ¿Existen Normas o procedimientos de seguridad?

33 ¿Existe algún procedimiento para solicitar nuevos requerimientos?

34 ¿Procesa información que es confidencial para gente del mismodepartamento?

35 ¿Intercambia datos/información con otros departamentos?

36 ¿Intercambia datos/información con otras empresas?

37 ¿Trabajan terceros en su piso?

38 ¿Cuando ocurre un incidente, informa a alguien?

39 ¿Cómo informa los nuevos requerimientos?

40 ¿Ha firmado algún acuerdo de confidencialidad?

SUBTOTAL NIVEL DE LA ORGANIZACIÓN

TOTAL

2.2.2 Asignación de puntaje

Para la asignación del puntaje se siguió el criterio adoptado por la empresa InternetSecurity Systems [iss.net], experta en seguridad, considerado adecuado para elestudio que se lleva a cabo en este Relevamiento.


50

Se definen los valores posibles y su significado como sigue:

� 0: No representa amenaza alguna;

� 1: Amenaza leve;

� 2: Gran amenaza al sistema.

Para medir la criticidad se utiliza el siguiente criterio:

� No representa amenaza alguna:

Si están presentes elementos que provean información que no es del sistema quepueda ser usada para efectuar ataques estructurados en un objetivo, pero que nootorgan acceso autorizado directamente.

Por ejemplo:

o Ataques por fuerza bruta;

o Descubrimiento de información que no es del sistema (datos sueltos,información pública).

� Amenaza leve:

Si existen eventos que tengan el potencial de otorgar acceso o permitir ejecuciónde código por medio de procedimientos largos o complejos, o elementos de bajoriesgo aplicados a componentes importantes.

Por ejemplo:

o Ataques de hombre en el medio (ver “Man in the middle attack” en[Stallings1999]);

o Negación de servicio de elementos no críticos;

o Descubrimiento de información privada (pero no confidencial, por ejemploinformación de uso interno).

� Gran amenaza al sistema:

Si existen elementos que permiten acceso local o remoto inmediato, o laejecución de código o comandos con privilegios desautorizados, o la negación deservicios.

Por ejemplo:

o Overflow de buffers;

o Scripting a través de sitios (ejecución de algoritmos malintencionados a travésde la web);

o Denegación de servicios de elementos críticos;


51

o Backdors;

o Contraseñas por default o contraseñas en blanco;

o Salteo de la seguridad en firewalls y otros componentes de red.

2.2.3 Aclaración sobre las preguntas

2.2.3.1 Nivel Físico

1- ¿El espacio es compartido (oficina propia, box del sector, común)?

La pregunta apunta a ver si la Workstation en estudio está aislada físicamente deotras, o está ubicada en un sector compartido, como un box de trabajo o un lugarabierto.

2- ¿Hay otros sectores de la empresa en el mismo piso?

La pregunta apunta a si el espacio físico es ocupado por personas de distintossectores.

3- ¿Se accede a esta Workstation con llave propia del sector?

Se refiere a si la Workstation en estudio está ubicada en un lugar físico al que seaccede con llave u otro mecanismo de seguridad propio del sector de trabajo, y no daacceso a otros sectores.

4- ¿Existe algún circuito de circulación abierto hasta esta Workstation?

Se apunta a verificar si existe un camino inseguro a la Workstation como podría serun pasillo que da a una salida no asegurada. Un ejemplo típico es la PC de trabajo deuna recepcionista que está al alcance del público.

5- ¿Está cerca de alguna puerta?

Con CERCA se hace referencia a “pocos metros”.

6- ¿Está cerca de algún pasillo?


7- ¿Está cerca de alguna ventana?


8- ¿Guarda la documentación impresa o magnética bajo llave propia?


52

Por ejemplo en un armario de uso particular.

9- ¿Guarda la documentación impresa o magnética bajo llave común al sector?

Por ejemplo en un armario de uso común de todo el sector.

10- ¿Maneja algún tipo de codificación para la rotulación de diskettes, cintas, CDs,etc?

La pregunta apunta a verificar si se utiliza alguna técnica preestablecida paranomenclar dispositivos de almacenamiento, o simplemente se rotulan con nombreslegítimos.

Un ejemplo de nombre legítimo podría ser: back05122002.tar que indica claramenteque ese dispositivo contiene un archivo de backup del día 5 de diciembre del 2002.

Un ejemplo de codificación podría ser CDC640 que tiene significado solamente paralas personas concernientes.

11- ¿Posee conexión a una LAN?

Se le debe preguntar al usuario si está conectado a la red local.

12- ¿Posee conexión a una WAN?

Se le pregunta al usuario si en su red existen equipos ubicados físicamente en otroedificio.

13- ¿Tiene acceso a Internet?

La pregunta apunta a verificar si el usuario tiene acceso a Internet.

14- ¿Hay cables al descubierto?

La pregunta apunta a verificar si el cableado está protegido, por ejemplo, con tuboscobertores e se encuentran subterráneos, o simplemente se expanden a la vista.

15- ¿Usa esta Workstation otro usuario regularmente?

Esta pregunta apunta a verificar si la Workstation es compartida por distintosusuarios. Esto suele darse en situaciones donde los empleados trabajen part-time osimplemente se requiera de monitorización continua durante las 24 hs.

16- ¿Trabaja con servidores de uso exclusivo de su sector o son compartidos por másde un sector?

Por ejemplo, si trabajan los sectores de Desarrollo y Prueba con un mismo servidor.


53

2.2.3.2 Nivel Lógico

17- ¿Posee conexión permanente a Internet?

Por ejemplo ADSL, Cablemodem, etc.

18- ¿Posee IP fija?

Esta pregunta apunta a conocer cómo se hace la administración de las direcciones dered, que afectará en la definición de un blanco identificable o no. (Algunos ataquesinternos tienen como objetivo la penetración de las barreras de seguridad de ciertosequipos en particular. La IP fija facilita la identificación de máquinas para este fin.)

Si el usuario no sabe si su IP es fija o variable, el ES puede solicitarle realizar laverifiación.

19- ¿Se puede acceder en forma remota a esta Workstation?

Por ejemplo a través de conexiones TELNET, o haciendo un REMOTE LOGON.

20- ¿Tiene acceso solamente a los recursos que necesita para trabajar?

La pregunta apunta a verificar si desde la Workstation se puede acceder a sectoresde al LAN que no son necesarios para realizar el trabajo, apuntando al principio de“otorgar solo los privilegios mínimos y necesarios para la realización del trabajo”

21- ¿Lo ven desde la LAN sólo los que lo necesitan ver?

Para verificar si sectores no autorizados tienen acceso a esta terminal.

22- ¿Posee documentación de las aplicaciones que utiliza?

Esta pregunta apunta a chequear si los usuarios poseen documentación suficiente (yadecuada) para el uso de los aplicativos de trabajo (por ejemplo manuales deusuario, manuales técnicos de los proveedores, etc.).

23- ¿Hay más usuarios configurados de los que realmente usan la workstation?

Esta pregunta apunta a verificar si existen configurados usuarios que no sonestrictamente necesarios. Por ejemplo en algunos sistemas operativos como ciertasdistribuciones de Linux se instala el sistema con un conjunto de usuarios por defaultde los cuales algunos no son utilizados.

En otros casos puede ocurrir que un empleado deje la organización pero quedeconfigurado el usuario en el sistema.

24- ¿Usa un SO monousuario?


54

Por ejemplo DOS o Windows 95, Windows 98, Windows Millenium, etc.

25- ¿Es usuario experto de su SO?

Apunta a verificar si el usuario es capaz de realizar tareas de administración delsistema, por ejemplo, configurar un firewall, verificar opciones de seguridad, ymanejar el file system en forma adecuada.

26- ¿Usa la misma contraseña para más de un sistema?

Por ejemplo, si el usuario utiliza la misma contraseña para ingresar al sistemaoperativo y para el programa de correo.

27- ¿Cambia las contraseñas con regularidad?

REGULARIDAD se podría llegar a considerar hasta un mes.

28- ¿Realiza copias de respaldo de su información personal sensible?

La realización de las copias de respaldo o backup es responsabilidad deladministrador de la red y del operador responsable. Sin embargo, La informaciónpersonal guardada localmente en las estaciones de trabajo no es resguardada, siendoésta responsabilidad del usuario.

29- ¿Posee carpetas compartidas en esta PC?

Se refiere a las carpetas que pueden ser accedidas por otros usuarios desde otrasworkstations.

30- ¿Usa el antivirus regularmente para revisar archivos peligrosos?

Se consideran ARCHIVOS PELIGROSOS los de origen incierto, o los transportados enmedios magnéticos como diskettes, cintas, etc.

Esta pregunta apunta a ver si el usuario realiza controles especiales en situacionesparticulares, por ejemplo cuando trabaja con dispositivos extraíbles, en los que no serealiza un análisis de antivirus automático.

2.2.3.3 Nivel De La Organización

31- ¿Existe una persona encargada de administrar la seguridad?

32- ¿Existen Normas o procedimientos de seguridad?

La pregunta apunta a descubrir si el usuario está informado de la existencia de unmarco normativo de seguridad.


55

33- ¿Existe algún procedimiento para solicitar nuevos requerimientos?

Esta pregunta apunta a verificar si el usuario conoce los procedimientos formales desolicitud de nuevos requerimientos, y si efectivamente estos procedimientos existen.

34- ¿Procesa información que es confidencial para gente del mismo piso?

Esta pregunta pretende verificar si en esta Workstation se procesa información quees confidencial para personas que comparten el mismo espacio físico.

35- ¿Intercambia datos/información con otros departamentos?

Esta pregunta pretende descubrir la interrelación entre departamentos, y laexistencia de flujo de información entre ellos.

36- ¿Intercambia datos/información con otras empresas?

Esta pregunta pretende descubrir la interrelación entre los empleados de la empresacon externos, y la existencia de flujo de información entre ellos.

37- ¿Trabajan terceros en su piso?

Se refiere a si trabajan personas subcontratadas o externas a la empresa en elmismo sector físico.

38- ¿Cuando ocurre un incidente, informa a alguien o trata de manejarlo solo?

Por ejemplo: cuando sucede una anomalía en el software el usuario llama a untécnico de sistemas para que vea lo sucedido?

39- ¿Cómo informa los nuevos requerimientos?

La pregunta apunta a descubrir si existe un procedimiento de control de cambios yreporte de requerimientos de usuario.

40- ¿Ha firmado algún acuerdo de confidencialidad?

La pregunta apunta a determinar si el usuario tienen conciencia de la criticidad de lainformación que maneja, y si se ha realizado alguna vez una clasificación de lainformación de la organización.

2.2.4 Resultados de la evaluación

Según la cantidad de puntos obtenidos en cada nivel se establece la calificación delentorno en cuanto a seguridad informática:

Nivel físico:


56

� De 0 a 6 puntos: Seguro/protegido;

� De 7 a 16 puntos: Medianamente vulnerable;

� De 17 a 32 puntos: Altamente vulnerable.

Nivel lógico:




Nivel de la organización:




2.2.5 Evaluación del entorno

2.2.5.1 Referencias al puntaje obtenido en el test por nivel:

� 0: Seguro/protegido;

� 1: Medianamente vulnerable;

� 2: Altamente vulnerable;

� x: 0 o 1.

2.2.5.2 Configuraciones de resultados:

� 000: Entorno seguro.

� 001, 010, 001, 011, 110, 101, 111: Entorno medianamente vulnerable.Asegurable a corto plazo;

� xx2,x2x, xx2: Entorno altamente vulnerable. Asegurable de mediano a cortoplazo;

� x22, 22x, 2x2: Entorno altamente vulnerable. Asegurable a mediano/ largoplazo;


57

� 222: Entorno altamente vulnerable. Requiere una planificación completa a largoplazo.

2.3 Análisis de vulnerabilidades.

Esta etapa comprende la determinación de las amenazas que enfrenta el entornorespecto de la seguridad de la información.

Los datos almacenados en los servidores de la red, los almacenados en cada estaciónde trabajo, los equipos e instalaciones, las aplicaciones, los documentos y todomensaje (pulso eléctrico, sonido, luz, etc), corren riesgos reales, potenciales ylatentes a cada instante.

Estos mensajes, datos, activos deben cumplir su función conservando los tres pilaresde la seguridad intactos:

� Integridad: que se proteja la exactitud y totalidad de los datos y los métodosde procesamiento;

� Confidencialidad: que la información sea accesible sólo a las personasautorizadas;

� Disponibilidad: que los usuarios autorizados tengan acceso a la información y alos recursos cuando los necesiten.

“Una vulnerabilidad es cualquier situación que pueda desembocar en un problema deseguridad” asegura [Huerta].

Se le llama amenaza a todo acontecimiento, persona, u ente capaz de hacerprovecho de una vulnerabilidad para producir daño, modificación o escucha indebidade información, atentando contra al menos una de estas características.

Las vulnerabilidades pueden generar amenazas en el entorno en estudio: si sonconocidas por un atacante, pueden causar la pérdida de alguna de las característicasdeseables de la información, antes mencionadas.

2.3.1 Conocer al enemigo

Es muy importante conocer el entorno en estudio para predecir el tipo de atacanteque puede atraer.


58

Según las características del entorno, se estará expuesto a un abanico de atacantesmás o menos peligroso, y más o menos experto.

Como un perro es atraído por un hueso, y un ladrón de guantes blancos es atraídopor un diamante, en informática, los usuarios inexpertos son atraídos por entornosinseguros (como una computadora hogareña conectada a Internet), mientras que losintrusos más hábiles se ven seducidos por ambientes confidenciales y protegidos(como organismos militares y de investigación).

Es por eso que el ES debe analizar qué tipo de entorno maneja para predecir a quétipo de ataques probablemente se deberá enfrentar.

2.3.2 Ejemplo – Atacantes

A continuación enumeramos algunos entornos comunes y sus enemigos másconocidos:

� Los entornos de investigación como universidades y laboratorios suelen serboicoteados por los propios alumnos e investigadores, y rara vez por el personal,y más ocasionalmente por extraños;

� Los organismos militares suelen ser investigados por la competencia (organismosmilitares y de inteligencia de países enemigos) principalmente con el fin deobtener información;

� La confidencialidad de los datos es la característica más preciada en estosentornos;

� Las instituciones políticas y gubernamentales suelen ser carnada para pares de lacompetencia, como partidos opositores y gremios;

� Los entornos personales suelen ser atacados por intrusos desconocidos al azar(no se hacen ataques personales) que simplemente sienten satisfacción tomandocontrol de máquinas ajenas o provocando daños, pero en general estos ataquesno apuntan a una obtención de información, sino a la negación de servicios opérdida de información;

� Las instituciones bancarias son blanco de atacantes codiciosos que pretenden, engeneral, malversar los datos para obtener beneficios económicos;

� En este tipo de entornos la característica que se desea preservar es la integridadde los datos;


59

� En los entornos comerciales los ataques apuntan a la negación de servicios, engeneral son perpetrados por los propios empleados de la compañía;

� Aquí la característica más valiosa es la disponibilidad de recursos y servicios, yaque una negación de servicios suele impactar fuertemente en los negocios.

2.3.3 Las amenazas

Las amenazas más comunes a los entornos informatizados son:

� La falta de protección física del entorno:

Las instalaciones, los equipos y documentos pueden estar expuestos a catástrofesnaturales, a hurto, o destrucción por falta de protección o mala disposición físicade los elementos.

� La mala administración de proyectos:

La mala planificación, la escasa separación de tareas y definición de rolesdisminuye la calidad del producto de software, provoca la disconformidad de losusuarios y una escasa documentación de las distintas etapas del desarrollo. Lafalta de control y capacitación de los programadores hace que se genere códigoinseguro a partir de la programación descuidada de rutinas.

� Una inadecuada separación de ambientes:

Genera riesgos de integridad y coherencia de los datos además de la inestabilidaddel sistema productivo con la consecuente falta de disponibilidad de los recursos.

� Los errores en la administración del entorno:

Una mala administración abre puertas a los intrusos. Es fundamental detectar ycorregir estas situaciones.

� El diseño inseguro:

En el diseño de las aplicaciones, de las redes, de los CPDs. se subestima laimplantación de medidas de control de acceso, de separación de funciones ytareas.

� Los defectos funcionales en las aplicaciones:

La falta de flexibilidad en la administración y la mala separación en módulos,entre otros factores que se discutirán luego, hacen a las aplicaciones mássusceptibles a ataques.


60

� Las amenazas lógicas programadas:

Muchos ataques lógicos son perpetrados por intrusos que aprovechan errores enlas aplicaciones y sistemas para realizar actos destructivos o delictivos como eldaño de dispositivos o la escucha desautorizada de información.

Uno de los mayores puntos débiles de las organizaciones son estos “bugs”informáticos y la falta de protección lógica de los datos. Por eso es muyimportante estar al tanto de ello, y llevar una frecuente actualización con losparches otorgados por los fabricantes de software.

� Una incompleta protección lógica:

La mala configuración de los servidores donde residen las aplicaciones, delsistema operativo, de las bases de datos y de las interfases con las que seconectan genera errores y riesgos importantes.

� La ausencia de control de incidencias:

El control de incidencias permite generar una base de conocimiento para elmanejo de situaciones de riesgo y prevenir nuevos ataques. La falta de control yadministración de incidencias hace que el conocimiento de las amenazasdetectadas se pierda y que se atrasen los tiempos de solución por la falta decircuitos de asignación de responsabilidades sobre el tratamiento de los casos.

� La falta de una normativa de seguridad:

También la falta de una completa normativa procedimental y técnica, y una malaconducta y cultura de trabajo, producen descuidos o errores no forzados por losusuarios.

� Las personas:

El acceso de personas no autorizadas implica la vulnerabilidad del sistema antehurtos, acceso indebido, pérdida de confidencialidad de los datos y todo tipo deescucha no autorizada de información, con sus respectivas consecuencias.

Estos factores y muchos otros más, hacen que muchas vulnerabilidades de losentornos informatizados tengan origen en el mal uso del sistema por parte de losusuarios.

Es fundamental detectar y conocer las vulnerabilidades del entorno informatizado enel que se está trabajando para poder establecer el camino a seguir que lleve a unaseguramiento efectivo.


61

A continuación se propone un documento que refleja la identificación de laspotenciales vulnerabilidades del entorno en estudio. Lo llamaremos Mapa deVulnerabilidades.

Este modelo contendrá la especificación, por nivel (físico, lógico y de la organización)de las amenazas latentes y las probables.

2.3.4 Análisis de Vulnerabilidades

En esta etapa se analizan las fallas de seguridad en el entorno según los estándaresinternacionales referenciados en la bibliografía de este trabajo.

Se considera una vulnerabilidad a toda diferencia entre los parámetros deseadosrecomendados por dichos estándares y las mejores prácticas profesionales en cuantoa Seguridad Informática.

Los objetivos de control considerados, según [IRAM/ISO/IEC17799], [BS7799],[Cobit], [MRSA-ISACA], [AAW-ISI], [OSSTMM-ISECOM] y [AACF-ROBOTA] son lossiguientes:

2.3.4.1 Aspectos funcionales

� Que exista una adecuada definición de funciones y estructura de comunicación enel área;

� Que las tareas incompatibles sean adecuadamente segregadas;

� Que existan licencias de uso del producto para cada recurso / usuario;

� Que las aplicaciones activas en el entorno contribuyan a perseguir los objetivosdel negocio;

� Que se haya definido y documentado un modelo de administración de laseguridad;

� Que existan estándares y procedimientos de trabajo definidos para todas lastareas del área;

� Que el circuito de trabajo responda a criterios de seguridad, eficiencia yproductividad;


62

� Que los procedimientos adoptados estén de acuerdo con normas estándares en lamateria;

� Que estén definidos y se encuentren documentados para cada puesto delorganigrama perfiles de usuario modelo a los cuales se les asocian lasidentificaciones individuales de cada persona;

� Que los equipos informáticos sean utilizados sólo con fines autorizados ysiguiendo los procedimientos establecidos;

� Que todo procesamiento esté debidamente autorizado por los responsablescorrespondientes;

� Que existan procedimientos de control de los resultados que surgen delprocesamiento en los equipos;

� Que existan estándares definidos a seguirse para la realización de pruebas de losdesarrollos y/o mantenimientos, que contemplen:

o La realización de pruebas de detalle por parte de personal de sistemas antesde ser probados por personal de las áreas usuarias;

o La realización, por parte de personal de las áreas usuarias, de la definición delos casos, ejecución de las pruebas, análisis de los resultados, interfases,corridas mensuales y anuales, etc. antes de la implantación;

o La forma de documentación de la participación y validación de los resultadosde las pruebas;

o Los requerimientos en cuanto a niveles de autorización para su implantaciónen el ambiente productivo;

o El procedimiento de implantación en producción.

� Que el acceso a la documentación de los sistemas de aplicación de producciónsólo se permita a personal autorizado;

� Que exista un encargado de soporte del mantenimiento para las aplicacionesanalizadas;


63

� Que existen adecuados procedimientos manuales o automatizados de control decambios a los programas;

� Que existen cláusulas de confidencialidad en los contratos con los proveedores desoftware y/o terceros que trabajen en las aplicaciones.

Este análisis permitirá visualizar el nivel de adhesión que tiene la estructura delproceso a los estándares metodológicos que se tengan establecidos para el desarrolloy mantenimiento, así como para la documentación de las etapas del proceso. Ademásse podrán establecer los criterios que fueron utilizados para definir y establecer lascaracterísticas de los controles internos y las validaciones. El análisis funcionalpermite visualizar las distintas etapas que se suceden en el proceso, así comotambién identificar etapas de alto, medio y bajo riesgo.

Para verificar estos puntos de control el ES y su equipo de trabajo puede realizar lassiguientes tareas:

� Revisar la documentación del proceso de negocio de la empresa objetivo con elfin de conocer su estructura y funcionamiento;

� Entrevistar a los analistas/programadores/técnicos responsables delmantenimiento de las aplicaciones y equipos y comparar el procedimiento quecada uno está aplicando;

� Entrevistar a los analistas/programadores responsables deldesarrollo/mantenimiento de las aplicaciones así como al personal usuario, aefectos de obtener una visión global del mismo, tanto en su fase manual comoautomática;

� Entrevistar a los analistas/programadores/técnicos responsables deldesarrollo/mantenimiento de las aplicaciones y equipos para validar la adecuadaconcientización del personal a fin de cumplir con la documentación vigente;

� Obtener de los usuarios y de los analistas, información adicional sobre el entornoa relevar, tal como:

o Satisfacción funcional de los requerimientos de información de los usuarios;

o Tiempos de procesamiento y de generación de salidas;

o Experiencias anteriores sobre procesamiento de errores;

o Confianza de los usuarios en la información que manejan estos equipos yaplicaciones.

Para ello se pueden distribuir encuestas de evaluación del funcionamiento delas aplicaciones y equipos entre personal del área de sistemas y de sectoresusuarios.


64

� Obtener información sobre trazas de auditoría, históricos de archivos generadospor los sistemas y procedimientos de emergencia, de reenganche y deprocesamiento alternativo disponible;

� Conocer los procesos y funciones de administración de las bases de datos y de“back-up” de archivos y programas (fuentes y ejecutables) de cada una de lasaplicaciones;

� Entrevistar a ciertos usuarios finales, elegidos al azar, a efectos de verificar cuáninvolucrados están con las distintas fases de desarrollo/mantenimiento desistemas (diseño, desarrollo, prueba y aceptación). Además, se obtendrá de losusuarios finales la siguiente información:

o Nivel de participación con relación a la calidad de los servicios;

o Problemas detectados durante el último año;

o Asignaciones incorrectas de acceso a los archivos de datos y a lastransacciones de las aplicaciones on-line.

� Relevar y probar los procedimientos de administración, control, control de loscambios efectuados a las aplicaciones e identificar a los responsables de llevar acabo los mismos;

� Identificar y entrevistar al personal responsable de implantar cambios, de realizarcontroles sobre las incidencias que involucren las aplicaciones, para verificar quese cumpla con los procedimientos vigentes;

� Solicitar (en caso de existir) y analizar el log utilizado para priorizar y monitorizarla recepción y progreso de los cambios de sistemas;

� Solicitar y analizar muestras de documentos relacionados con modificaciones delos programas:

o Documentos aprobados por los supervisores de desarrollo autorizando lapuesta en producción de los programas modificados;

o Documentos que demuestren que los usuarios finales han aprobado losdesarrollos/modificaciones efectuados antes de migrar los nuevos programasal área de producción;

o Formularios o memorándums que formalmente comuniquen el orden deejecución de los programas modificados (Job step) al área de operaciones;

� Identificar una muestra de requerimientos de cambios a las aplicacionesrelevadas en el log requerido y verificar que para cada uno de ellos se hayacumplimentado adecuadamente el procedimiento de modificación de programas ycatalogación en producción, con su respectivo control.


65

2.3.4.2 Análisis de la documentación

En relación a la documentación, los objetivos de control que se deben verificar sonlos siguientes:

� Que exista un marco normativo que defina la política de la empresa, y siente lasbases para el desarrollo de procedimientos y estándares técnicos;

� Que existan relaciones formales y conocidas por el personal, referidas a ladocumentación de carácter obligatorio y deseable que debe ser desarrollada ymantenida;

� Que se cumpla con las definiciones formales e informales relacionadas aldesarrollo, mantenimiento y cadenas de autorización referidos a ladocumentación;

� Que se encuentren implantados métodos efectivos de distribución y comunicaciónentre los involucrados;

� Que los procesos tecnológicos estén alineados con las normas establecidas, ysean adecuados;

� Que los procedimientos alcancen los niveles de servicio perseguidos por laempresa;

� Que exista documentación de usuario que especifique los requerimientos detecnología, de procesamiento, de archivos y de interfases;

� Que exista un procedimiento formal para realizar el control de cambios, nivelesde revisión, autorización y publicación.

Para analizar si el entorno objetivo cumple con estos objetivos, se pueden llevar acabo las siguientes tareas:

� Entrevistar al personal del Área de Sistemas a fin de identificar la documentaciónexistente y los procedimientos formales e informales relacionados con eldesarrollo, autorización y mantenimiento de la misma;

� Analizar la documentación existente en cuanto a estructura, niveles deaprobación, vigencia, contenido, publicación y distribución entre los involucrados;


66

� Evaluar los niveles de cumplimiento de los procedimientos existentes;

� Seleccionar un grupo de personas para evaluar el nivel de conocimiento yutilización de la documentación existente;

� Identificar los puntos débiles de la documentación y procedimientos existentes.

2.3.4.3 Análisis de las aplicaciones y equipos

Los objetivos de control que debe verificar el ES en este aspecto son los siguientes:

� Que existan roles adecuados para la supervisión de la seguridad de lasaplicaciones y equipos que existen en el entorno, y la realización de controles quegaranticen la autorización y el adecuado uso de los recursos;

� Que se encuentre implantado adecuadamente un control de accesos a la red dedatos y sus equipos que eviten el uso no autorizado de los recursos, eldescubrimiento y divulgación de información, y el mal uso y abuso de lainformación tratada por los mismos;

� Que se encuentre implantado adecuadamente un ambiente general de control deaccesos propio de las aplicaciones y recursos a efectos de prevenir el uso noautorizado de funciones interactivas, tanto desde conexiones desde la red internacomo desde Internet;

� Que se encuentre implantado adecuadamente un ambiente general de control deaccesos para el procesamiento "batch";

� Que exista una adecuada política de configuración de los equipos informáticos yde comunicaciones;

� Que se encuentre implantada adecuadamente la estructura de control de accesosdel ambiente de procesamiento de forma de evitar que se puedan modificar o leerarchivos de datos o programas de las aplicaciones analizadas en forma noautorizada. Es necesario tener en cuenta los aspectos referidos a perfiles deacceso de los usuarios definidos en los sistemas, así como la protección de losrecursos informáticos residentes en ellos;

� Que la arquitectura técnica de las aplicaciones se encuentre adecuadamentediseñada, para lo cual se analizarán los esquemas de acceso a las bases de datos,la interacción con el sistema operativo donde están instaladas las aplicaciones, lainteracción con el servicio de publicación de páginas web (si existiera), el


67

lenguaje de programación utilizado, la forma de codificación de los programas,etc;

� Que se realicen adecuados controles de los incidentes y problemas emergentes,con el seguimiento necesario;

� Que las aplicaciones gestionen los errores de forma estándar, y que se realicenlas validaciones adecuadas en la entrada y salida de datos;

� Que exista un plan de contingencia que permita recuperar las aplicaciones yequipos del entorno ante desastres o situaciones de emergencia;

Para cumplir con estos objetivos, el ES puede llevar a cabo las siguientes tareas:

� Identificar los archivos y directorios críticos de las aplicaciones y de los sistemasoperativos;

� Analizar la asignación de permisos otorgados sobre los archivos y directorioscríticos;

� Identificar los componentes de software de base de las instalaciones;

� Identificar y entrevistar al personal que pueda proveer información de detalle encuanto a los caminos por los que la información (datos y programas) puede seraccedida y los controles establecidos para restringir dicho acceso;

� Entrevistar al personal de soporte técnico para identificar puntos de control sobreutilitarios riesgosos que puedan modificar archivos y/o programas sin dejar pistasde auditoría;

� Entrevistar al personal responsable de seguridad informática a fin de analizar loscontroles efectuados en las aplicaciones, en los equipos relacionados y el entorno;

� Entrevistar al personal del área de desarrollo y mantenimiento de sistemasrelacionados con las aplicaciones a efectos de identificar los nombres de losprincipales archivos, las transacciones on-line con funciones de actualización y lastransacciones on-line con funciones de lectura que muestran informaciónsensible;

� Entrevistar al operador responsable del resguardo y recuperación de los datos afin de analizar el nivel de cumplimiento de los procedimientos vigentes;


68

� Entrevistar al personal encargado de la administración de las aplicaciones ysoftware de base para conocer los detalles de la gestión de usuarios y permisos;

� Entrevistar al personal de comunicaciones para comprender globalmente lasfacilidades de acceso a través de Internet y los mecanismos de seguridadimplantados para prevenir el acceso a dichas facilidades;

� Documentar los modelos de acceso lógico que representa los caminos por los quese accede a los datos críticos de las aplicaciones;

� Comprender los controles que existen para realizar las pruebas de cumplimientosobre esos controles;

� Identificar y analizar el sistema de autenticación de usuarios utilizado por laaplicación, el sistema operativo que la soporta;

� Analizar si son adecuados los permisos de acceso otorgados a los diferentesusuarios;

� Realizar una toma de la configuración lógica de los equipos mediante:

o Scripts de relevamiento técnico que lean los archivos de configuración másimportantes, y los vuelquen en informes;

o Captura de pantallas;

o Generación de listados.

� Realizar pruebas de cumplimiento para verificar que los accesos a los diferentesrecursos informáticos están adecuadamente otorgados y/o restringidos

El ES determinará el Alcance de estas pruebas según el grado de criticidad de lasaplicaciones, equipos y de las funciones comprendidas. Las tareas de revisiónpodrán incluir:

o Solicitar listas de seguridad de las aplicaciones;

o Verificar que los sistemas de seguridad internos restrinjan el acceso a travésde transacciones on-line a personal autorizado;

o Verificar la correcta definición de los parámetros de seguridad propios de lasaplicaciones;

o Verificar la adecuada asignación de accesos a las aplicaciones y equipos;

o Realizar pruebas que permitan detectar el manejo de errores de lasaplicaciones y la concurrencia.

� Realizar un intento de penetración con el fin de vulnerar las barreras de accesoexistentes para utilizar los recursos informáticos de la compañía en forma no


69

autorizada desde una conexión proveniente de Internet (Intento de PenetraciónExterno), o desde la red interna de la compañía (Intento de Penetración interno).

2.3.4.3.1 Intento de Penetración

Un intento de Penetración es un análisis que permite detectar vulnerabilidades en unentorno informatizado mediante la búsqueda, la identificación y explotación devulnerabilidades. Su alcance se extiende a:

� Equipos de comunicaciones;

� Servidores;

� Estaciones de trabajo;

� Aplicaciones;

� Bases de Datos;

� Servicios Informáticos;

� Casillas de Correo Electrónico;

� Portales de Internet;

� Intranet corporativa;

� Acceso físico a recursos y documentación;

� Ingeniería social (La ingeniería social es la técnica por la cual se obtieneinformación convenciendo al usuario que otorgue información confidencial,haciéndose parar por usuarios con altos privilegios como administradores ytécnicos).

Para realizar un Intento de Penetración es necesario realizar las siguientes tareas:

� Reconocimiento de los recursos disponibles mediante el empleo de herramientasautomáticas (Ver 2.3.5.2.1 Herramientas de análisis de vulnerabilidades);

� Identificación de las vulnerabilidades existentes mediante herramientasautomáticas;

� Explotación manual y automática de las vulnerabilidades para determinar sualcance;� Análisis de los resultados.

Este análisis otorga información referente a:

� Versiones desactualizadas de software;

� Versiones de software con vulnerabilidades conocidas;

� Contraseñas triviales;

� Usuarios default;


70

� Configuraciones default;

� Utilización de servicios inseguros;

� Recursos compartidos desprotegidos;

� Errores en la asignación de permisos.

Analizando toda la información obtenida mediante el Intento de Penetración, lasentrevistas, la documentación y los diferentes métodos de sondeo, se elabora elMapa de Vulnerabilidades dando detalle de los recursos informáticos e información dela compañía a la que se ha accedido de manera no autorizada.

2.3.4.3.2 Herramientas de análisis de vulnerabilidades

Existe una serie de herramientas que ofrecen datos útiles para el análisis devulnerabilidades, como analizadores de configuraciones, analizadores de logs,herramientas de escaneo de puertos (Port Scanners), sniffers, Network Mapping,Testing Tools, y otras herramientas, sobre las que no se dará detalle por suconstante evolución.

No es el objetivo de esta Tesis dar detalles sobre implementaciones en particular, sinembargo, se considera interesante remarcar la importancia del uso de estasherramientas para la detección de vulnerabilidades, sobre todo porque reducenconsiderablemente los tiempos de búsqueda y recolección de datos.

2.3.5 Mapa de Vulnerabilidades

El Mapa de Vulnerabilidades es un documento que se propone con la idea de registrary contabilizar las vulnerabilidades presentes en el entorno en estudio antes de laimplantación del Plan de Aseguramiento.

Para registrar las vulnerabilidades detectadas en el análisis anterior se divide elestudio del entorno en tres partes:

� Nivel físico;

� Nivel lógico;

� Nivel de la organización.

El ES incluirá en el Mapa de Vulnerabilidades del entorno objetivo los niveles que sehayan determinado en el Alcance.


71

Aquí se enumera una serie de aspectos concernientes a seguridad que implicanvulnerabilidades y que el ES incluirá en el Mapa de Vulnerabilidades:

2.3.5.1 Vulnerabilidades a nivel físico

Amenazas a las instalaciones

� Acceso libre a todos los sectores de la empresa a cualquier usuario:

Si cualquier usuario puede acceder a todas las oficinas de la empresa, sincontroles ni barreras físicas, es muy probable que acceda un intruso a lasinstalaciones provocando actos ilícitos como hurtos, daños físicos o espionaje deinformación confidencial;

� Falta de un perímetro de seguridad:

Si no se establece un perímetro de seguridad, la empresa se convierte en unacontinuación física de la vereda;

� Falta de áreas protegidas que guarden los equipos críticos:

Permitiendo el acceso indiscriminado de personas;

� Falta de barreras físicas que protejan los activos:

Permite el ingreso a la organización de intrusos;

� Existencia de múltiples puntos de acceso:

Esto facilita el ingreso no autorizado de intrusos;

� Falta de autenticación de usuarios:

Esto dificulta la identificación de usuarios no autorizados;

� Ausencia de métodos confiables de autenticación de usuarios;

Un método no confiable de autenticación de usuarios es levemente mejor queningún método de autenticación de usuarios;

� Áreas de procesamiento de información y de entrega y carga de materialescomunicadas:

Facilita el acceso de intrusos al sector de cómputos;

� Áreas de entrega y carga de materiales descuidadas:


72

Facilita la circulación de personas no autorizadas con los efectos consecuentes(hurtos, infiltrados, etc);

� Integración del área de procesamientote información administrada por laorganización y la administrada por terceros:

Provoca una alteración a la confidencialidad de datos y la exposición a ataquesinternos por parte de terceros (ver la sección 4.1.2.1 Protección de lainformación);

� Señalización indiscreta del edificio o sobreindicación:

Toda la ayuda que se de para acceder a los sectores protegidos será unaherramienta útil para un intruso que desee perpetrar las instalaciones;

� Falta de sistemas de detección de intrusos;

� Hacer pública información sensible:

Toda información delicada debe ser cuidadosamente administrada, pues todo datoes una llave para el sistema, que un intruso experimentado puede utilizar. Porejemplo, es común hacer públicas todas las extensiones telefónicas, incluso lasde los sectores restringidos. Si un usuario no autorizado accede a uno de estosnúmeros, sería capaz de implementar la ingeniería social para obtenerinformación o accesos que no le pertenecen.

Amenazas a los equipos.

� Mala distribución física de los activos:

Los equipos pueden estar ubicados en forma descuidada, expuestos a catástrofesnaturales (cerca de ventanas) o hurto (cerca de puertas o pasillos);

� Almacenamiento de materiales dañinos cerca de los equipos:

Como combustibles o químicos;

� Humo del cigarrillo:

El humo del cigarrillo ataca los discos magnéticos y ópticos y provoca trastornosen la ventilación de los artefactos eléctricos. Además, el cigarrillo puede provocarincendios;

� Permitir comer y beber en los sectores con equipos:

La comida y bebida puede provocar deterioros en los equipos y cortocircuitos yhasta quemar elementos eléctricos;


73

� Exposición a temperaturas extremas:

Exponer los equipos a temperaturas extremas daña sus circuitos, provocandocortocircuitos e incendios.;

� Terminales abandonadas:

Las terminales encendidas en desuso son un riesgo alto, ya que cualquier personapuede hacer uso de sus recursos, sin siquiera la necesidad loguearse;

� Falta de higiene:

La falta de higiene en oficinas puede provocar daño en los documentos impresosy en los equipos por acumulación de polvo, grasa, etc;

� Descuido de las unidades de soporte de información:

Tener en mal estado o en lugares inseguros las unidades de backup yrecuperación de sistemas es casi lo mismo que no tenerlas;

� No llevar un control de los cambios en los equipos:

No registrar cada alta, baja o modificación en los equipos conlleva a undesconocimiento del capital invertido, con lo que cualquier hurto pasaríadesapercibido.

Amenazas generadas por el uso de una red física de datos.

Cuando un mensaje “M” es enviado por un usuario origen “A” a un usuario destino“B” determinado a través de una red, como se muestra en la figura 1, este mensajeviaja por el medio físico con el riesgo de sufrir alguno de los siguientes ataques porparte de un intruso “I”:

A B M

Figura 1

En el medio del viaje del origen al destino, el mensaje puede sufrir de ataques deintrusos para su lectura, modificación, o eliminación. A continuación detallamos lasamenazas más comunes que puede sufrir un mensaje:

Tipos de amenazas


74

1) I nterrupción: Sucede cuando el destinatario nunca recibe el mensaje emitidopor el origen:

A

B

M

Figura 2

2) Intercepción: El mensaje enviado por el origen es interceptado por un intrusoque recibe el mensaje tanto como el verdadero destino:

A

I

B M

Figura 3

3) Modificación: El mensaje enviado por el origen es interceptado por un intrusoque lo modifica, y lo reenvía modificado al verdadero destino. El destino recibeel mensaje modificando creyendo que es el original:

A

I

B

M

M

Figura 4

4) Fabricación: El mensaje enviado por el origen nunca es distribuido; en sulugar el intruso envía otro mensaje en reemplazo del original:

5)


75

A M

I

B

N

Figura 5

Factores de riesgo

� conectores de LAN inutilizados, al descubierto:

Cualquier usuario no autorizado puede conectar una Laptop y sumarse a la reddirectamente;

� Cables al descubierto:

Pueden ser dañados con facilidad provocando una negación deservicio;

� Cables atravesando zonas públicas:

Pueden ser interceptados por intrusos que desvíen o modifiquen los paquetestransmitidos;

� Tender los cables de energía junto con los cables de comunicaciones:

Pueden provocar interferencias en las comunicaciones;

2.3.5.2 Vulnerabilidades a nivel lógico

Amenazas generadas por el uso del correo electrónico

� Virus:

Son porciones de código que son insertadas dentro de un archivo (generalmenteejecutable) llamado host, de manera que cuando el archivo es ejecutado, seejecuta también la porción de código insertada, la cual puede efectuar distintasacciones malintencionadas, destructivas, y hasta copiarse en otros archivos;

� Gusanos (Worms):


76

Son programas independientes (no necesitan insertarse en otros archivos) que seexpanden a través de la red realizando distintas acciones como instalar virus, oatacar una PC como un intruso;

� Troyanos:

Son programas que tienen una porción de código oculta, que dicen hacer unacosa y en realidad hacen otra (desconocida por el usuario) o simplemente hacenlo que dicen hacer y además ejecutan instrucciones no autorizadas;

� Conejos:

Son programas que no dañan directamente al sistema por alguna accióndestructiva, sino que tienen la facilidad de reproducirse exponencialmente demanera de provocar en poco tiempo una negación de servicio al consumir losrecursos (memoria, disco, procesador, etc);

� Empleados pueden comprometer a la organización, enviando correos electrónicosdifamatorios, llevando a cabo prácticas de hostigamiento, o realizando comprasno autorizadas;

� Acceso remoto a las cuentas de correo electrónico sin control;

� Falta de una política de eliminación de mensajes:

Puede suceder que se eliminen mensajes que, si se almacenaran, podrían serhallados en caso de litigio;

� Los mensajes son vulnerables a ser modificados por personas no autorizadas;

� Es un servicio vulnerable al descubrimiento (“disclosure”) de informaciónconfidencial;

� Se pueden producir errores como por ejemplo la consignación incorrecta de ladirección de destino, o la publicación de direcciones de personal jerárquico de laempresa.

Amenazas generadas por el uso de software dañino

� Bombas lógicas:

Son un conjunto de instrucciones que se ejecutan bajo condiciones especiales(una fecha, etc);

� Backdors y trapdors:


77

Son instrucciones que permiten a un usuario acceder a otros procesos o a unalínea de comandos, y suelen ser aprovechados por intrusos malintencionadospara tomar control sobre las computadoras;

� Timeouts:

Son programas que se pueden utilizar durante un período de tiempodeterminado;

� Herramientas de seguridad:

Son utilitarios que sirven para identificar vulnerabilidades en un sistema. Puedenser una amenaza si un intruso las utiliza en el sistema y detecta fallas en laseguridad de las que el administrador no está enterado.

Amenazas generadas por la presencia de intrusos

� Eaves dropping:

Es la escucha no autorizada de conversaciones, claves, datos, etc;

� Ingeniería social:

Consiste en la manipulación de las personas para que voluntariamente realicenactos que normalmente no harían, como revelar su contraseña o cambiarla;

� Shoulder Surfing:

Consiste en espiar físicamente a los usuarios para obtener claves de acceso alsistema, números válidos de tarjetas de crédito, etc;

� Masquerading:

Un intruso puede usar la identidad de un usuario autorizado que no le pertenecesimplemente apoderándose de un nombre de usuario y contraseña válidos;

� Piggy backing:

Ocurre cuando un usuario no autorizado accede a una zona restringida gracias alpermiso otorgado a otra persona que sí está autorizada;

� Basurero:

La información de los desperdicios dejados alrededor de un sistema puede seraprovechada por intrusos provocar un hurto o daño.


78

Vulnerabilidades en los sistemas operativos

� Existencia de cuantas de usuarios no utilizadas:

Muchas cunetas de usuario son creadas por defecto en la instalación del sistemaoperativo y nunca son deshabilitadas, a pesar de que no se utilicen. Esta situaciónes una puerta abierta para los intrusos que conocen estas vulnerabilidades de lossistemas operativos;

� Existencia de cuantas de usuario con permisos excesivos:

Generada por la falta de control de los permisos asignados a los usuarios;

� Existencia de servicios no utilizados:

Muchos servicios (en particular los de red, y los de conexión remota) soninstalados por defecto con el sistema operativo, o para la corrida de procesosespeciales y nunca son eliminados. Estos pueden ser utilizados por intrusos paramanipular el sistema en forma remota y acceder a los recursos;

� Malas configuraciones de seguridad del sistema operativo:

Como la existencia de cuentas de usuario creadas en la instalación, que son deconocimiento público y muchas veces se crean con una contraseña por default,aumentando el riesgo de ataques a la integridad y confidencialidad mediante unacceso no autorizado;

� Errores en los archivos de configuración existentes y sus valores;

� Falta de un esquema de backup;

� Ausencia de una estrategia de recuperación ante desastres:

El Plan de Recuperación del Entorno ante Desastres cubre las aplicaciones,equipos y software base que soporta el negocio para su recuperación. No poseerun plan de acción ante emergencias implica un crecimiento exponencial deltiempo invertido en la recuperación de las prestaciones, y una potencial pérdidade información vital para el negocio;

� Contraseñas almacenadas en texto plano:

Algunos sistemas operativos almacenan las contraseñas en texto planopermitiendo el acceso autorizado (enmascarado) de intrusos si ellos lograranacceder a la información de passwords. Ésta es una de las primeras tácticas queutilizan los intrusos para atacar sistemas débiles;

� Falta de registro de las pistas de auditoría:


79

Las pistas de auditoría o logs sirven para dejar registro de las acciones de losusuarios y los procesos. No llevar un adecuado registro de las pistas de auditoríadificulta la tarea de detección de intrusos y recuperación de información.

Vulnerabilidades en las aplicaciones

A nivel funcional:

� Falta de documentación:

La ausencia de documentación dificulta la capacitación de los usuarios y elseguimiento de los proyectos y procesos, provocando incoherencias en el trabajo,por ejemplo entre los requerimientos de usuario y los cambios realizados en elsoftware afectado;

� Mala organización del área de sistemas;

� Mala administración de la seguridad informática;

� Fallas en la metodología de desarrollo de las aplicaciones;

� Planificación deficiente;

� Pobre separación de tareas;

� Falta de separación de ambientes:

La separación de ambientes es fundamental, más allá de las ventajasmetodológicas en el proceso de desarrollo de software, en la conservación de laintegridad de los datos a través de la separación lógica y física de los entornos deproducción, desarrollo y prueba;

� Mala configuración de entornos:

Generalmente en los entornos de desarrollo se otorgan permisos excesivos a losprogramadores que provocan fallas en la confidencialidad e integridad de losdatos;

� Falta de las pruebas en el desarrollo de aplicaciones;

� Mal manejo de datos:


80

o Datos utilizados para las pruebas:

Muchas veces se utilizan para las pruebas datos de producción. Esto no escrítico si la base de datos de prueba es independiente, pero tiene un riesgoasociado cuando se manejan datos de carácter personal, protegidos por lasleyes de todo el mundo, para los cuales hay que tomar medidas de seguridadadicionales. La falta de estos controles o el uso indebido de datos puede tenerconsecuencias legales graves;

o Clasificación, manejo y protección de los datos productivos:

La falta de análisis de criticidad de los datos y categorización hace que no sebrinden los controles que garanticen la correcta manipulación de datos con laconsecuente pérdida de confidencialidad e integridad.

� Falta de control de cambios;

� Defectos en la funcionalidad general de la aplicación;

� Falta de coherencia con los objetivos del negocio;

� Mala separación en módulos;

� Mala administración de la aplicación:

o Falta de organización de los perfiles de usuarios;

o Formas erróneas de asignación de permisos;

o Falta de registro y control de las pistas de auditoría;

o Mal manejo de incidencias.

� Prestaciones limitadas;

� Pobre análisis del control interno:

o Falta d separación de tareas;

o Análisis de asignación de funciones incompatibles.

� Falta de asignación de responsabilidades de seguridad;

Aspectos lógicos:

� Mala estructura de navegación del menú/ páginas de la aplicación;


81

� Errores en las interfaces e interacción con otros servicios;

� Malas configuraciones de seguridad del sistema operativo;

� Vulnerabilidades en los servicios prestados por el mismo servidor;

� Errores en los archivos de configuración existentes y sus valores;

� Mal manejo de transacciones;

� Mal manejo de la concurrencia;

� Falta de un esquema de backup;

� Ausencia de una estrategia de recuperación ante desastres;

� Mala administración de la base de datos;

� Mala configuración de seguridad de las bases de datos utilizadas;

� Formas inseguras de comunicación con la aplicación;

� Contraseñas almacenadas en texto plano;

� Falta de registro de las pistas de auditoría;

� Mal manejo de datos:

o Falta de validación de los datos de entrada;

o Falta de validación de los datos de salida.

� Mal manejo de errores de la aplicación.

Amenazas generadas por mala administración de la información

� No controlar el acceso a los sistemas:

Cualquier usuario podría utilizar y modificar los archivos sin tener que pasarninguna barrera que filtre a los intrusos;

� No llevar un registro de los incidencias (como pérdida de datos o malfuncionamiento de software);

� No contar con un sistema de perfiles de usuarios:

Un sistema de perfiles permite asignar distintos privilegios a los usuarios, demanera que no todos tengan las mismas posibilidades de acceso a los recursos,según su tarea. Si esto no se tiene en cuenta, un data entry podrá acceder a losrecursos indistintamente del gerente de sistemas, o del administrador de basesde datos;

� No llevar un control de los cambios en el software:

No registrar cada alta, baja o modificación en los programas de software conllevaa un desconocimiento del capital invertido, con lo que cualquier hurto omodificación pasaría desapercibido;

� Ausencia de un control de impacto del nuevo software:


82

Puede haber una incoherencia entre los requerimientos de capacidad deprocesamiento y almacenamiento del nuevo software, y los disponibles, o unaincompatibilidad con la plataforma de hardware utilizada;

� No mantener actualizado el software de detección y reparación antivirus:

[10lawsMS] asegura que: “Un antivirus desactualizado es sólo marginalmentemejor que ningún antivirus”;

� Falta de backups:

Sin copias de respaldo la recuperación de la información y la restauración delsistema luego de un incidente es imposible;

� Realización de backups incompletos pueden llegar a no servir de mucho a la horade reconstruir un sistema caído;

� Acceso ilimitado o no controlado a los datos:

Permite el libre acceso de intrusos a los datos facilitando los ataques anónimos;

� Documentación desprotegida;

Un intruso o espía puede hacer mal u:o de la documentación para distintos fines:espionaje, sabotaje, hurto, o para obtener información que le sirva como puertaal sistema objetivo;

2.3.5.3 Vulnerabilidades a nivel de la organización.

� Superposición o mala asignación de roles:

[CISA] realizó un estudio de compatibilidades de funciones y desarrolló unamatriz de compatibilidades donde se refleja qué funciones son compatibles o nocon otras, por lo que deberían llevarse a cabo por distintas personas. Este criterioes utilizado para reforzar el control interno por oposición de intereses;

� Ausencia de administradores y responsables por la seguridad del sistema:

Esta falta implica una gran falla en la seguridad ya que se omite el primer pasoen el camino de la protección: el control. Los administradores y las personasresponsables por la seguridad del sistema cumplen un rol fundamental en esteproceso, y su ausencia exhibe una clara desatención en la materia de seguridad,que provocará:

o Ausencia o mal manejo de incidencias;

o Mala administración de los recursos;

o Falta de control lógico;


83

o Falta de registro o monitorización de la actividad del sistema;

o Etc.

� Falta de políticas contra ataques internos;

� Ausencia de una Normativa de Seguridad;

� Descuido de los escritorios y las pantallas:

Dejando el acceso libre a los documentos y archivos de la oficina;

� Sectores de desarrollo, de prueba y producción unificados:

Provoca fallas en la calidad del software y falta de control en las distintas etapasdel desarrollo de software, además de problemas en la implantación en elambiente de producción;

� Falta de registro del flujo del personal:

No permite detectar intrusos, provocando hurtos y otros ataques;

� Falta de protección de las operaciones de comercio electrónico;

2.4 Análisis de Riesgos

A partir del Mapa de Vulnerabilidades construido en la etapa anterior de la fase deDefinición del Alcance de la MAEI, se analiza el riesgo que corren los activos de laorganización para determinar la probabilidad de ocurrencia de incidencias deseguridad y su impacto en el sistema.

Los riesgos pueden ser:

� Tecnológicos: si tienen origen o afectan aspectos técnicos del entorno (comodeterioro de equipamientos, falta de disponibilidad de recursos, etc);

� Funcionales: si tienen origen o afectan aspectos funcionales del entorno (comoposible descubrimiento de información por la existencia de usuarios concontraseña por default, o el acceso no autorizado a los recursos por una pobreautenticación de usuarios).


84

Todos los entornos están expuestos a amenazas. Todos los entornos tienenvulnerabilidades, algunas conocidas, otras no, pero están presentes, esperando serusadas por un atacante para penetrar las barreras de seguridad y apoderarse deinformación, denegar servicios, o provocar toda clase de daño.

No importa la plataforma tecnológica, no importa la marca de software que se usa.Tampoco importa la infraestructura edilicia, los equipos, el cableado. Siempre existenriesgos.

Existe una relación entre tipo de desastre y sus efectos, y, por supuesto, suprobabilidad de ocurrencia. Los riegos reales y potenciales son variables en el tiempoy en el lugar.

En el Análisis de vulnerabilidades se vieron los distintos tipos de amenazas quepueden presentarse a nivel lógico, físico y de la organización.

No es posible eliminar todos los riesgos sino que se pueden mitigar (empleandomedidas para reducirlos), transferir (ceder su responsabilidad a otra persona) oasumir (cuando se decide correr el riesgo con sus posibles consecuencias).

Sin embargo, siempre existen riesgos remanentes y desconocidos.

Es más, cada día surgen nuevos riesgos a medida que la tecnología avanza y lossistemas cambian. Los entornos informatizados suelen acompañar estos cambiosadaptándose a los requerimientos tecnológicos del momento. Es por eso que surgennuevos riesgos día a día.

Es tarea del ES en esta parte de la metodología examinar las vulnerabilidadeshalladas y evaluar su riesgo asociado, determinar su probabilidad de ocurrencia ymedir su impacto en el entorno.

Los riesgos observados que presentan una probabilidad de ocurrencia nodespreciable en función de las características del entorno varían desde los factoresclimáticos y meteorológicos que afectan a la región hasta el factor humano de losrecursos de la empresa.

Para la evaluación de riesgos es posible utilizar métodos muy variados encomposición y complejidad, pero para todos ellos es necesario realizar un diagnósticode la situación.

Un método comúnmente utilizado es el diagrama:


85

Alto

AltoBajo

Mayor

importanciProbabilidadde ocurrencia

a

Impacto

Este análisis de riesgos permite al ES ofrecer un informe de los riesgos entorno, lospeligros que corre e identificar los requerimientos de seguridad del sistema objetivo ysu prioridad, de manera de poder encarar la elaboración del Plan de Aseguramientodel proyecto junto a los requerimientos planteados por el usuario.

El análisis de riesgos se realiza en cada área de la empresa, mediante métodos deadquisición de información como entrevistas con los usuarios.

2.4.1 Informe de Riesgos

A continuación se presenta un documento que ayuda a la formalización de estosconceptos para su estudio: el Informe de Riesgos.

Este documento recompila todas las vulnerabilidades halladas en la etapa anterior dela metodología, para evaluar su riesgo, su criticidad, la probabilidad de que ocurran ydeterminar su impacto en el entorno informatizado y en el negocio.

Esta es una adaptación de la Tabla de Riesgos utilizada en el análisis de sistemas enla que se ha agregado la criticidad que implica la vulnerabilidad en estudio.

Se recomienda agrupar las vulnerabilidades con algún criterio, como por ejemplo pornivel de criticidad, que puede clasificarse en:

� Alto;

� Medio;


86

� Bajo.

U ordenarlas en forma decreciente según su impacto o probabilidad de ocurrencia.

Formato del Informe de Riesgos

# VULNERABILIDAD RIESGO CRITICIDAD P(ocurrencia) IMPACTO

Descripción de los campos

#: Número correlativo de vulnerabilidad.

VULNERABILIDAD: Nombre de la vulnerabilidad descubierta en la etapa de análisisde vulnerabilidades.

RIESGO: Breve descripción del riesgo detectado en el análisis. Es todo evento, fallao bien que ponga en peligro la integridad, la confidencialidad o la disponibilidad de lainformación o los recursos y activos;

CRITICIDAD: Una medida de la criticidad del riesgo, según el criterio aplicado en laevaluación de vulnerabilidades del Relevamiento de Usuario:

� 0: No representa amenaza alguna;

� 1: Amenaza leve;

� 2: Gran amenaza al sistema.

P (ocurrencia): Es la probabilidad de ocurrencia de dicho evento tomando encuenta las amenazas y vulnerabilidades predominantes, y los controles actualmenteimplementados.

IMPACTO: Es el efecto potencial de una falla de seguridad, teniendo en cuenta susconsecuencias en el negocio.

2.4.2 Ejemplo – Informe de Riesgos.


87

# VULNERABILIDAD RIESGO CRITICIDAD P(ocurrencia) IMPACTO

1

Existencia de materialinflamable en el CPD

(Centro deProcesamiento de

Datos)

Fuego en elData Center 2 0.5

Destrucción de equiposy espacio físico

2

Existencia de materialinflamable en el CPD y

en las oficinasaledañas

Fuego enlugares

cercanos1 0.45

Destrucción dedocumentación

impresa y posibilidadde afección del centro

de cómputos

3Ubicación física en

zona inundable Inundación 1 0.1Posibles cortocircuitos,

equipos quemados,incendios

4

Falta de equipo de aireacondicionado de

backup

Fallas en elaire

acondicionado

2 0.4Mal funcionamiento

por recalentamiento deequipos

5

Falta demantenimiento de los

equipos deprocesamiento de

datos.

Fallas enequipos

1 0.5 Indisponibilidad de losservicios

6

Existencia de cables dered al descubiertoatravesando los

pasillos

Fallas encomunicacio

nes1 0.3

Indisponibilidad de losservicios

7

Descuido del cableadoeléctrico, falta de

acondicionamiento dela central eléctrica ypobre aislamiento.

Corte desuministroeléctrico

1 0.6Indisponibilidad de losservicios, pérdida de

datos.

8

Exposición de losequipos a personal no

autorizado. Acto devandalismo

2 0.1

Pérdida de equipos,negación de servicios,

pérdida deinformación, mala

imagen en clientes,périda de confiabilidad.

9Exposición de los

equipos a terceros.Acto de

sabotaje orobo

2 0.45 confiabilidad, pérdidaPérdida de

de información.

10

Administración de losequipos por personal

no especializado.

Erroreshumanos nointencionale

s

0 0.5Indisponibilidad de losservicios, pérdida de

datos.

Diagrama de riesgos:

El diagrama de riesgos esquematiza el impacto de los riesgos en función de suprobabilidad de ocurrencia.

Cuanto mayor sea el impacto y la probabilidad de ocurrencia, más fuertes deberánser los controles a aplicar para mitigar el riesgo asociado.


88

Los riesgos más altos, por ende, se ubicarán en el cuadrante derecho superior delsiguiente diagrama:

Análisis de Riesgos en elCPD

0

0,5

1

0 0,5 1

Impacto

ProbabilidaddeOcurrencia

Fuego en el CPD

Fuego en lugarescercanos Inundación

Fallas en el aireacondicionado Fallas en equipos

Fallas en comunicaciones

Corte de suministroeléctrico Acto de vandalismo

Acto de sabotaje o robo

Errores humanos nointencionales


89

3 PLANIFICACIÓN

Contenido:

3.1 Elaboración del Plan de Aseguramiento.

3.1.1 Protección física.

3.1.1.1 Protección de las Instalaciones.

3.1.1.2 Protección de los equipos.

3.1.2 Protección lógica.

3.1.2.1 Protección de la información.

3.1.2.2 Protección del Sistema Operativo.

3.1.2.3 Protección de los datos.

3.1.3 Protección a nivel de la organización.

3.2 Aprobación del Plan de Aseguramiento.


90

3.1 ELABORACIÓN DEL PLAN DE ASEGURAMIENTO

En esta parte de la fase de planificación se establece, en base al Alcance y alRelevamiento anteriormente realizado, el Plan de Aseguramiento.

Este documento describe en forma precisa y detallada las medidas, cambios ycontroles que se implementarán a fin de proteger el sistema objetivo, mitigando losriesgos descubiertos en la fase anterior de la MAEI.

Los objetivos de control planteados por el Experto en la etapa de Análisis deVulnerabilidades se reflejan aquí en medidas de control que garanticen la reduccióndel riesgo asociado a las vulnerabilidades halladas, tanto en aspectos tecnológicoscomo funcionales.

[IRAM/ISO/IEC17799] indica: “Una vez identificados los requerimientos deseguridad, deben seleccionarse e implementarse controles para garantizar que losriesgos sean reducidos a un nivel aceptable.”…” Los controles deben seleccionarseteniendo en cuenta el costo de implantación en relación con los riesgos a reducir y laspérdidas que podrían producirse de tener lugar una violación de la seguridad.También deben tenerse en cuenta los factores no monetarios, como el daño en lareputación”.

Se detalló en etapas anteriores de la MAEI cómo a partir de un análisis devulnerabilidades, de requerimientos de usuario y de riesgos se llega a establecer elAlcance.

En la presente fase se pretende dar una serie de medidas, controles y técnicasaplicables a cualquier sistema de información, con el fin de alcanzar los resultadosfijados en el Alcance.

Sin embargo, no es el fin de este trabajo dar detalles sobre las técnicas aimplementar para conseguir estos resultados, entendiéndose por buenos resultadosel aseguramiento del elemento en cuestión. Se limitará a dar las pautasprocedimentales para asegurar el entorno informatizado que es objetivo, y el ES quelo implemente deberá realizar el trabajo de investigación específico para obtener losresultados propuestos por este trabajo, según la tecnología involucrada.

3.1.1 Protección física


91

3.1.1.1 Protección de las Instalaciones

Se analiza en esta parte la protección del edificio, salas e instalaciones a nivel físico.

Se evalúa la implantación de alguna de las siguientes técnicas:

� Definición de áreas de la organización en cuanto a seguridad:

En esta etapa se deberán diferenciar los sectores de acceso común a todos losusuarios (como el comedor, la sala de reuniones, etc) de los sectores de accesorestringido (como el área de cómputos o tesorería) y los distintos niveles deseguridad requeridos;

� Definición de un perímetro de seguridad:

Un perímetro de seguridad es un área considerada segura. Al definir un perímetrode seguridad, se establece un área donde se implementarán medidas deprotección que garanticen cierto grado de seguridad, como por ejemplo, berrerasfísicas;

[IRAM/ISO/IEC17799] define: “Un perímetro de seguridad es algo delimitado poruna barrera, por ejemplo, una pared, una puerta de acceso controlado por tarjetao un escritorio u oficina de recepción atendidos por personas.”

� Construcción de barreras físicas:

Paredes, alarmas, cerraduras, sistemas automáticos de autenticación de usuarios,etc;

� Verificación del perímetro de seguridad:

Realizar pruebas de penetración de las barreras físicas, para determinar sufortaleza;

� Determinación de áreas protegidas:

Un área protegida es una zona que se desea mantener segura, a la que no tieneacceso todo el personal, sino un grupo reducido de éste, a la que acceden confines específicos y bajo severos controles de autenticación. Puede ser una oficinacerrada con llave, o diversos recintos dentro de un perímetro de seguridad físicadonde se realicen operaciones confidenciales, como el centro de procesamientode información, etc. Se deben definir las zonas u oficinas que tienen estosrequerimientos;

� Controles en las áreas protegidas:

o Dar conocimiento de la existencia de un área protegida, o de las actividadesque se llevan a cabo dentro de la misma, sólo al personal estrictamentenecesario e involucrado;


92

o Controlar el trabajo en las áreas protegidas tanto por razones de seguridadcomo para evitar la posibilidad de que se lleven a cabo actividades maliciosas;

o Bloquear físicamente las áreas protegidas desocupadas e inspeccionarlasperiódicamente;

o Brindar acceso limitado a las áreas protegidas o a las instalaciones deprocesamiento de información sensible al personal del servicio de soporteexterno. Otorgar este acceso solamente cuando sea necesario y autorizar ymonitorearlo. Pueden requerirse barreras y perímetros adicionales paracontrolar el acceso físico entre áreas con diferentes requerimientos deseguridad, y que están ubicadas dentro del mismo perímetro de seguridad;

o Prohibir el ingreso de equipos fotográficos, de vídeo, audio u otro tipo deequipamiento que registre información.

� Determinación de un área de acceso y autenticación de personal:

El control de acceso y la autenticación de usuarios se deben realizar en un puntode acceso común y alejado de las áreas protegidas. Se recomienda lacentralización del puesto de acceso para facilitar el registro y control de flujo depersonal;

� Determinación de uno o varios métodos de autenticación de usuarios:

Autenticar usuarios implica verificar a los usuarios que intentan acceder alentorno, a la red o al sistema, comprobando que estos sean quienes dicen ser.Existen muchos métodos de autenticación de usuarios, y se clasifican según loque utilizan para la verificación de la identidad:

o Métodos que se basan en algo que el usuario sabe:

▪ Contraseñas (passwords);

▪ Frases secretas (passphrases);

o Métodos que autentican a través de un elemento que el usuario posee o llevaconsigo:

▪ Tarjetas magnéticas;

▪ Tarjetas de identidad inteligentes (chipcards o smartcards) que poseen unprocesador que se encarga de encriptar la información y otras funciones;

o Métodos que utilizan características físicas del usuario o actos inconscientes:

▪ Verificación del aspecto físico;

▪ Reconocimiento por huella digital;

▪ Reconocimiento por el patrón de la retina del ojo;

▪ Reconocimiento por el patrón del iris del ojo;

▪ Reconocimiento de la voz;

▪ Firmas es un acto inconsciente, ya que no se razona cómo se hace cadatrazo);

▪ Verificación de la geometría de la mano;


93

� Determinación de la forma de registro del flujo de personas en los distintossectores:

Por ejemplo, mediante un sistema de tarjetas magnéticas:

o Registrar la hora de ingreso y egreso de cada usuario que ingrese al edificio;

o Registrar la hora de ingreso y egreso de cada usuario que recurra al centro decómputos;

� Separación del área de procesamiento de información de las áreas de entrega ycarga de materiales:

Si estas áreas se mantienen separadas por barreras físicas, se evitan gravesintrusiones y hurtos de información;

� Separación de las áreas de entrega y carga de materiales:

Las áreas de entrega y carga, si es posible, se aíslan de las instalaciones deprocesamiento de información, a fin de impedir accesos no autorizados;

� Controles en las áreas de entrega y carga de materiales:

o Controlar el acceso a las áreas de depósito, desde el exterior de la sede de laorganización. El acceso estará limitado a personal que sea previamenteidentificado y autorizado;

o Diseñar el área de depósito de manera tal que los suministros puedan serdescargados sin que el personal que realiza la entrega acceda a otros sectoresdel edificio;

o Establecer un mecanismo que obligue a que todas las puertas exteriores de unárea de depósito se cierren cuando se abre la puerta interna;

o Inspeccionar el material entrante para descartar peligros potenciales antes deser trasladado desde el área de depósito hasta el lugar de uso;

� Separación del área de procesamiento de información administrada por laorganización de la administrada por terceros:

Las instalaciones de procesamiento de información administradas por laorganización se ubican físicamente separadas de aquellas administradas porterceros;

� Señalización discreta del edificio:

Establecer una forma de identificación de sectores dentro del edificio de maneradiscreta y se ofrece una señalización mínima de su propósito, sin signos obvios,exteriores o interiores, que identifiquen la presencia de actividades deprocesamiento de información;

� Implantación de sistemas de detección de intrusos:

Implantar adecuados sistemas de detección de intrusos que se instalan segúnestándares profesionales y probados periódicamente. Estos sistemas


94

comprenden todas las puertas exteriores y ventanas accesibles. Las áreas vacíasdeben tener alarmas activadas en todo momento. También se considera laprotección de otras áreas, como la sala de cómputos o las salas decomunicaciones;

� No hacer pública información sensible:

o Las guías telefónicas y listados de teléfonos internos que identifican lasubicaciones de las instalaciones de procesamiento de información sensible nodeben ser fácilmente accesibles al público;

o Llevar un exhaustivo control de la información publicada en los servidoresWeb de acceso Público, en particular la referida a la institución.

3.1.1.2 Protección de los equipos

Se analiza en esta parte la protección de los distintos Activos a nivel físico. Se evalúala posibilidad de implementar alguna de las siguientes técnicas:

� Evaluación de la distribución física de los activos:

Se realiza a fin de evitar accidentes, o para prevenir, mediante la ubicaciónestratégica de los bienes, hurtos o deterioros de activos:

o Ubicar las instalaciones clave en lugares a los cuales no pueda acceder elpúblico;

o Ubicar las funciones y el equipamiento de soporte compartidas por losusuarios, por ejemplo, fotocopiadoras, máquinas de fax, dentro del áreaprotegida para evitar solicitudes de acceso, que podrían comprometer lainformación;

� Mantener alejados los suministros:

o Almacenar los materiales peligrosos o combustibles en lugares seguros a unadistancia prudencial del área protegida;

o No almacenar los suministros a granel, como los útiles de escritorio, en elárea protegida hasta que sean requeridos;

� Individualización de los elementos de red:

Es fundamental tener un conocimiento completo de la red, individualizar todossus elementos, su respectiva ubicación física y su dirección lógica.

Para ello se presenta una tabla que registra estos datos: el Mapa de elementos dered.


95

Mapa de Elementos de Red

SUBNET ELEMENTO SECTOR IP


SUBNET: Dirección IP de la subred a la que pertenece.

ELEMENTO: tipo de elemento de red:

� CPU;

� Router;

� Switch;

SECTOR: lugar físico donde el elemento está ubicado el elemento;

IP: dirección IP local de la máquina;

� Rotulación de activos físicos:

Los equipos, dispositivos externos, cintas de backup y demás activos físicosdeben ser rotulados según la nomenclatura fijada en el Inventario de ActivosFísicos de forma clara y legible;

� Control de cambios en equipos:

o Mantener el equipamiento de acuerdo con los intervalos de servicio yespecificaciones recomendados por el proveedor;

o Permitir que sólo personal de mantenimiento autorizado brinde mantenimientoy lleve a cabo reparaciones en el equipamiento;

o Mantener registro de todas las fallas supuestas o reales en el Registro deIncidencias y de todo el mantenimiento preventivo, correctivo yactualizaciones de hardware en el documento de ABM Activos y en elInventario de Activos Físicos, según lo especificado en la fase deMantenimiento de la MAEI;

o Verificar que en el mantenimiento se cumpla con todos los requisitosimpuestos por las pólizas de seguro;

� Prevención de catástrofes:


96

o Incendios:

Provocados por rayos, por fallas eléctricas o descuido de los usuarios(cigarrillos, hornallas). Colocar extinguidotes automáticos en los techos, yextinguidotes manuales en todo el edificio;

o Humo:

Provocado por incendios y por el cigarrillo. El humo ataca los discosmagnéticos y ópticos y provoca trastornos en la ventilación de los artefactoseléctricos. Se considera prohibir fumar en las oficinas y colocar detectores dehumo en los techos;

o Temperaturas extremas:

Los artefactos eléctricos y electrónicos funcionan correctamente dentro de unrango determinado de temperaturas, en general entre los 0 y los 70 gradoscentígrados. Si se exceden estos extremos se corre el riesgo de que losmateriales dejen de ser ferromagnéticos. Consultar los manuales de losfabricantes y mantener la temperatura dentro de los rangos sugeridos. Seaconseja la utilización de equipos de aire acondicionado en todas las salas;

o Polvo:

El polvo se deposita sobre los artefactos removibles y entra por losventiladores de las CPU y daña los circuitos. Es necesario tener una rutina delimpieza y aspiración de los ambientes;

o Explosiones;

o Vibraciones:

Ciertos objetos presentes en oficinas provocan vibraciones indeseadas.Impresoras, máquinas expendedoras de bebidas, provocan estas vibraciones.Instalar plataformas antivibración;

o Electricidad:

Trastornos o fallas en la línea eléctrica pueden provocar cortocircuitos, subidasde tensión, cortes en el flujo eléctrico y hasta incendios. Instalar cables atierra y estabilizadores de tensión. También se sugiere la utilización debaterías o unidades de alimentación ininterrumpida;

o Tormentas eléctricas:

Las tormentas eléctricas pueden provocar altísimas subidas de tensión quequemen los equipos. Para evitar esto se colocan pararrayos, guardar losbackups lejos de columnas metálicas para que no se desmagneticen, ydesconectar los equipos de la línea eléctrica cada vez que se desata unatormenta;


97

o Ruido eléctrico:

El ruido eléctrico es generado por motores, equipos eléctricos y celulares.Colocar filtros en la línea de alimentación y alejar los equipos de otrosartefactos;

o Humedad:

El exceso de humedad en equipos eléctricos provoca cortocircuitos y laescasez de humedad provoca estática. Se recomienda instalar alarmasantihumedad y mantener la misma al 20%;

o Inundaciones:

Colocar los equipos alejados del piso, instalar un falso suelo o ubicar censoresen el piso que corten el suministro de energía eléctrica al detectar agua;

o Terremotos:

Para proteger los equipos más críticos de los terremotos se fijan éstos demanera que no se puedan desplazar y se trata de ubicar todo equipo alejadode las ventanas;

o Insectos;

o Comida y bebidas:

La organización debe analizar su política respecto de comer, beber y fumarcerca de las instalaciones de procesamiento de información. Se recomiendaprohibir estas actividades para proteger los equipos e instalaciones;

o Terminales abandonadas:

Las terminales encendidas en desuso son un riesgo alto. Utilizar un sistemaautomático de detección y apagado de terminales encendidas en desuso;

o Vandalismo;

o Hurto;

� Ubicación de la información crítica en lugares seguros:

Mantener el equipamiento de sistemas de soporte UPC (usage parameter control),de reposición de información perdida (fallback) y los medios informáticos derespaldo (backups) a una distancia prudencial de la fuente de información, enlugares protegidos contra intrusos y catástrofes naturales que permitan evitardaños ocasionados por eventuales desastres en el sitio original;


98

� Protección de las copias de respaldo:

Los medios que contienen las copias de respaldo o backup como cintas o discosdeben ser cuidadosamente almacenados en lugares alejados de la fuente de datosy protegidos contra robo, incendio e inundación;

� Protección de las unidades de soporte de información:

Manejar las cintas, discos, diskettes u otros dispositivos que contenganinformación crítica según las especificaciones de los fabricantes, a fin de evitarpérdidas o daño de la información;

� Restricción del acceso a unidades removibles:

Únicamente los usuarios locales deben tener acceso a las unidades removiblescomo discos removibles, CD-ROM y floppy disks;

� Garantizar el adecuado suministro de energía:

Proteger el equipamiento con respecto a las posibles fallas en el suministro deenergía u otras anomalías eléctricas. Se debe contar con un adecuado suministrode energía que esté de acuerdo con las especificaciones del fabricante oproveedor de los equipos. Se recomiendan las siguientes opciones para asegurarla continuidad del suministro de energía:

o Usar múltiples bocas de suministro para evitar un único punto de falla en elsuministro de energía;

o Utilizar fuentes o suministros de energía ininterrumpible (UPS);

o Se recomienda usar una UPS para asegurar el apagado normal o la ejecucióncontinua del equipamiento que sustenta las operaciones críticas de laorganización;

o Tener un generador de respaldo;

o Se recomienda el empleo de un generador de respaldo si no se puedeinterrumpir un proceso en caso de una falla prolongada en el suministro deenergía;

o Ubicar interruptores de emergencia cerca de las salidas de emergencia de lassalas donde se encuentra el equipamiento, a fin de facilitar un corte rápido dela energía en caso de producirse una situación crítica;

o Proveer de iluminación de emergencia en caso de producirse una falla en elsuministro principal de energía;

� Protección del cableado:

Proteger contra interceptación o daño del cableado de energía eléctrica y decomunicaciones, que transporta datos o brinda apoyo a los servicios deinformación:

o Instalar líneas de energía eléctrica y telecomunicaciones que se conectan conlas instalaciones de procesamiento de información subterráneas, o sujetas auna adecuada protección alternativa;


99

o Proteger el cableado de red contra interceptación no autorizada o daño,evitando trayectos que atraviesen áreas públicas;

o Separar los cables de energía de los cables de comunicaciones para evitarinterferencias;

o Instalar conductos blindados y recintos o cajas con cerradura en los puntosterminales y de control:

▪ Usar cableado de fibra óptica;

▪ Realizar barridos para eliminar dispositivos no autorizados conectados alos cables.

� Protección de los equipos utilizados fuera de la organización:

El nivel gerencial debe autorizar el uso de equipamiento destinado alprocesamiento de información fuera del ámbito de la organización. Proveerseguridad de forma equivalente a la suministrada dentro del ámbito de laorganización, para un propósito similar, teniendo en cuenta los riesgos detrabajar fuera de la misma:

o Controlar el equipamiento y dispositivos retirados del ámbito de laorganización para que no estén desatendidos en lugares públicos;

o Transportar las computadoras personales como equipaje de mano y de serposible enmascaradas, durante el viaje;

o Respetar permanentemente las instrucciones del fabricante, por ejemplo,protección por exposición a campos electromagnéticos fuertes;

o Contar con una adecuada cobertura de seguro proteger el equipamiento fueradel ámbito de la organización;

o Contar con medios de protección de las comunicaciones entre los equiposportables (como Laptops) mediante técnicas de encriptación de los canales.

� Control de la baja de equipos:

o Controlar los equipos que se den de baja para evitar la utilización indebida dela información que transporten;

o Verificar el borrado seguro de datos sobrescribiendo las pistas de discos antesde desecharlos;

o Procurar la destrucción física de diskettes y unidades de cinta y todo artefactoremovible capaz de contener información;

o Documentar toda baja o modificación de equipos en el ABM Activos.

� Control de la disponibilidad de almacenamiento:

o Verificar la disponibilidad de espacio de almacenamiento físico de datos;

o Monitorear las demandas de capacidad requeridas por los elementos desoftware;

o Realizar proyecciones sobre los futuros requerimientos de capacidad.


100

3.1.2 Protección lógica

Se analiza en esta parte la protección de los distintos Activos a nivel lógico.

3.1.2.1 Protección de la información

En este apartado se pretende establecer reglas para la protección de la informaciónde la organización objetivo, o sea, técnicas de prevención del hurto, modificación odeterioro de la confidencialidad de los datos con significado para la institución;

� Prevención de ataques externos:

o Eaves dropping:

Es la escucha no autorizada de conversaciones, claves, datos, etc.

Se asegura que no haya cables atravesando zonas públicas, se cierran todaslas salidas de red no utilizadas, proteger el cableado con caños metálicos ocablear al vacío con aire comprimido;

o Ingeniería social:

La Ingeniería social consiste en la manipulación de las personas para quevoluntariamente realicen actos que normalmente no harían, como revelar sucontraseña o cambiarla. Se capacita a los usuarios para prevenirlos de estosataques y se los informa del procedimiento formalizado en la Política deseguridad sobre el cambio de contraseñas;

o Shoulder Surfing:

Consiste en espiar físicamente a los usuarios para obtener claves de acceso alsistema, números válidos de tarjetas de crédito, etc. Se recomienda prevenira los usuarios sobre estos temas a fin de concientizarlos para que tomen loscuidados necesarios;

o Masquerading:

Un intruso puede usar la identidad de un usuario autorizado que no lepertenece simplemente apoderándose de un nombre de usuario y contraseñaválidos. Se capacita a los usuarios para que mantengan en secreto tanto sunombre de usuario como su contraseña para que nadie más los pueda usar ensu nombre;

o Piggy backing:

Se lo llama así al ataque en que un usuario no autorizado accede a una zonarestringida gracias al permiso otorgado a otra persona que sí está autorizada.


101

Para evitar esto se establecen controles en los accesos a las salas y seconstruyen barreras físicas que impidan el acceso;

o Basurero:

Basurero es la obtención de información de los desperdicios dejados alrededorde un sistema:

▪ documentación antigua;

▪ listados viejos;

▪ buffers reimpresoras;

▪ memoria liberada por procesos;

▪ bloques libres de disco;

▪ tachos de basura dentro y fuera del edificio;

▪ diskettes desechados.

Es de vital importancia destruir toda documentación que ya no se utilice, conuna máquina trituradora de papel y borrar los documentos en “forma segura”,según el sistema operativo que se use.

[IRAM/ISO/IEC17799] indica: “Los medios que contienen información sensibledeben ser eliminados de manera segura, por ej. incinerándolos orompiéndolos en pequeños trozos, o eliminando los datos y utilizando losmedios en otra aplicación dentro de la organización.”

Se debe prestar especial atención a la eliminación segura de:

▪ documentos en papel;

▪ grabaciones (audio, video, otros);

▪ papel carbónico;

▪ informes y estadísticas;

▪ cintas de impresora de un sólo uso;

▪ cintas magnéticas;

▪ discos, zips o casetes removibles;

▪ medios de almacenamiento óptico;

▪ listados de programas;

▪ datos de prueba;

▪ documentación del sistema.

� Clasificación de la información:

La información se debe clasificar en cuanto a su acceso (qué perfiles de usuariostienen acceso a lectura, ejecución o modificación de los datos) y en cuanto a sucriticidad. Para clasificarla según su acceso, se hace uso de la Tabla de Accesos


102

sobre Activos Lógicos, y para clasificarla según su criticidad, se hace referencia alinventario de Activos Lógicos;

� Establecer medidas de protección según la clasificación de la información:

Según el tipo de información que se trate, se deberán garantizar controles comose indica a continuación:

o Para la información pública o no restringida:

No es necesario establecer restricciones especiales, más allá de lasrecomendaciones sobre su buen uso y conservación;

o Para la información restringida y/o secreta:

Dependiendo que la información se haya clasificado como restringida o secretase deben cumplir con los siguientes requerimientos mínimos y obligatoriospara su protección:

▪ Autorización:

Los usuarios a quienes por la naturaleza de su trabajo se les permita elacceso a la información clasificada como confidencial o secreta, debenestar expresamente autorizados.

El Dueño de los Datos debe mantener un detalle de los usuariosautorizados a acceder a la información.

El Administrador de Seguridad debe conservar la documentaciónrespaldatoria de las autorizaciones recibidas para los cambios de permisos.

Limitar el acceso a las aplicaciones a través de un adecuado sistema decontrol de accesos.

No permitir el uso de información secreta para propósitos de pruebadurante los desarrollos o implantaciones. En cuanto a la informaciónrestringida, sólo debe utilizarse teniendo en cuenta las autorizacionesdefinidas en la Norma de Ambientes de procesamiento.

El Dueño de los Datos debe autorizar expresamente el acceso a lainformación en el ambiente de producción por parte de personal del áreade Sistemas, siempre y cuando lo considere absolutamente necesario ydebido a situaciones de emergencia. En estos casos documentar laautorización y las tareas efectuadas, de acuerdo al Procedimiento deAdministración de Usuarios y Recursos.

▪ Conservación:


103

La información clasificada como secreta y los medios físicos donde sealmacene, deben protegerse utilizando cajas de seguridad cuya llave y/ocombinación debe ser conservada por el Dueño de los Datos, quien debeautorizar toda copia adicional de dicha información así como latransmisión, envío, impresión y/o destrucción de la misma.

La conservación de soportes impresos de esta información debe efectuarseen archivos cerrados cuyo acceso físico debe estar restringido únicamentea los usuarios autorizados, según lo especificado en la Norma deProtección física del Manual de Seguridad de la organización.

Realizar el proceso de generación y/o restauración de la información deacuerdo a lo definido en la Norma de Copias de Respaldo.

▪ Impresión:

Imprimir los reportes que contienen información confidencial enimpresoras de acceso exclusivo para usuarios autorizados;

▪ Entrega/Traslado:

Realizar toda entrega de documentación que contenga informaciónsecreta/confidencial en sobre cerrado. Asimismo, establecer mecanismosque permitan asegurarle al remitente de la documentación que ésta fuerecibida por el destinatario correspondiente;

▪ Divulgación a terceros:

Instrumentar convenios de confidencialidad con los terceros que debenacceder a información de la empresa.

No trasmitir información en forma verbal o escrita a personas externas a laempresa, sin la expresa autorización del Dueño de los Datos.

▪ Destrucción:

Destruir toda información secreta y sus correspondientes soportes físicoscuando se considere no vigente y se discontinúe su utilización y/oconservación.

o Informar a los usuarios sobre el manejo de la información:

Toda la información conservada en los equipos informáticos (archivos ycorreos electrónicos residentes en servidores de datos centralizados y/oestaciones de trabajo) puede ser considerada propiedad de la compañía y node los usuarios, dependiendo de su Política de Seguridad, por lo que podrá seradministrada y/o monitoreada por los responsables del área de Sistemas deacuerdo con las pautas de seguridad definidas.


104

Esto debe estar claramente establecido en la Norma de Clasificación yTratamiento de la Información de la empresa y pertinentemente informado atodos los usuarios.

3.1.2.2 Protección del Sistema Operativo.

� Actualización de del Sistema Operativo:

o Actualizar periódicamente los Sistemas Operativos de Servidores y estacionesde trabajo para las diferentes plataformas. En Unix-Linux, actualizar el kernely en la plataforma Microsoft, actualizar el SO con la versión que se considerenecesaria de acuerdo con las necesidades funcionales y las mejorasimplementadas por el fabricante;

o Aplicar los parches (hot fixes, service packs) que publican los proveedores desoftware en todos los equipos. Para ello se recomienda el uso de algúnsoftware de distribución según la cantidad de máquinas a actualizar;

� Estandarización de servidores:

La configuración de seguridad de los equipos puede ser tediosa, pero esnecesaria.

Los servidores deben seguir un estándar para su identificación y para suconfiguración. El Manual de Seguridad incluye estándares técnicos que seelaboran para estos fines. El ES deberá evaluar la posibilidad de elaborar unopara facilitar la tarea de homogenización de configuraciones de seguridad porplataforma deben tener los equipos respecto de la seguridad, que se aplique atodos los servidores existentes, y cada vez que se de de alta a uno nuevo.

Es muy práctico para estos casos la elaboración de scripts de configuración queseteen los parámetros de seguridad automáticamente sin intervención deladministrador del equipo.

� Control del acceso remoto:

Realizar los adecuados controles para evitar el acceso no autorizado a los equiposen forma remota, según lo establecido en la Política de Seguridad de la compañía.

En general se sugiere limitar el acceso remoto a un grupo reducido de usuariospara fines administrativos utilizando medios seguros (protocolos que encripten laidentificación de usuario y la contraseña) y prohibir el acceso remoto de losequipos más críticos.

En todos los casos una práctica muy recomendada es eliminar el acceso dial up alos servidores.


105

� Protección del inicio del sistema:

Establecer la configuración del arranque de los equipos según lo establecido en elManual de Seguridad. La práctica más recomendable es deshabilitar la posibilidadde booteo de los servidores desde el CD-ROM y floppy disk.

� Control de la instalación de programas y dispositivos:

Permitir únicamente a usuarios con privilegios de administrador que instalensoftware y dispositivos en los equipos. Para la actualización de programas desoftware o instalación de dispositivos se debe seguir el lineamiento indicado enlos Procedimientos del Manual de Seguridad para el manejo de incidencias (enuna organización con sistema de Atención al Cliente o Help Desk el procedimientocomenzaría con la solicitud del usuario, la apertura de caso en Help Desk yposterior derivación al responsable. Ver el punto 6.1 Manejo de Incidencias deesta metodología).

� Creación de subsistemas en el sistema operativo limitada:

Sistemas Operativos como la serie Windows permite la creación de subsistemasOS/2 y POSIX. Los de la familia Unix permiten la creación de shells hijos dondecorrer procesos en segundo plano. Ambos casos deben evaluarse según lafuncionalidad del equipo que se trate, y restringir el uso de estas facilidadescuando no sean estrictamente necesarias para el desarrollo de las tareas yservicios que prestan.

� Desconexión de todas las unidades de red inutilizadas:

Muchas veces se conectan unidades de red con fines específicos para algunainstalación remota, etc. Todas las conexiones que no se necesitan deben serremovidas del sistema operativo para evitar el intento de conexión por parte deusuarios no autorizados y el descubrimiento de información.

Ciertas tecnologías exponen información del sistema incluso ante un intentofallido de conexión.

Es ejemplo la utilidad Netware Connections de Novel, que ante un intento deconexión muestra el árbol NDS que contiene al servidor, el número de conexión,la dirección completa de la red, el número de la red y la dirección del nodo,implicando un descubrimiento importante de información.

� Limpieza de la memoria:

Cada vez que el sistema se cierra se deben limpiar las páginas de memoriavirtual;

� Apagado seguro:


106

No permitir el apagado de equipos sin la autenticación (login de un usuario). Laúnica excepción es durante la utilización de medios alternativos de alimentacióneléctrica (como UPSs) durante una emergencia;

� Implantación de un sistema de perfiles y grupos de usuarios:

La administración de usuarios es clave para el mantenimiento de la seguridad delentorno;

Todos los sistemas operativos actuales permiten la creación de usuarios, perfilesde usuario y grupos.

Los usuarios son identificaciones individuales de personas o servicios.

Los perfiles son los tipos de usuarios existentes (generalmente el sistemaoperativo trae un conjunto de perfiles de usuario por defecto, y el administradorluego crea los que considera necesarios).

Los grupos son conjuntos de usuarios. Por lo general se crean grupos paraidentificar a los usuarios que realizan una misma tarea.

Las mejores prácticas de seguridad sugieren crear un conjunto de grupos deusuarios, y asignar los permisos sobre los archivos y directorios a los grupos, y noa los usuarios. Esto hace mucho más sencillo el mantenimiento de los permisosen caso de cambios o recupero de información de cintas de backup, puesto quesolamente hay que modificar los permisos de los grupos, y no individualmente losde los usuarios, que, serán muchos más en número.

Un caso muy común de cambio de permisos que implica trabajo es cuando unusuario cambia de área de trabajo, con el consecuente cambio de permisos deacceso sobre los archivos compartidos. En el caso de que se otorguen permisospor usuario habría que eliminar individualmente todos los permisos de eseusuario a los archivos del área de donde es promovido y agregarle los permisoscorrespondientes al área donde comienza a desenvolverse. Esto puede llegar aser un trabajo engorroso y siempre se corre el riesgo de no eliminar todos lospermisos del usuario, con el consecuente acceso indebido a los recursos.

En cambio, si los permisos son otorgados por grupo, simplemente alcanza coneliminar al usuario del grupo y asignarlo al nuevo, con la automática asignaciónde permisos del grupo al que pertenece.

En general es útil crear grupos por áreas de trabajo o sectores dentro de lasáreas donde todos los usuarios que pertenecen a ese sector acceden con losmismos permisos a los recursos informáticos de la empresa.

� Implantación de una Política sobre las cuentas de usuarios:


107

El Manual de Seguridad de la organización debe contener, entre sus normas yprocedimientos, la Política de ABM de Usuarios. En ella se debe especificar losparámetros que deben cumplir la identificación de usuario (como estándar denomenclatura, responsabilidad del usuario sobre su uso), la cuenta (comovencimiento, bloqueo por inutilización, etc) y las contraseñas (longitud mínima ymáxima, período máximo de uso, políticas de cambios y conformación de lacontraseña, etc).

El ABM de usuarios consiste en la Alta, Baja y Modificación de usuarios en elsistema, entendiéndose por:

o Alta de un usuario: requerimiento de acceso a una aplicación o un serviciopara un usuario inexistente;

o Modificación de un usuario: requerimiento de:

▪ diferentes tipos de acceso a las aplicaciones o servicios,

▪ acceso a una nueva aplicación o servicio;

▪ eliminación de acceso a una aplicación o servicio;

o Baja de un usuario: requerimiento de eliminar los derechos de acceso de eseusuario a toda aplicación o servicio;

o Deshabilitación de un usuario: requerimiento de negar los derechos de accesode ese usuario a toda aplicación o servicio, sin eliminarlo definitivamente deldominio de usuarios;

El Dueño de los Datos del área o sector al cual pertenece el usuario en eldesempeño de sus funciones, debe solicitar la creación, modificación oborrado de la cuenta de usuario;

En una empresa con Help Desk, una operación (ABM) sobre una cuenta deusuario deberá registrarse como un caso y llevarse a cabo según loestablecido en el correspondiente Procedimiento de Administración deUsuarios y Recursos.

Tipos de cuentas de usuarios:

o Cuentas personales: Identificación personal del usuario:

Cada persona debe tener una única identificación personal de usuario en losservicios centralizados de la compañía y es responsable de la correctautilización de la información que se realiza con esa cuenta.

En general, la identificación de la cuenta personal suele ser alfanumérica yestá relacionada con el nombre y apellido del usuario.

o Cuentas de servicios:

Son cuentas de usuarios no personales que se crean con fines específicos:


108

▪ Usuarios creados por defecto durante la instalación de aplicaciones ysistemas operativos: no deben utilizarse con fines operativos;

▪ Usuarios genéricos para satisfacer necesidades propias de la ejecución deaplicaciones o servicios, por ejemplo, para administrar las comunicaciones:deben ser autorizados expresamente por el Oficial de Seguridad;

Para estos casos las contraseñas deben permanecer resguardadas y suacceso debe ser registrado según los Procedimientos correspondientes.

Descripción de las cuentas:

Las cuentas de usuarios generadas en cada uno de las aplicaciones, debencontener, al menos, los siguientes datos:

o El nombre y apellido completo del propietario de la misma y el área detrabajo, en el caso de los usuarios personales;

o En el caso de las cuentas de servicios debe figurar la función para la que fuecreada;

o Debe crearse una cuenta para cada servicio individual con los mínimosprivilegios posibles, y no utilizar una misma cuenta para varios servicios;

Todo usuario se debe comprometer a:

o mantener la confidencialidad de la información a la que acceda;

o utilizar en forma personal y exclusiva su identificación de usuario;

o responsabilizarse del uso que se haga de su identificación de usuario.

� Implantación de una Política de Contraseñas de Usuarios:

El Manual de Seguridad de la organización debe contener, entre sus normas yprocedimientos, la Política de Contraseñas de Usuarios. En ella se debe especificarlos parámetros que deben cumplir las contraseñas.

A continuación se enumera una serie de controles que deberán tenerse en cuentaa la hora de elaborar la Política de Contraseñas:

o Longitud mínima (por ejemplo de 6 caracteres y sin contener blancos);

o Longitud máxima (por ejemplo de 16 caracteres;

o Vida máxima (para obligar a los usuarios a realizar el cambio de clave cadacierto período, por ejemplo de 45 días);

o Vida mínima (para evitar que un usuario realice el cambio obligatorio de laclave a su vencimiento y luego vuelva inmediatamente a la clave anterior)

o Cantidad mínima de caracteres numéricos;

o Cantidad mínima de caracteres alfabéticos;

o Cantidad mínima de caracteres especiales (@#$%^&*);

o Cantidad mínima de caracteres distintos de la última contraseña;


109

o Tiempo mínimo que debe transcurrir antes de reutilizar una password (porejemplo, un año);

o Cantidad mínima de contraseñas distintas antes de reutilizar una. Es unavariante del control anterior, utilizada para el mismo fin;

o Determinar si debe ser cambiada obligatoriamente la primera vez que elusuario ingrese al sistema;

Además, debe cumplir con las siguientes características:

o Debe poder ser cambiada toda vez que el usuario lo requiera;

o No debe ser compartida;

o Se debe preservar su confidencialidad;

o No debe ser fácil de adivinar;

Para lograr esto existen varias soluciones:

▪ Utilizar un software generador de passwords:

Utilizar un software que analice la password (por ejemplo comparando lacontraseña ingresada por el usuario con una lista contenida en undiccionario de contraseñas prohibidas) y rechace contraseñas fáciles almomento de su ingreso;

� Administración de Usuarios:

Garantizar que todos los usuarios posean los privilegios mínimos necesarios parala realización de su tarea.

Las prácticas recomendadas para las cunetas de usuarios son las siguientes:

o Renombrar la cuenta de Administrador Local;

o Crear una cuenta de Administrador Local ficticia. Llamada de forma estándarsegún el sistema operativo del que se trate. Por ejemplo:

▪ Para Windows 2000 en español, llamarla Administrador;

▪ Para Windows 2000 en Inglés, llamarla Administrador;

▪ Para Linux, llamarla root;

o Deshabilitar la cuenta de Administrador ficticia;

o Deshabilitar la cuenta de invitado o Guest;

o Nunca usar cuentas grupales (de uso masivo). Las cuentas deben ser de usoindividual exclusivo;

o Todos los usuarios personales deben autenticarse en el sistema. No se debenpermitir cuentas de usuario personales sin password;

o Establecer una nomenclatura para la denominación de las cuentas de usuariospersonales y para las de servicios (como por ejemplo utilizar las iniciales delnombre seguidas por el apellido);


110

o Utilizar descripciones de usuarios claras y completas que permitan laidentificación y clasificación de los usuarios.

Para lograr una adecuada y efectiva implantación de un sistema de grupos yperfiles de usuarios, sin superposición de roles ni de permisos, y con el fin dedetectar cualquier inconsistencia, se sugiere relevar los usuarios con susrespectivos permisos y roles en un documento generado para tal fin llamadoMapa de Usuarios, que permite la rápida visualización de inconsistencias en laasignación de perfiles.

Mapa de Usuarios

El siguiente documento presenta una alternativa para visualizar, documentar yadministrar los grupos de usuarios:

GRUPO USUARIOS NOMBRE DE INICIODE SESIÓN

OTROS GRUPOS A LOSQUE PERTENECE


GRUPO: nombre del grupo que se está relevando;

USUARIOS: nombre completo de los usuarios que pertenecen a ese grupo;

NOMBRE DE INICIO DE SESIÓN: por ejemplo: pgarcia;

OTROS GRUPOS A LOS QUE PERTENECE: en este campo se agregan todos losgrupos a los que pertenece el usuario, excepto en el que se está definiendo, estosirve para detectar inconsistencias.

También el ES deberá interiorizarse con los permisos proporcionados por perfil, ydeberá verificar que, según la estructura de la organización, ningún usuario estáabusando del sistema con permisos que no le corresponden, y, asimismo, que noexistan usuarios donde sus accesos estén indebidamente restringidos y así,dificultar o impedir su trabajo.

� Revisión de las cuentas de usuario:

El administrador de seguridad debe realizar una periódica revisión de las cuentasde los usuarios del sistema, a fin de detectar usuarios inactivos y realizar lasbajas correspondientes, según el procedimiento de seguridad de administraciónde usuarios;

� Revisión de los permisos de los usuarios:


111

Realizar una periódica revisión de los permisos otorgados sobre le file system ysobre los recursos.

Un control básico consiste en restringir los permisos para los grupos genéricos, eir otorgándolos individualmente o por grupo según la necesidad.

En los sistemas operativos de la línea Microsoft Windows el grupo genérico másabarcativo es el llamado Everyone. En la línea de Linux, es Others (el últimoocteto de los permisos).

� Revisión de los servicios de red:

Revisar periódicamente los servicios de red habilitados y eliminar todos aquéllosque no se necesiten, en particular los que permiten hacer conexiones remotas otransporte de datos en texto plano (como FTP);

� Revisión de los protocolos de red:

Revisar periódicamente los protocolos de red habilitados y eliminar todos aquéllosque no se necesiten, en particular los protocolos antiguos e inseguros (comoNetBIOS);

� Control del inicio de sesión:

Establecer un número máximo de intentos fallidos de inicio de sesión de losusuarios, luego del cual se bloquee la cuenta hasta que el usuario solicite sudesbloqueo mediante el procedimiento vigente.

Asimismo, establecer el período en que una cuenta puede permanecer en estado“bloqueado”, luego del cual se debe proceder al borrado definitivo del usuario,luego de los controles necesarios, indicados en la Norma de administración deusuarios (por ejemplo, el administrador o persona con rol equivalente, encargadade la revisión y eliminación de usuarios, debería consultar con el área de recursoshumanos para obtener la autorización de la eliminación definitiva de un usuario).

La administración de usuarios también implica realizar periódicos controles sobrelos usuarios del sistema, eliminando los que no presenten actividad, según elprocedimiento correspondiente.

� Nombre del último usuario logueado:

Evitar que se muestre la identificación del último usuario que se logueó en elsistema. Esto podría facilitar los ataques de adivinanza de contraseña por fuerzabruta;

� Bloqueo de cuentas de usuario:


112

Las cuentas bloqueadas por intentos fallidos de sesión, o por permanecerinactivas durante un período determinado deben permanecer bloqueadas duranteun tiempo, para impedir el inicio de sesión.

Este período de tiempo puede ser de minutos o días, dependiendo de la criticidadde la información que maneje la empresa objetivo.

Como ejemplo, a continuación se exponen controles sobre las cuentas deusuarios, que deben estar explícitos en las Normas de Usuarios, y deben ser deconocimiento de todos los usuarios del Sistema:

o Toda cuenta de usuario que haya intentado cuatro (4) veces el acceso alsistema en forma fallida y consecutiva, debe ser automáticamente bloqueada;

o Toda cuenta de usuario que no haya accedido al sistema por un período de 60días será bloqueada y se iniciará la gestión de baja de la misma, quecomprende:

▪ verificación por parte de Recursos Humanos y del Dueño de los Datos de lainexistencia del usuario;

▪ aprobación por parte de éste último para la eliminación definitiva de lacuenta.

En caso de comprobar la necesidad de la baja, el Administrador de Seguridaddeberá proceder a su inmediata eliminación. Transcurrida ua cantidad de días(por ejemplo 120) sin utilización de la cuenta, la misma se daráautomáticamente de baja.

� Registros de pistas de auditoría o logs:

Registrar pistas de auditoría, más conocidas como “logs” con el fin de asegurar unadecuado monitoreo de los eventos que pudieran afectar a la seguridad de lainformación de la compañía objetivo.

Toda aplicación utilizada en el entorno productivo debe permitir el registroautomático y la explotación de la información de las siguientes pistas deauditoría:

o Trazas generales a

activar en sistema operativos y equipos decomunicaciones:

▪ Intentos exitosos y fallidos de ingreso de usuarios;

▪ Desconexión forzada de usuarios;

▪ Alta, baja o modificación de usuarios, grupos y/o perfiles;

▪ Cambios en la configuración de la seguridad;

▪ Instalación de software de aplicación;

▪ Encendido y apagado de servidores y equipos de comunicaciones;


113

▪ Procesos de depuración de información no automatizados.

o Trazas generales a activar en aplicaciones:▪ Intentos exitosos y fallidos de ingreso de usuarios;

▪ Desconexión automática de sesiones de usuario por inactividad;

▪ Alta, baja o modificación de usuarios, grupos y/o perfiles;

▪ Cambios en la configuración de la seguridad;

▪ Instalación de software de aplicación;

▪ Procesos manuales de depuración de datos;

▪ Las acciones llevadas a cabo por los usuarios especiales.

o Trazas especiales a activar:▪ Todos los accesos a información clasificada como confidencial;

▪ Todos los eventos de un usuario cuando sean específicamente solicitadospor los Dueños de los Datos;

▪ Todos los accesos de aquellas cuentas de usuarios con altos privilegiossobre los sistemas.

Ejemplo:

A continuación se muestra una porción pequeña de un archivo de log generadopor el sistema operativo Windows 2000 Server, en un entorno con 18 estacionesde trabajo en un dominio de un archivo de log:

7LSR )ecKa eRUa OULJeQ CaWeJRUía 6XceVR 8VXaULR (TXLSR

Aciertos 28/11/2003 11:08:07 Security Inicio/cierre de sesión 540 SYSTEMEMUI_SISTEMAS

Aciertos 28/11/2003 11:07:54 Security Inicio/cierre de sesión 540 EMUI_18$

Aciertos 28/11/2003 11:06:54 Security Inicio/cierre de sesión 538 gmarrolloEMUI_5$

Aciertos 28/11/2003 11:06:54 Security Inicio/cierre de sesión 538 EMUI_5$

Errores 28/11/2003 11:06:34 Security Inicio/cierre de sesión 529 plopez

Errores 28/11/2003 11:06:34 Security Inicio de sesión de la cuenta 681 SYSTEMEMUI_SISTEMAS

Aciertos 28/11/2003 11:06:02 Security Inicio/cierre de sesión 538 lkienEMUI_3$

Aciertos 28/11/2003 11:05:49 Security Inicio/cierre de sesión 538 EMUI_18$EMUI_18$


114

� Revisión de las licencias de software:

Verificar que todos los equipos funcionen con el Sistema Operativo bajo la licenciaotorgada por el proveedor.

� Revisión de los contratos con los proveedores;

En los contratos con los proveedores se deben incluir cláusualas deconfidencialidad de la información tratada, y contemplar los niveles de servicio demantenimiento pos venta acordados.

� Administración de las pistas de auditoría:

Las pistas de auditoría o logs son valiosos sólo cuando pueden ser analizados, yse encuentren disponibles en forma legible y completa. Para lograr esto, losregistros de log deben:

o Ser completos (deben registrar toda la información que se considere útil parael caso);

o Ser auténticos (deben ser verídicos, no deben ser falsificados ni modificadospor nadie);

o Ser íntegros (deben ser completos).

Para ello se debe establecer una serie de controles sobre la lógica de los logs, ysobre la tecnología que los soporta.

A continuación se detallan controles y medidas recomendadas para obtener unregistro de auditoría confiable:

o Acceso a los logs:

Permitir únicamente el acceso a los logs a aquellas personas que sonresponsables de la gestión o control de las mismas;

o Administración del espacio disponible para el almacenamiento:

Revisar periódicamente el crecimiento de las trazas con el objetivo deidentificar la necesidad de depuración de las mismas evitando toda posibilidadde pérdida;

o Eliminación de las pistas:

Ante situaciones que requieran la eliminación de las pistas o trazas deauditoría debido a la falta de espacio de almacenamiento, generar una copiade respaldo antes de proceder a su eliminación. Estas copias debenmantenerse accesibles y adecuadamente registradas en el Inventario deBackup;


115

o Definición de eventos:

Para aquellos entornos que gestionen información sensible se deberán definirlos eventos de seguridad que requieren monitoreo;

o Control de logs:

El Oficial de Seguridad debe controlar periódicamente las pistas de auditoría,con el objetivo de detectar alertas e informar la ocurrencia de las mismas alos responsables de la administración de la seguridad de la información, con elpropósito de definir e implantar las acciones correctivas necesarias para evitaro limitar la repetición del hecho.

Además se deberá informar al Dueño de los Datos involucrado la ocurrenciade eventos críticos de seguridad que puedan interferir en el correctodesempeño la empresa.

o Estadísticas de eventos:

El Oficial de Seguridad deberá generar informes con las estadísticas de loseventos críticos detectados, a fin de tomar las acciones correctivascorrespondientes, cuando la frecuencia de repetición o el impacto lojustifiquen;

o Herramientas de análisis de logs:

A fin de proteger a la información más crítica, en la medida en que se cuentecon la tecnología apropiada, es conveniente realizar una revisión de las pistasde auditoría con herramientas de análisis que faciliten la tarea.

Estas herramientas de análisis de eventos permiten la generación de alarmas,reportes, etc.

� Prevención de enumeración de recursos compartidos

Evitar la enumeración de los recursos compartidos y del administrador deseguridad de cuentas (SAM – Security Account Manager) mediante laconfiguración correspondiente.

3.1.2.3 Protección de los datos.

� Controlar y administrar el acceso de los usuarios sobre los activos lógicos:

Se debe administrar correctamente los recursos lógicos como archivos, bases dedatos, programas de software y data warehouses, y llevar un control sobre ellospara detectar posibles accesos no autorizados, hurto de datos o descubrimientode información.


116

Para este fin se propone la elaboración de una tabla que refleje la asignación depermisos sobre los activos lógicos por perfil y por usuario.

Este documento llamado Tabla de Permisos sobre Activos Lógicos se exhibe acontinuación:

Tabla de Permisos sobre Activos Lógicos

CÓDIGO DESCRIPCIÓN

PERFILESAUTORIZADOS

USUARIOS

AUTORIZADOS PERMISOS CRITICIDAD


CÓDIGO DEL ACTIVO: Es el código correspondiente al activo, previamente asignadoen el Inventario de Activos (ver sección 4.2)

DESCRIPCIÓN: descripción del activo que se está clasificando.

PERFILES AUTORIZADOS: Perfil de usuarios que poseen algún tipo de autorizaciónde acceso al activo.

USUARIOS AUTORIZADOS: Usuarios que poseen algún tipo de autorización deacceso al activo.

PERMISOS: Permisos otorgados a ese perfil o usuario. Puede ser:

o L: lectura;

o E: escritura;

o X: ejecución.

O la combinación de los mismos.

CRITICIDAD: Grado de prioridad de protección que se le asigna al bien, según laexperiencia del Ingeniero, el grado de confidencialidad requerido o el valor asignadopor el usuario.

Esta criticidad se medirá en tres niveles:

o 0 (cero): No crítico;

o 1 (uno): medianamente crítico;

o 2 (dos): altamente crítico.

� Espacio de almacenamiento restringido:


117

Restringir el uso del espacio de almacenamiento común (como servidores dearchivos) a los usuarios creando directorios de uso exclusivo individual o porgrupos de trabajo.

De esta forma se protege la confidencialidad e integridad de los datos de losusuarios, y se ofrece una herramienta de trabajo para los grupos al permitirlescompartir los datos entre los usuarios pertenecientes a ese grupo, y denegar elacceso al resto.

Con esta facilidad es muy útil la creación de grupos de usuarios por área o sector,según la funcionalidad de la tarea que realizan.

� Control de cambios en Software:

Llevar un adecuado control y documentación de los cambios realizados en elsoftware ya sea:

o Una actualización;

o Un cambio de plataforma;

o Agregados de funcionalidad.

Todos los cambios se registrarán adecuadamente en el ABM Activos, como seespecifica en la etapa 4.5 Control de Cambios de esta metodología y en elDocumento de Actualización de Software.

A continuación se presenta el Documento de Actualización de Software para suutilización cuando se realicen puntualmente actualizaciones de software(upgrades). Este documento que tiene como fin específico ayudar aladministrador a controlar el proceso de actualización de software en formaMasiva.

Por ejemplo, cuando se actualiza el software antivirus, que es una tarea ardua yaque muchos programas no permiten que las actualizaciones sean instaladas porusuarios sin permisos de administrador, éste es el que debe pasar máquina pormáquina instalando el software.

El Documento de Actualización de Software se usará como ayuda para el controlde las actualizaciones registrando cada máquina a medida que se avanza con lasworkstations de la red.

Para más detalles referirse a la sección 6.2.6 Control de Cambios.


118

Documento de Actualización de Software

SOFTWARE DESCRIPCIÓN Fecha Server1 Server2 Server.. .

CPU001 CPU002 CPU…

Antivirus

Sdat4299.exe

Actualización del 20/10 Ok Ok Ok Ok Ok Okantivirus

Win2k

Kb823182

Hotfix paraWindows 2000

21/10 Ok Ok Ok Ok Ok Ok

Win2k

Kb824141



Win2k

Kb825119



� Control de impacto de nuevo software:

Antes de instalar nuevo software en los equipos se realiza un control decompatibilidades y aprobación por parte de la gerencia:

o Controlar las licencias de software y de las actualizaciones;

o Verificar los requerimientos de capacidad de procesamiento y almacenamientodel nuevo software;

o Verificar la compatibilidad con la plataforma de hardware utilizada;

o Preparar los ambientes para la actualización;

o Realizar pruebas de instalación y uso del nuevo software antes de lainstalación definitiva;

o Realizar pruebas de recuperación de errores;

o Verificar la compatibilidad del nuevo software con otros elementos existentes;

o Capacitar a los usuarios.

� Instalación y continua actualización de software de detección y reparaciónantivirus:

o Comprobar diariamente la existencia de nuevo software antivirus y susactualizaciones (y documentar las actualizaciones en el ABM Activos y en elDocumento de Actualizaciones de Software);

o Comprobar la ausencia de virus antes de utilizar archivos transportados através de la red, o en medios magnéticos como diskettes, zips, u otros;


119

o Comprobar la ausencia de virus en archivos adjuntos a mensajes en losservidores de mail;

o Comprobar la ausencia de virus en los archivos bajados de Internet(downloads) antes de su ejecución o instalación;

o Realizar planes de continuidad de los negocios ante ataques de virus.

� Realización de copias de seguridad (backups):

o Guardar en forma segura (ver 4.1.1.2 Protección de los equipos) los datoscríticos, información de recuperación de sistemas y registros exactos de lasaplicaciones en forma periódica;

El período de realización de copias y la vida de cada una están definidos en elManual de Procedimientos de realización de copias de seguridad (backups);

o Mantener siempre al menos los tres últimos ciclos de backup;

o Comprobar periódicamente los medios de almacenamiento de los backups(cintas) para garantizar una recuperación exitosa, en caso de necesitarlo;

o Comprobar periódicamente el correcto funcionamiento de las unidades decinta para la recuperación de datos desde los medios físicos dealmacenamiento.

o Verificar los procedimientos y procesos de recuperación a partir de losbackups, para garantizar su eficacia y la adecuada restitución del sistema anteeventualidades;

o Borrar en forma segura el contenido de los dispositivos de backup que esténfuera de uso, o que contengan información vencida;

o Volcar el procedimiento de backup a un documento para el registro y controlde las unidades de almacenamiento, y su relación con el contenidoelectrónico.

Aquí se presenta un registro para llevar ese control de forma ordenada: el Inventariode Backup.

Inventario de Backup

El ES determinará la técnica más conveniente para realizar el Backup en su sistemaobjetivo.

Para la aplicación de cualquier técnica el ES deberá documentar el resguardo dedatos que hizo y proteger ese documento con claves u otros métodos para prohibirsu acceso a extraños. Este documento deberá contener como mínimo la siguienteinformación:

CÓDIGO FECHA TIPO A/S MEDIO PASSWORD

BKP0001 24/10/2003 Incremental A Cinta#******


120


CÓDIGO: Código de 7 dígitos que rotula la copia de seguridad. Sirve para identificarunívocamente cada copia.

Formato: BKPNNNN

Donde N representa un número, que crecerá correlativamente para identificar losbackups;

FECHA: Fecha en que se realizó la copia de seguridad;

TIPO:

� Incremental;

� Normal;

� Diferencial;

� Diaria;

� Copia.

A/S:

� A: Append: si los backups se van concatenando en el medio físico;

� S: sobreescritura: Si los backups son reemplazados por la nueva copia.

MEDIO: Medio físico en el que se realiza la copia. Ej: Cinta#1, Cinta#2;

PASSWORD: Contraseña de cifrado de la copia.

� Restricción de acceso a los datos:

Establecer en forma unívoca los permisos otorgados a cada perfil de usuario paraevitar accesos no autorizados en los distintos entornos:

o Archivos;

o Bases de datos;

o Aplicaciones;

o Servicios.

� Protección de la documentación del sistema:

o Almacenar la documentación del sistema en forma segura: bajo llave enarchivos o armarios de acceso restringido;

o Los documentos de administración de la seguridad deben estar protegidos demanera especial, y sólo debe tener acceso a ellos el o los responsablescorrespondientes. Son de crítico manejo los siguientes documentos:

▪ La Política de Seguridad;

▪ Los manuales de Procedimiento;


121

▪ Los instructivos técnicos;

▪ Los Estándares de seguridad;

▪ El Inventario de Activos;

▪ El Mapa de Vulnerabilidades;

▪ El ABM Activos;

▪ El Diario de Incidencias.

o Proteger la documentación del sistema almacenada en una red local,implementando un sistema de acceso o privilegios por perfil;

o Proteger la documentación del sistema almacenada en una red pública, osuministrada a través de una red pública con métodos seguros:

▪ Permitir sólo acceso a la lectura de los documentos;

▪ Implementar un sistema de verificación de integridad de los archivos,contra las modificaciones no autorizadas;

▪ Implementar métodos de intercambio de información seguro, protegiendola confidencialidad de los datos;

▪ Aplicar otros métodos que garanticen integridad de los datos, según lanecesidad;

▪ Ejemplos de herramientas que se pueden utilizar para lograr esto son:

- Aplicar funciones HASH;

- Aplicar MAC (Message Authentication Code);

- Implementar IPSec.

� Protección de la información publicada en la Web:

La información publicada en Internet debe ser protegida contra modificación, yaque si se ve afectada la integridad de las publicaciones, la seguridad de laempresa, y su reputación estarán en juego.

� Protección del correo electrónico:

Implementar técnicas de encripción de mensajes o firma digital para elintercambio seguro de correo electrónico.

� Protección del tráfico cliente-servidor:

Proteger el tráfico entre equipos clientes y servidores mediante el recursoadecuado según corresponda:

o Firma digital;

o Cifrado de paquetes;

o Autenticación Kerberos;

o Métodos de hash.


122

� Protección del tráfico de los vínculos:

Proteger el tráfico entre equipos distantes mediante el ccifrado de paquetes.

3.1.3 Protección a nivel de la organización.

Se analiza en esta parte la protección de los distintos Activos a nivel de laorganización.

Se deben considerar algunos de los siguientes puntos:

� Elaboración/adecuación de una Normativa de seguridad:

A nivel de la organización, el primer paso en la protección del entorno esestablecer la normativa que dicte los lineamientos sobre los procedimientos, lastareas y procesos informáticos. La normativa se materializa en un “Manual deSeguridad” compuesto por:

o La Política general de Seguridad;

o Las Normas;

o Los procedimientos;

o Los estándares técnico;

o Los Manuales de usuarios.

Para la Elaboración/adecuación de una Normativa de seguridad referirse alcapítulo 4, sección 3 de esta tesis.

� Determinación de la necesidad de un cambio en la estructura de la organización:

o Crear un sector dedicado a la seguridad informática:

Si la empresa en cuestión no presenta la estructura organizacional quesoporte el siguiente esquema de responsabilidades, será tarea de ES diseñar yproponer una serie de responsabilidades a crear en la organización, pudiendoimplicar la creación de un área de Seguridad Informática y una de ControlInterno o Auditoría;

o Determinar los roles y responsabilidades:

Este proyecto consiste en dar una razonable protección a la información através de la correcta administración de la seguridad por parte de losresponsables asignados a cada una de las funciones dentro de la compañíaobjetivo. Para ello se deben definir los roles y las responsabilidades que loejecuten.

A continuación se definen los roles y responsabilidades de cada una de lasfunciones relacionadas con la seguridad:


123

Dueño de los datos

Se llama Dueño de los Datos a todo Director y/o Gerente de cada área de laempresa responsable sobre la información correspondiente a su ámbito detrabajo.

El Dueño de los Datos podrá asignar las tareas de administración y control delas medidas de seguridad del área, a un colaborador, quien recibe el nombrede Dueño de los Datos Delegado.

Son sus principales responsabilidades:

▪ Identificar toda la información de su área, cualquiera sea su forma ymedio de conservación;

▪ Clasificar su información de acuerdo a su grado de criticidad,documentando y actualizando periódicamente esta clasificación;

▪ Determinar qué usuarios de su área pueden acceder a su información,asegurando que cada uno tenga garantizado el ingreso a los datos deacuerdo a sus respectivas funciones, y en el marco de lo especificado porla Norma de Administración de Usuarios, Accesos y Recursos;

▪ Proponer los eventos de seguridad adicionales que considere necesariospara proteger su información.

Oficial de Seguridad

El Oficial de Seguridad es quien tiene a su cargo la definición y elmantenimiento del marco normativo y el asesoramiento a todo el personal dela compañía para su implantación.

En relación a esta función, es responsable de:

▪ Implantar un programa de concientización permanente de usuarios sobrela seguridad de la información y su mantenimiento a futuro;

▪ Mantener actualizada la normativa de seguridad y la lista de todos losDueños de los Datos/ Delegados;

▪ Dar soporte a los involucrados en los procesos de:

- Definición de los Dueños de los Datos/ Delegados;

- Identificación de la información sensible;

- Identificación de las medidas de seguridad necesarias en cada sistemapara cumplir con la normativa;

- Implantación de dichas medidas;

▪ Asistir al Administrador de Seguridad en la implantación de la normativade seguridad informática;

▪ Efectuar el control de los principales eventos que afecten la seguridad dela información y la posterior comunicación y asistencia a los Dueños de losDatos / Delegados y demás responsables en:

- Identificación del problema;

- Análisis del impacto;

- Definición de acciones a llevar a cabo;


124

▪ Participar en la investigación y recomendación de productos de seguridaden conjunto con el área de Sistemas, para la implantación de las medidasde seguridad en los sistemas;

▪ Participar en el proceso de evaluación de los riesgos emergentes ante unasituación de interrupción no prevista del procesamiento de sistemas,definición de las distintas estrategias de recuperación, y en la prueba eimplantación de los planes de recuperación ante desastres definidos;

▪ Participar en el diseño, desarrollo, mantenimiento o adquisición desistemas de aplicación en cuanto a:

- Identificación y evaluación de los controles automatizados del sistema,menúes de usuarios y controles manuales adicionales a incluir en losprocedimientos que acompañen a su operatoria;

- Participación en la definición y evaluación de los lotes de prueba ydurante los procesos de conversión e implantación de los sistemas deaplicación;

- Determinación de los perfiles de usuarios que accedan a cada uno de lospuntos de menú en relación al puesto de trabajo.

Administrador de Seguridad

Se define como tal a la persona que tiene a su cargo la ejecución de lasmedidas de seguridad en algún equipo de procesamiento, servicio y/oaplicación.

Sus principales responsabilidades relacionadas con la protección de lainformación son:

▪ Administrar todas las solicitudes de alta, baja y modificación de permisosrelacionados con los accesos de los usuarios a los respectivos equipos yaplicaciones;

▪ Implantar en los sistemas todos los parámetros definidos en las normas,procedimientos y estándares específicos;

▪ Asistir a los usuarios en las tareas relacionadas con la protección de losdatos;

▪ Analizar e informar cualquier evento que atente contra la seguridadinformática, así como controlar periódicamente que solamente los usuariosautorizados posean acceso a los recursos.

Operador Responsable

Se establecen como Operadores Responsables de la información a:

▪ Los responsables de los archivos centralizados de la información ensoportes (escritos en papel o electrónicos);

▪ Los responsables de los Centros de Procesamiento de Datos o de los sitiosdonde se encuentren los equipos de procesamiento centralizado, decomunicación y/o de almacenamiento;

▪ Sus principales responsabilidades son:

▪ Implantar las medidas de seguridad física definidas para la protección dela información en la normativa correspondiente;


125

▪ Disponer la efectiva custodia de las claves de mayor riesgo de losequipos/servicios/aplicaciones conservadas en medios impresos.

Comité de Cambios

▪ Planificar, priorizar, autorizar y coordinar las tareas a realizar por losdistintos involucrados ante la necesidad de realización de cambios desistemas en producción;

▪ Definir los criterios sobre los cuales se realiza la evaluación de impacto ycriticidad de los cambios;

▪ Liderar los procesos de cambio a realizar ante situaciones de emergencia;

▪ Evaluar periódicamente el registro de los cambios realizados en lossistemas de producción, a fin de ajustar los criterios de evaluación,planificación y priorización de tareas.

Usuarios

Se considera como tales a todos los sujetos que hacen uso de los equipos,servicios y aplicaciones y de la información de la empresa, para poder cumplircon sus respectivas tareas.

Son sus responsabilidades:

▪ Cumplir con todas las medidas de seguridad definidas en el Manual deSeguridad;

▪ Resguardar los soportes de información que conserven en su poder, segúnlo establecido en el Procedimiento de Tratamiento de la Información;

▪ Firmar el Compromiso de Confidencialidad de la Información.

� Implantación de políticas para evitar ataques internos:

[Huerta2000] Afirma que: “el 80 % de los fraudes, robos, sabotajes o accidentesrelacionados con los sistemas informáticos son causados por el propio personal dela organización propietaria de dichos sistemas, lo que se suele denominar insiderfactor.”

Esto significa que la mayoría de los ataques a los sistemas informáticos sonperpetrados por el propio personal que trabaja actualmente en la empresa, o queha trabajado con anterioridad. Estas son personas con envidia, codicia o exempleados que desean vengarse por haber sido despedidos, o por otrasdesconformidades.

Las personas que trabajan en el área de administración de los sistemas, de redeso en desarrollo, tienen conocimiento de claves, formas de acceso, ubicación deinformación crítica y hasta tienen conocimiento de las fallas y debilidades delsistema.

Es por esto que se aconseja tomar medidas preventivas acerca de esta realidad:


126

o Mínimo privilegio:

A cada usuario se le debe otorgar el mínimo privilegio que necesita pararealizar su actividad;

o Conocimiento parcial:

Las actividades críticas de la organización deben ser conocidas y realizadaspor varias personas competentes para que puedan respaldarse en caso deincidencias como accidentes o viajes. No centralizar el conocimiento de datoscríticos en una sola persona, por ejemplo el conocimiento de la contraseña deladministrador debe ser compartido con al menos 2 personas de confianza;

o Rotación de funciones:

Para evitar la complicidad de dos responsables, o evitar el mutuo sabotaje siestán enemistados;

o Separación de funciones:

La separación de funciones es un método usado para reducir el riesgo de maluso, accidental o deliberado del sistema.

▪ Separar la gestión o ejecución de ciertas tareas o áreas deresponsabilidad, a fin de reducir las oportunidades de modificación noautorizada o mal uso de la información o los servicios;

▪ Evitar que una sola persona tenga la responsabilidad total de la seguridadde la empresa;

� Implantación de políticas de escritorios y pantallas limpias:

o Implementar una política de escritorios limpios para proteger documentos enpapel y dispositivos de almacenamiento removibles para evitar robos,pérdidas o daño de la información, y protegerla de desastres naturales.

o Implementar una política de pantallas limpias para reducir los riesgos deacceso no autorizado, pérdida y daño de la información durante el horarionormal de trabajo y fuera del mismo.

▪ Almacenar bajo llave los documentos en papel y los medios dealmacenamiento cuando no están siendo utilizados, especialmente fueradel horario de trabajo;

▪ Guardar bajo llave la información sensible o crítica de la empresa,especialmente cuando no hay personal en la oficina;

▪ No dejar conectadas las computadoras personales, terminales eimpresoras cuando están desatendidas;

Desconectar toda sesión activa cuando la terminal no verifique usodurante un período minutos de duración (10, 15 o 30) e implantarmedidas para bloquear las terminales desatendidas;


127

▪ Proteger las computadoras personales, terminales e impresoras concerraduras de seguridad, contraseñas u otros controles cuando no estánen uso;

▪ Proteger los puntos de recepción y envío de correo y las máquinas de fax ytelex no atendidos;

▪ Bloquear las fotocopiadoras (o protegerlas de alguna manera del uso noautorizado) fuera del horario normal de trabajo;

▪ Retirar de la impresora inmediatamente la información sensible oconfidencial, una vez impresa.

� Separación de las instalaciones de desarrollo, de prueba y producción:

Es fundamental separar físicamente las instalaciones de desarrollo, prueba yproducción para evitar confusiones, pérdida de información y fallas en laconfidencialidad de los datos.

Se debe trabajar en instalaciones separadas que garanticen integridad en elambiente de desarrollo, estabilidad en el ambiente de pruebas y confidencialidaden al ambiente de producción u operación.

Se recomienda la separación entre las instalaciones de desarrollo, pruebas yoperaciones, a fin de reducir el riesgo de cambios accidentales o accesos noautorizados al software operativo y a los datos del negocio.

Se deben tener en cuenta los siguientes controles:

o Ejecutar el software en desarrollo y en producción en diferentes procesadoreso en diferentes dominios o directorios;

o Separar las actividades de desarrollo y prueba;

o Prohibir el acceso a compiladores, editores y otros utilitarios del desde lossistemas que están operativos ( en producción);

o Utilizar diferentes procedimientos de login para sistemas de prueba y enproducción, a fin de reducir el riesgo de error por parte de los usuarios;

o Recomendar a los usuarios la utilización de diferentes contraseñas para estossistemas;

o Definir las reglas para la transferencia de software desde el ambiente dedesarrollo hacia el ambiente de prueba y al de producción y documentarlas enel Manual de Procedimientos correspondiente según lo indica la Política deSeguridad;

� Establecimiento de un método de registro del flujo de personal:

Registrar fecha y hora de entrada y salida del personal, tal como se sugiere en4.1.1.1 Protección de las Instalaciones.

� Implantación de medidas de protección para el transporte de activos:


128

o Utilizar medios de transporte o servicios de mensajería confiables;

o Crear una lista de servicios de mensajería autorizados e implementar unprocedimiento para verificar la identificación de los mismos;

o Proteger el bien contra eventuales daños físicos durante el tránsito con unadecuado embalaje, siguiendo las especificaciones de los fabricantes oproveedores;

o Adoptar controles especiales para proteger la información sensible contradivulgación o modificación no autorizadas;

Por ejemplo:

▪ Usar recipientes cerrados;

▪ Entregar el Activo en mano;

▪ Cuando sea necesario, hacer una división de los bienes a enviar en más deuna entrega y enviarla por diferentes rutas;

▪ Usar una codificación adecuada para rotular los paquetes, que no permitadescifrar el contenido por personal no autorizado.

� Protección de las operaciones de comercio electrónico:

Las transacciones de comercio electrónico comprenden un intercambio deinformación delicada, como precios, números de tarjetas de crédito, créditodisponible de un usuario, y otros datos personales como dirección, número deteléfono, número de documento, y hasta preferencias personales.

Todos estos datos pueden ser interceptados por intrusos que los modifiquen osimplemente saquen provecho de forma fraudulenta de esa información.

Para prevenir el mal uso de nuestros datos, su manipulación o modificación, sedebe hacer uso de herramientas y aplicar técnicas que lo eviten. Estas técnicasdeben garantizar:

o Autenticación del cliente y el comerciante;

o Autorización para fijar precios, emitir o firmar los documentos comerciales;

o Confidencialidad, integridad y prueba de envío y recepción de documentosclave y de no repudio de contratos en los procesos de oferta y contratación;

o Confiabilidad y autenticación en la información sobre precios y descuentos;

o Confidencialidad e integridad de los datos suministrados con respecto aórdenes, pagos y direcciones de entrega, y confirmación de recepción en lastransacciones de compra;

o Verificación de los datos del cliente;

o Cierre de la transacción;

o Determinar la forma de pago más adecuada para evitar fraudes;

o Confidencialidad e integridad de la información sobre órdenes de compra paraevitar la pérdida o duplicación de transacciones;

o Definir la responsabilidad de las partes;


129

o Determinar quién asume el riesgo de eventuales transacciones fraudulentas;

Para implementar estas medidas se puede hacer uso de alguna de lassiguientes herramientas:

▪ Firma digital;

▪ Encripción de datos;

▪ Certificados digitales;

▪ IPSec;

▪ SET (Secure Electronic Transaction).

El ES determinará, según el caso, la forma más adecuada de llevar a caboesta tarea.

� Protección del correo electrónico:

o Determinar cuáles son las cuentas no autorizadas para intercambio de correo;

o Determinar las consideraciones legales aplicables:

▪ Publicación de direcciones corporativas;

▪ Filtrado de contenido de los mensajes;

▪ Necesidad de prueba de envío, origen, entrega y aceptación;

o Determinar las acciones aplicables a correo entrante al dominio para usuariosdesconocidos;

� Implantación de un proceso de autorización para la publicación de informaciónelectrónica de la empresa:

o A través de la publicación de páginas en Internet;

o A través de la difusión de noticias y contenido en mensajes de correoelectrónico;

� Control de las operaciones de oficina:

Las oficinas manejan datos de una forma en que se propicia la divulgación deinformación y el intercambio de datos mediante el uso de documentos impresos,intercambio de archivos, computación móvil, correo postal, correo electrónico,correo de voz, máquinas de fax, comunicaciones telefónicas, serviciosmultimedia, etc;

Se deben controlar:

o La autorización de grabación de comunicaciones telefónicas oteleconferencias;

o La forma en que se distribuye la información, por ejemplo a través decomunicados generales o boletines corporativos;

o El proceso de recepción de correspondencia y su distribución;

o Restricción en el uso de determinadas instalaciones;


130

o Políticas de retención y resguardo de información;

� Persuadir a los empleados del intercambio discreto de información:

En las oficinas se produce un continuo y hasta forzoso intercambio de informaciónentre los empleados de la compañía y entre terceros;

Se debe persuadir a los empleados el intercambio discreto de información,recomendándoles:

o No tratar temas confidenciales en comunicaciones telefónicas, en particularcon teléfonos móviles;

o No tratar temas confidenciales en lugares públicos u oficinas de accesocomún;

o Tener especial cuidado con la información dejada en contestadoresautomáticos ya que puede ser escuchada por personas no autorizadas;

o Tener especial cuidado al enviar mensajes por fax, ya que se puede enviardocumentación a un número erróneo;

� Reportar los incidencias:

Crear un circuito que permita el reporte, registro y solución de incidencias, asícomo la prevención a partir de la Norma de Manejo de incidencias del Manual deSeguridad Informática.

Para más detalles sobre el manejo de incidencias ver la etapa 6.1 de la MAEI.

� Controlar los cambios:

Mantener un control sobre los cambios realizados en el entorno, en equipos, ensoftware y otros recursos.

Para ello se recomienda seguir el procedimiento fijado en la Norma de Control deCambios, y, para una fácil administración de los cambios, referirse a la sección6.2 de esta metodología.

3.2 APROBACIÓN DEL PLAN DE ASEGURAMIENTO

Una vez elaborado el plan de Aseguramiento, el cliente debe dar su aprobación parasu implantación.

Como todo proyecto, debe estar acompañado del apoyo del nivel gerencial y de losresponsables directos involucrados.


131

El proceso de aprobación variará según las costumbres y políticas del cliente, pero entodos los casos va acompañado de la asignación de un presupuesto a invertir en losrecursos asignados en la planificación.


132

4 IMPLANTACIÓN

Contenido:


4.1.1 Inventario de Activos

4.1.2 Ejemplo – Inventario de Activos

4.1.3 Rotulación de activos

4.1.4 Análisis de Criticidades


4.2.1 Identificación de la información

4.2.2 Tipos de información

4.2.3 Beneficios de la clasificación de la información

4.2.4 Riesgos de la información

4.3 Elaboración/ adaptación de la Normativa de Seguridad

4.3.1 Interiorización del experto con la política y negocio de la organización

4.3.2 Elaboración/adaptación de la Normativa de Seguridad

4.3.2.1 Política de Seguridad

4.3.2.1.1 Definición

4.3.2.1.2 Ámbitos de aplicación y personal afectado

4.3.2.2 Normas y Procedimientos


4.3.2.2.2 Espectro de las Normas y los Procedimientos

4.3.2.2.3 Ejemplo - Normas y Procedimientos

4.3.2.3 Estándares, Esquemas y Manuales de usuarios


4.3.2.4 Implantación y uso de la Normativa de Seguridad

4.3.2.5 Convenio de Confidencialidad



4.4.1 Implantación de una campaña de concientización

4.4.2 Capacitación de los usuarios


133


4.5.1 Implantación a nivel físico

4.5.2 Implantación a nivel lógico

4.5.3 Implantación a nivel de la organización

4.6 Elaboración del Plan de Recuperación del Entorno ante Desastres (PRED)

4.6.1 Establecimiento del escenario considerado

4.6.2 Determinación de los tipos de operación en una contingencia

4.6.3 Establecimiento de criticidades

4.6.3.1 Tabla de Criticidades por Equipo

4.6.3.2 Ejemplo - Tabla de Criticidades por Equipo

4.6.3.3 Tabla de Criticidades por Servicios

4.6.3.4 Ejemplo - Tabla de Criticidades por Servicios

4.6.3.5 Tabla de Criticidades por Aplicaciones

4.6.3.6 Ejemplo - Tabla de Criticidades por Aplicaciones

4.6.4 Determinación de las prestaciones mínimas

4.6.5 Análisis de riesgos

4.6.5.1 Probabilidad de ocurrencia de desastres

4.6.5.2 Determinación de los niveles de desastre

4.6.6 Presentación de las distintas estrategias posibles de recuperación

4.6.7 Selección de la estrategia de recuperación

4.6.8 Elaboración de la estrategia de recuperación

4.6.8.1 Mitigación de riesgos – Medidas preventivas

4.6.8.2 Descripción de la estrategia

4.6.8.3 Requerimientos para llevar a cabo el Plan

4.6.8.4 Esquemas técnicos

4.6.8.5 Formación del Equipo de Recuperación del Entorno ante Desastres(ERED)

4.6.8.5.1 Roles y responsabilidades

4.6.8.5.2 Asignación de roles

4.6.8.6 Establecimiento de los procedimientos

4.6.8.6.1 Declaración de la emergencia

4.6.8.6.2 Recuperación de las prestaciones

4.6.8.6.3 Reestablecimiento de las condiciones normales


134

Culminadas las fases correspondientes a la primera parte de esta metodología, elestudio del entorno, se da comienzo al segundo y último grupo de fases llamadoImplantación de la solución. Dentro de este grupo se encuentra la fase que da títuloal presente capítulo. En el mismo se desarrolla la implantación de la solución.

En esta fase se lleva a la práctica lo planificado realizando los controles y ajustesnecesarios según lo relevado anteriormente.

A su vez, y como en todo este trabajo, este capítulo se divide en etapas quedescriben tareas.

Se pretende llevar un orden en la ejecución de las etapas aquí presentadas, pues esde particular importancia para seguir el razonamiento desarrollado en esta tesis.

Las etapas a desarrollar son las siguientes:



4.3 Elaboración/adaptación de la Normativa de Seguridad



4.6 Elaboración del Plan de Recuperación del Entorno ante Desastres

Cada una tiene un objetivo específico e individual, que contribuye en parte a lograr elobjetivo de la fase, que es la implantación de las medidas de seguridad planificadas.

El ES considerará la necesidad de implementar todas o alguna de las etapaspropuestas, pero de hacerlo, deberá respetar el orden sugerido ya que las tareas quese desarrollan alimentan muchas veces a otras que les siguen, aunque nonecesariamente deben estar todas presentes.

La Clasificación de la Información no puede realizarse sin un relevamiento de losactivos físicos y lógicos de la Organización, aunque no es estrictamente necesarioque se formalice esto en un inventario como se sugiere en la etapa 4.1.

También, para la elaboración del Manual de Seguridad, en particular de ciertosprocedimientos como los de manipulación de equipos, el de transmisión de datos, elde borrado seguro de información, es necesario clasificar la información., y a su vez,para poder clasificar la información se debe contar con la Norma que establezca esaclasificación.


135

Más allá de la interdependencia entre etapas, la fase debe interpretarse como unaunidad en la que se pretende materializar las medidas planificadas para lograr elaseguramiento del entorno.

4.1 Elaboración del Relevamiento de Activos.

Según [IRAM17799] “para mantener una adecuada protección de los activos de laorganización se debe rendir cuentas por todos los recursos de informaciónimportantes y se debe designar un propietario para cada uno de ellos”.

En esta etapa de la MAEI el ES realiza un detallado relevamiento de los bines oactivos en posesión de la organización objetivo.

Para el desarrollo de esta tarea se presenta una tabla para la documentación de laexistencia de los recursos de hardware, software y la información de una empresa ysu clasificación, según su criticidad.

Este documento es el Inventario de Activos.

4.1.1 Inventario de Activos

El Inventario de Activos aquí propuesto pretende llevar una contabilidad de los bienesde la organización en cuestión, clasificándolos según el nivel de protección que cadauno necesita, según la valorización de los responsables.

Se hará distinción entre los elementos físicos o tangibles (como las instalaciones) ylos lógicos o intangibles (como la información).

Para este fin se propone la elaboración de un Inventario de Activos Físicos, y unInventario de Activos Lógicos.

El Inventario de Activos Físicos contendrá los siguientes elementos:

� Elementos de hardware:

o Equipamiento informático: monitores, módems;

o Equipos de comunicaciones: routers, PABXs, hubs, switches, etc;

o Medios magnéticos: cintas y discos removibles;


136

o Periféricos: impresoras, máquinas de fax, contestadores automáticos;

o Cableado: cables internos y externos;

o Otros equipos técnicos: de suministro de electricidad como UPSs, aireacondicionado;

o Mobiliario, lugares de emplazamiento;

o Se hará una distinción especial sobre las CPUs para facilitar su identificación.

� CPUs:

Se establece una distinción del resto de los elementos de hardware para su fácilidentificación:

o Procesadores, computadoras portátiles.

Asimismo, el Inventario de Activos Lógico contendrá estos elementos:

� Elementos de software:

o Sistemas operativos;

o Software de aplicaciones;

o Software de sistemas;

o Herramientas de desarrollo;

o Utilitarios.

� Servicios:

o Servicios informáticos;

o Servicios de comunicaciones;

o Servicios generales (calefacción, iluminación, energía eléctrica, aireacondicionado).

� Datos:

o bases de datos;

o archivos;

o documentación de sistemas: manuales de usuario, material de capacitación,procedimientos operativos o de soporte, planes de continuidad, documentosde alcance, de diseño, de pruebas, etc.;

o información archivada.

� Backups:

Se hace especial mención de los elementos de recuperación de información,para su correcta administración, actualización y control y como apoyo aldocumento de Administración de Backups [3.1.2.4]


137

Estructura del Inventario de Activos

CÓDIGO DESCRIP. UBICACIÓN RESP.

FECHACREACIÓN

FECHAEXPIRACIÓN

CRI-TICI-DAD

ES-TA-

DO


CÓDIGO: Es el código rotulador que se asignará a cada elemento que permitiráidentificar cada bien unívocamente, para su identificación y seguimiento. Este rótulose deberá colocar a la vista en elementos físicos (productos de hardware, cintas debackup, periféricos, etc) para su identificación.

Se establece para ello la siguiente clasificación de elementos:

� Hardware Æ notado HDW

� CPUs Æ notado CPU

� Software Æ notado STW

� Servicio Æ notado SRV

� Datos Æ notado DAT

� Backup Æ notado BKP

La codificación de los activos se realiza concatenando la sigla del tipo de elementocon un número correlativo creciente decimal de 4 dígitos.

Por ejemplo:

HDW0034: es el elemento de hardware número 34

BKP0102: es el backup número 102

NOTA: cabe destacar que este tipo de codificación incrementa la seguridad,protegiendo los elementos de backup contra hurto, ya que el rótulo no se puederelacionar inmediatamente con la fecha de backup y la aplicación sobre la cual serealizó la copia de seguridad, si no es mediante el presente documento, queestablece una relación única entre el código de activo y la descripción.


138

DESCRIP.: es una descripción del elemento en cuestión en la que se debe destacarmarca del producto, y otros datos relevantes (como número de serie, etc)

UBICACIÓN: Es la ubicación física del activo. Para elementos de hardware, será elpiso, el sector, sala donde está ubicado. Para elementos de software será la ubicaciónlógica del archivo: servidor o PC con path completo en la unidad de hardwarecorrespondiente.

RESP.: Es la persona que se hace cargo del elemento cuando ocurre un incidente enel que esté involucrado.

FECHA CREACIÓN: Para elementos de hardware será la fecha de compra delmismo, o la de fabricación, y para los elementos de software se considerará la fechade creación de dicho archivo.

Formato: dd/mm/aaaa

FECHA EXPIRACIÓN: Frecuentemente, la información deja de ser sensible o críticadespués de un cierto período de tiempo, por ejemplo, cuando la información se hahecho pública.

Para elementos de hardware este campo puede dejarse en blanco, salvo que elelemento sea alquilado y tenga una fecha de baja preestablecida, y para loselementos de software se considerará la fecha en que la información contenida en elarchivo pierda validez, o se realice la depuración correspondiente.

Formato: dd/mm/aaaa

CRITICIDAD: Indica el grado de protección que se le deberá asignar al bien, segúnla experiencia del Ingeniero o el valor asignado por el usuario.

Este nivel de criticidad será asignado en el Inventario de Activos una vez hecho elcorrespondiente Análisis de Criticidades y la posterior Clasificación de la Información.

Por el momento, se sugiere dejar este campo vacío y completarlo una vez pasadaslas etapas mencionadas.

Para más detalles en cuanto al Análisis de Criticidades ver el apartado 4.1.2 de estaTesis.

Para la Clasificación de la Información consultar la parte 4.2.

ESTADO: puede tomar tres valores:


139

� A: Significa que el activo ha sido dado de alta y efectivamente forma parte del

inventario actual de la organización;

� B: Indica que el activo existió, y fue dado de baja;

� M: El activo ha sido modificado (pero sigue en uso).

4.1.2 Ejemplo – Inventario de Activos

Inventario de Activos Físicos


FECHACREACIÓN

FECHAEXPIRACIÓN

CRI-TICI-DAD

ES-TA-

DO

HDW0001 Mouse serie Piso 9, sectorLogitech QA, cpu: Martinez

HW0017

María 12/2001 - (011)A

--- --- --- --- --- --- --- …

HDW0034 Router Cisco Piso 7, sector Manuel8000 comunicaciones Belgrano

7/2003 - (021)A

--- --- --- --- --- --- --- …

--- --- --- --- --- --- --- …

--- --- --- --- --- --- --- …

Inventario de Activos Lógicos


FECHACREACIÓN

FECHAEXPIRACIÓN

CRI-TICI-DAD

ES-TA-

DO

BKP0102 Backup deSrv01/externo/proy5.mbd

HW0024 Juan 20/05/2003 20/06/2003 (233)Perez

B

--- --- --- --- --- --- --- …

DAT0067 Notas delogística enformato .doc

CPU0002/d:/Logística/Notas/

MaríaLópez

14/12/2002 14/12/2003 (121)A

--- --- --- --- --- --- --- …

BKP0106 Backup deSrv01/externo/proy5.mbd

HW0024 Juan 20/06/2003 20/07/2003 (233)Perez

M

--- --- --- --- --- --- --- …


140

4.1.3 Rotulación de activos

Luego de la clasificación de la información y de la elaboración del inventario deActivos Lógicos y del Inventario de Activos Físicos se procede a la identificación delos activos por medio de rótulos o labels.

La ventaja de llevar actualizado los inventarios es que de esta forma se puedenrotular los activos con el código asignado en el Inventario, y no con la descripciónexplícita.

Este mecanismo es muy útil para proteger la información contra hurtos y sabotajes.

Un ejemplo claro es el caso de las cintas de backup. Si una cinta de backup contieneuna indicación clara de la información que contiene, su criticidad, la fecha en que serealizó, etc, es susceptible de ser un blanco de codicia por parte de intrusoshambrientos de información.

Es mucho más fácil para un delincuente extraer de la empresa una cinta de backupque una CPU, y más fácil aún que penetrar las barreras de seguridad lógica de la red.

La forma en que se rotulen los activos puede ser muy variada, pero para hacer estose deberá desarrollar un estándar que indique claramente cómo se realizará estaidentificación, si se utilizará una nomenclatura distinta de la del inventario de Activos,para lo cual se deberá establecer la relación entre el código registrado en elInventario y el asignado al medio físico.

Esta práctica es la menos recomendada, ya que provoca confusiones, es máslaboriosa, se pierde integridad en la forma de manejar los indicadores, y está enriesgo la pérdida de la transformación que relaciona la descripción del activo (entradaen el Inventario de Activos) y su rótulo, que es la identificación asignada para suvisualización física.

Mucho más práctico es utilizar el código asignado en el Inventario de Activos que fuediseñado con el fin de otorgar una descripción al personal que maneja los bienes ensu labor diaria, pero que no aporta información sobre su contenido y clasificación apersonas ajenas al manejo de estos códigos.

4.1.4 Análisis de Criticidades

El análisis de criticidades es el paso previo a la Clasificación de la Información.


141

Para clasificar la información de acuerdo a algún rango establecido en primer lugarhay que establecer cuán crítico es el activo en cuestión.

La criticidad se puede expresar mediante la necesidad de conservar tres atributos:

� La autenticidad;

� La disponibilidad;

� La integridad.

Cada Dueño de los Datos debe analizar su información para proceder a suclasificación, basándose principalmente en los perjuicios que pudiera ocasionarle a laCompañía objetivo y/o a su personal, el incumplimiento de alguno de los valoresestablecidos en la Política General. Dichos prejuicios pueden ser: sociales, legales, deimagen, políticos, económicos y/o financieros.

La clasificación de la información debe estar sustentada por los siguientes criteriosbásicos:

� El valor estratégico de la información para la Compañía;

� La ventaja competitiva que puede darles a terceros su conocimiento;

� Los criterios específicos que definan las autoridades de la Compañía;

� Las leyes y reglamentaciones vigentes.

Asimismo, el impacto y probabilidad de una pérdida en seguridad se pueden clasificaren cuatro niveles:

� Nivel 3: Alto riesgo; Daño irreparable, Impacto a nivel corporativo de 2 a 5 años.Es un objetivo de ataque de alta probabilidad;

� Nivel 2: Nivel 2: Daño Significativo. Impacto a nivel de país de la empresa / sedehasta 2 años. Es un objetivo posible.

� Nivel 1: Daño Moderado. A nivel departamental. Impacto de menos de 1 año. Esun objetivo poco probable;

� Nivel 0: Ningún Daño. Con licencia completa. Dominio público. No es un objetivode ataque.

Para establecer la criticidad del activo se sugiere la siguiente notación, de usocomún en varias compañías internacionales:

(Nivel de autenticidad, Nivel de disponibilidad, Nivel de integridad)


142

Cuanto mayor sea el nivel con que se clasifique la información, mayor será el riesgode la misma y por ende los controles que se ejerzan sobre ella para protegerla.

Ejemplo: (0,1,3) implica que la información necesita garantizar una autenticidadmínima, un nivel moderado de integridad, y un alto requerimiento de integridad, porlo que se deberá hacer hincapié en controles que garanticen este último atributo.


La Clasificación de la Información de la Compañía debe estar alineada a la Política deSeguridad de la compañía, y se debe definir para cada una de las áreas de negocio.

El tratamiento de la Información debe responder a su clasificación.

4.2.1 Identificación de la información

Los gerentes de las áreas o de las divisiones, que son Dueños de los Datos, tienen laresponsabilidad primaria de clasificar la información y protegerla adecuadamente. Laclasificación de datos y los procedimientos de manejo especial se usan para protegerlos datos de divulgaciones no autorizadas.

Cada Dueño de los Datos debe identificar toda la información que se genera dentrodel área que maneja, en todas sus formas y medios, tales como:

� documentos propios y/o de terceros;

� información en los sistemas/equipos de procesamiento, individuales y/ocentralizados;

� informes, reportes y listados;

� medios magnéticos móviles;

� cualquier otro soporte físico que contenga información.

La dirección de la empresa debe evaluar la probabilidad y el impacto producto de ladivulgación, modificación y/o pérdida de información, como base para determinar elvalor de la información.

Cada organización deberá establecer las categorías adecuadas para la clasificación dela información que maneja. En algunos casos manejará información confidencial, enotros será restringida o pública.


143

4.2.2 Tipos de información

Existen muchos modelos de clasificación de la Información, unos más populares queotros. Es importante entender el negocio de la empresa objetivo para determinar elque más se ajusta a su realidad.

Entre los modelos más utilizados está el siguiente, en el que la información se puedeclasificar en tres categorías:

� Confidencial o Sensible: Información de acceso restringido, con alto grado desecreto, sobre la que tiene permiso un grupo reducido de usuarios (generalmentede alto rango jerárquico) sobre la que se deben realizar estrictos controles;

Se trata de toda aquella información que puede presentar mayores riesgos parala Compañía, y que sólo debe ser utilizada por el Dueño de los Datos y laspersonas expresa y directamente autorizadas por él en forma específica.

Por ejemplo:

o Políticas de largo alcance;

o Fórmulas críticas que no llevan protección de patentes;

o Planes de fusión y adquisición.

Los generadores de este tipo de información, o el correspondiente Dueño de losDatos, deben proceder a clasificarla y salvaguardarla de acuerdo al Procedimientode Tratamiento de Información.

Además, es necesario incluir en los registros de eventos, todos aquéllos referidosa la actualización de esta información.

� Restringida: Información de acceso medianamente restringido (utilizada porusuarios de rango medio, empleados) sobre la que es necesario realizarsuficientes controles para garantizar el acceso adecuado;

� Pública: Información de acceso libre, sobre la que se realizan los mínimoscontroles (información disponible para la comunidad);

En otros casos, se utilizan modelos de más niveles de detalle, en los que se incluyen,además de los anteriores, los siguientes:

� Privada: relacionada con los individuos, tal como evaluaciones de desempeño,compensaciones y beneficios, carpetas personales o registros médicos;


144

� Uso Interno: relacionada con la operatoria diaria, como por ejemplo planes deviajes y reuniones, iniciativas de proyectos, distribución física de usuarios yrecursos, precios y demarcaciones.

4.2.3 Beneficios de la clasificación de la información

� Mejora de forma continua la seguridad de la información;

� Establece los principales controles necesarios para evitar accesos externos ointernos no autorizados a la información.;

� Brinda medidas de control para la protección de datos de carácter personal;

� Posiciona la utilización del correo electrónico e Internet como una herramienta detrabajo;

� Permite la identificación de acciones indebidas en los sistemas;

� Promueve el buen uso y protección de las contraseñas.

4.2.4 Riesgos de la información

Para establecer una clasificación es necesario realizar el paso previo según estametodología, que consiste en hacer un análisis de la criticidad de los Activos lógicos yfísicos. Ver 4.1.2 Análisis de Criticidades.

Asimismo, el Dueño de los Datos debe identificar los riesgos a los cuales estáexpuesta su información, teniendo en cuenta la posibilidad de que personal internoy/o externo realice:

� Divulgación no autorizada;

� Modificación indebida;

� Destrucción de los soportes.

4.3 Elaboración/ adaptación de la Normativa de Seguridad

4.3.1 Interiorización del experto con la política y negocio de la organización


145

Para la elaboración o adaptación de un adecuado Marco Normativo el ES debeinteriorizarse con el manejo del negocio, la estructura de la organización, la jerarquíade la empresa y el manejo de los empleados, pero sobre todo debe interpretar yconocer la estrategia de la empresa y sus políticas implícitas sobre el manejo de lainformación.

El ES deberá evaluar la adecuación de esas costumbres y sugerir los cambiosnecesarios para llevar a cabo las mejores prácticas de seguridad.

4.3.2 Elaboración/adaptación de la Normativa de Seguridad

En esta etapa de la MAEI, el ES determinará si es conveniente hacer una adaptaciónde la Normativa de Seguridad, si existiera, o si se inclina por la elaboración de unanueva.

La Normativa de Seguridad es el marco que regula el comportamiento de laspersonas en la empresa, su forma de trabajar y de efectuar las tareas que involucranlos recursos del entorno informatizado.

El conjunto formado por los documentos que componen la Normativa de seguridad esllamado Manual de Seguridad de la empresa.

El Manual de Seguridad está formado por la Política de Seguridad, las Normas, losProcedimientos, los Instructivos y Estándares técnicos.

A continuación se muestra un gráfico que lo ilustra:

Política de Seguridad

Normas

General

Particular


146

Procedimientos Estándares

La Política de Seguridad es la más general. Contiene los lineamientos y definicionesindependientes de plataformas y tecnologías.

Las Normas son también leyes pero más puntuales que las políticas. Las Normasgeneralmente tratan temas específicos a alto nivel.

Los Procedimientos, en cambio, bajan el nivel a una serie de pasos a seguir, siempreindependientemente de la plataforma con que se trabaje.

Los Esquemas, en cambio, son procedimientos dependientes de la tecnología, por loque se debe especificar la plataforma, sistema operativo o aplicativo para el que sedeba aplicar.

Finalmente, los Estándares técnicos son documentos que describen la configuraciónde cierto sistema, aplicación o hardware. Por ejemplo se puede establecer unestándar técnico para la configuración de los servidores, para que cada vez que se dede alta a un nuevo servidor se garantice que siguiendo ese estándar se obtendrá lamisma configuración de los demás servidores, ayudando a la automatización, pormedio de scripts, de dicha configuración.

Para la elaboración del Manual de Seguridad de la Información, que es el conjunto dedocumentación que avala el Marco Normativo de una empresa, el ES debe realizar unrelevamiento de aspectos organizativos y políticos, además de los técnicos.

El ES deberá descubrir la forma de comunicación que maneja la empresa, sobre tododeberá estudiar el lenguaje que emplea la alta gerencia para emitir sus comunicadosdetectando la forma gramatical que se utiliza para las expresiones imperativas y lasenunciativas.

Debe prestar especial atención en esto, ya que la Política y las Normas sonenunciadas con un carácter exclusivamente imperativo, ya que son leyes a cumpliralgunas veces por gran parte del personal y en su mayoría por todos.

La forma en que se enuncien las oraciones será crucial para las futuras auditorías, almomento de verificar el cumplimiento de las Normas.

Como ejemplo, en la experiencia personal de la autora, se observó que en España,país que posee el mismo idioma que la República Argentina, una manera común deexpresar obligatoriedad es utilizar el tiempo futuro simple, mientras que en la


147

Argentina se hace hincapié en la obligatoriedad de una enunciación agregando laspalabras “se debe”.

El siguiente ejemplo lo ilustra:

La frase: “Se implementarán medidas de restricción de acceso al CPD” en Españaexpresa una clara obligatoriedad de implementar medidas de restricción del acceso alCPD, mientras que en la Argentina esta misma frase podría ser interpretada como:“En algún momento, alguien, implementará medidas de restricción de acceso al CPD,mientras tanto no me preocupo yo por implementarlas”.

En nuestro país, por tal motivo se utilizan frases del tipo: “Se deben implementarmedidas de restricción de acceso al CPD” para enfatizar la obligatoriedad de laNorma.

Se debe tener presente al momento de escribir el Manual de Seguridad de unaempresa, que estas leyes deben ser interpretadas y cumplidas por los usuarios, porlo que deben ser de fácil comprensión, simples y sintéticas, sin ambigüedades nicontradicciones.

A continuación se pasa a describir en detalle cada componente del Manual deSeguridad de la Información:

4.3.2.1 Política de Seguridad


La Política de Seguridad es un documento que establece las pautas, según el enfoquede la organización, y su negocio, en cuanto a la gestión de la seguridad.

La política de Seguridad contiene los principios de seguridad sobre los cuales debenbasarse las normas, procedimientos y estándares detallados. Debe ser conocida yacatada por todos y cada uno de los miembros de la organización, y debe serconcebida bajo el total consentimiento y apoyo de la gerencia.

Entre estos principios se encuentran:

� Eficacia: Garantizar que toda información que sea utilizada es necesaria yentregada de forma oportuna, correcta, consistente y útil para el desarrollo delas actividades;


148

� Eficiencia: Asegurar que el tratamiento de la información se realice medianteuna óptima utilización de los recursos humanos y materiales;

� Confiabilidad: Garantizar que los sistemas informáticos brinden informacióncorrecta para ser utilizada en la operatoria de cada uno de los procesos;

� Integridad: Asegurar que sea procesada toda la información necesaria ysuficiente para la marcha de las actividades en cada uno de los sistemasinformatizados y procesos transaccionales;

� Exactitud: Asegurar que toda la información se encuentre libre de errores y/oirregularidades de cualquier tipo;

� Disponibilidad: Garantizar que la información y la capacidad de su tratamientomanual y automático, sean resguardados y recuperados eventualmente cuandosea necesario, de manera tal que no se interrumpa significativamente la marchade las actividades;

� Legalidad: Asegurar que toda la información y los medios físicos que lacontienen, procesen y/o transporten, cumplan con las regulaciones legalesvigentes en cada ámbito;

� Confidencialidad: Garantizar que toda la información está protegida del uso noautorizado, revelaciones accidentales, espionaje industrial, violación de laprivacidad y otras acciones similares de accesos de terceros no permitidos;

� Autorización: Garantizar que todos los accesos a datos y/o transacciones quelos utilicen, cumplan con los niveles de autorización correspondientes para suutilización y divulgación;

� Protección Física: Garantizar que todos los medios de procesamiento y/oconservación de información cuenten con medidas de protección física que evitenel acceso y/o utilización indebida por personal no autorizado;

� Propiedad: Asegurar que todos los derechos de propiedad sobre la informaciónutilizada en el desarrollo de las tareas, estén adecuadamente establecidos a favorde sus propietarios;

� No Repudio: Garantizar los medios necesarios para que el receptor de unacomunicación pueda corroborar fehacientemente la autenticidad del emisor.


149

4.3.2.1.2 Ámbitos de aplicación y personal afectado

La Política de seguridad, junto con sus extensiones, como los Manuales deProcedimiento y Estándares de Seguridad, formaliza las medidas a implementar enlos distintos ámbitos determinados en el Alcance de la documentación respectiva, yque afecta a:

� Personal efectivo del área de sistemas;

� Personal efectivo de otras áreas;

� Personal de mantenimiento;

� Externos (soporte de hardware, contratistas, etc);

� Pasantes;� Consultores;

� Clientes.

4.3.2.2 Normas y Procedimientos


Una Norma es toda definición concreta sobre cada uno de los temas de seguridad queluego serán adaptados a cada servicio informático en forma específica.

Un Procedimiento es toda especificación de las pautas a seguir para el desarrollo deuna tarea en particular. Incluye el desarrollo de instrucciones operativas yprocedimientos apropiados de respuesta a incidencias y recuperación de lasprestaciones frente a una catástrofe.

Ambos son independientes de la plataforma, y lo suficientemente genéricos comopara poder ser aplicados en distintos entornos.

Las Normas y Procedimientos deberán contener:

� Definición de la seguridad de la información, sus objetivos y alcance generales;

� Declaración del propósito de los responsables del nivel gerencial, apoyando losobjetivos y principios de la seguridad de la información;

� Explicación* de las Políticas, principios, Normas y requisitos de cumplimiento enmateria de seguridad, que son especialmente importantes para la organización;


150

� Definición de los responsables en materia de gestión de la seguridad de lainformación:

o por nivel jerárquico;

o por área o sector del negocio;

� Definición de los responsables sobre los activos afectados:

o Hardware;

o CPUs;

o Software;

o Servicios;

o Datos;

o Backups;

� Definición del procedimiento a seguir ante la ocurrencia de incidencias relativos ala seguridad;

� Referencias a documentos que puedan respaldar la política, por ejemplo:

o Estándares de Seguridad más detallados para sistemas de informaciónespecíficos o normas de seguridad que deben cumplir los usuarios;

o Instructivos que definen la forma de proceder ante la sucesión de ciertoseventos, la administración de las contraseñas, el uso de los recursosespecíficos y el manejo de los datos;

o Normativas internacionales.

*se especifica el modo de extender la seguridad al ámbito técnico.

4.3.2.2.2 Espectro de las Normas y los Procedimientos

En un entorno informatizado se pueden generar Normas y Procedimientos en losdistintos aspectos de la seguridad, haciendo foco en los niveles físico, lógico y de laorganización.

Un Marco Normativo completo (y útil) está compuesto por Políticas, Normas y susrespectivos Procedimientos, Instructivos y Estándares.

En general, se puede elaborar la normativa abarcando los siguientes tópicos, siempredependiendo del negocio y de la estructura de la organización objetivo:

A nivel físico


151

� Comunicaciones;

� Correo electrónico;

� uso de Internet;

� Uso de antivirus;

� Seguridad física;

� Seguridad del entorno, centros de cómputos (CPDs), oficinas, escritorios, etc.

� Backup;

� Separación física de ambientes de procesamiento: controles y documentación;

� Destrucción de Información;

� Destrucción de la información contenida en distintos soportes magnéticos,borrado seguro y eliminación de medios impresos.

� Utilización de equipos;

� Utilización de celulares;

� Recuperación del Entorno ante Desastres;

� Administración de la Seguridad de Acceso;

� Reinicio de sistemas;

Para procesos críticos, de tiempo real o que poseen un lato nivel dedisponibilidad, los cuales deben ser reiniciados bajo condiciones específicas ysiguiendo procedimientos especiales.

� Eliminación segura de salidas de tareas fallidas;

Se establecen las pautas para terminar procesos o tareas de las que dependenotras, o de las que se esperaba un resultado.

A nivel lógico

� Clasificación y manejo de la información;

� Modo de procesamiento de los datos;

� Acceso a datos;

� Administración de usuarios;

� Administración de contraseñas;

� Procedimiento de solicitud de permisos de usuarios;

� Desarrollo de software;

� Requerimientos de programación (schedulling), incluyendo dependencias conotros sistemas, tiempos de inicio de primeras tareas y tiempos de terminación deúltimas tareas;

� Separación lógica de ambientes: requerimiento de metodologías de desarrollo desoftware, ciclo de vida;

� ABM Aplicaciones;

� Uso de Software;


152

� Normas para el manejo de salidas (outputs), como el uso de papelería especial ola administración de salidas confidenciales;

� Continuidad del procesamiento - Recuperación del Entorno ante Desastres;

� Administración de registros de eventos de auditoría (logs);

� Conexiones a la LAN;

� Conexiones de Terceros;

� Accesos Remotos;

� Concientización y Capacitación;

� Normas para usuarios;

� Criptografía;

� Seguridad en Bases de Datos;

� Administración de la Seguridad de las Aplicaciones;

� Administración de la Seguridad de la Red;

� Intercambio de archivos a través de la red;

� Acuerdo de Confidencialidad.

A nivel de la organización

� Responsabilidades de Seguridad;

� Licencias legales de Software;

� Auditoria de Sistemas;

� Administración y respuesta ante Incidencias;

� Denominación de responsables sobre los activos de la empresa;

� Identificación y registro de cambios en el sistema (ver 5.3 Control de Cambios);

� Procedimiento de aprobación formal de los cambios propuestos;

� Comunicaciones a usuarios;

� Puestas Operativas: Reglas para la transferencia de software desde el ambientede desarrollo hacia el ambiente de prueba y al de producción;

� Procedimiento de ABM de usuarios.

4.3.2.2.3 Ejemplo – Normas y Procedimientos

Norma de Responsabilidades de Seguridad

En un entorno informatizado donde se pretende implementar Normas yProcedimientos de a cuerdo a la Política de Seguridad vigente, es necesario definir el


153

equipo de recursos humanos responsable de hacer cumplir esto, de efectuarcontroles y capacitar a los usuarios en cuanto al uso y aplicación de esta normativa.

Los roles dentro de esta organización deberán ser algunos de los siguientes:

� Dueño de los Datos;

� Oficial de seguridad;

� Administrador de seguridad, que puede estar dividido en:

o Administrador de Seguridad de Base;

o Administrador de Seguridad de Aplicaciones;

� Operador Responsable;

� Auditor de Sistemas;

� Usuarios;

Norma de Administración de Usuarios

Una norma muy importante que jamás debe faltar en ningún entorno informatizadoes la que regula la administración de usuarios.

Esta norma es un marco para la creación de nuevos usuarios, para la administraciónde perfiles y la asignación y modificación de permisos y la baja de usuarios paraestablecer un adecuado control de acceso y así garantizar la autorización yconfidencialidad de los datos.

Establece, entre otras cosas, la administración de:

� Usuarios de gestión, aplicación y de servicios;

� Proceso de autenticación por identificación de usuario y contraseña;

� Características de las contraseñas:

o Cantidad mínima de caracteres;

o Cantidad mínima de caracteres distintos de la última contraseña;

o Cantidad máxima de caracteres repetidos;

o Cantidad mínima de caracteres alfabéticos;

o Cantidad mínima de caracteres numéricos;

o Cantidad mínima de caracteres especiales;

o Vida mínima de la contraseña;

o Vida máxima de la contraseña (expiración);

o Cantidad de contraseñas (o tiempo) que se deben utilizar antes de repetir unacontraseña;


154

o Cantidad de intentos fallidos de logueo antes de bloquearse la estación detrabajo;

o Cantidad máxima de días de inactividad para el bloqueo del usuario;

o Cantidad máxima de días de inactividad para la baja definitiva del usuario;

� Medidas de restricción complementarias.

Procedimiento de ABM de Usuarios

� Requerimientos para dar de alta a una cuenta personal de usuario;

� Requerimientos para dar de alta a una cuenta no personal (para aplicaciones yservicios – no se les permite tener logueo);

� Procedimientos para la modificación de permisos de un usuario;

� Procedimientos para la eliminación normal (por renuncia) de un usuario

o Eliminación de la entrada correspondiente en el archivo de contraseñas;

o Eliminación de la cuota de recursos en la Workstation utilizada;

o Restricción de todos los permisos previamente otorgados en los sistemasoperativos, en las bases de datos y en las aplicaciones;

� Procedimientos para la eliminación conflictiva (por despido) de un usuario.

Norma para Licencias legales de software

� Licencias a nombre de la compañía;

� Responsabilidades en la instalación de software;

Norma de Comunicaciones/Correo electrónico y uso de Internet/ Antivirus

� Normas de buen uso;

� Utilización de herramientas exclusivamente para el desempeño de las funcioneslaborales;

� Restricciones;

� Responsabilidad del usuario sobre la información transmitida.

Norma de Backup

� Protección de los medios físicos;

� Recupero de la información;

Procedimiento de Backups


155

� Especificación de la rotación de los medios físicos e inventario (uso del documentode administración de backup);

� Operatoria y periodicidad;

� Autorización para recuperación.

Norma de Ambientes de procesamiento

� Separación de los ambientes de Desarrollo, Control de Calidad (QA),Preproducción y Producción;

� Segregación funcional entre ambientes;

� Evaluación de los controles y la seguridad.

Norma de Seguridad física

� Características mínimas de la estructura física;

� Características ambientales;

� Protección de la información guardada en soportes y equipos;

� Protección de los escritorios;

� Acceso restringido al CPD o Centro de Cómputos:

o Verificación de las condiciones físicas del CPD;

o Registro de los incidencias ocurridos;

� Acceso al CPD por visitas:

o Acompañados siempre de personal autorizado;

o Realización de sus tareas bajo supervisión;

o Registro de los motivos de la visita;

� Traslado de equipamiento fuera del CPD para mantenimiento:

o Borrado de la información del equipamiento;

o Solicitud de autorización a los Responsables de Datos involucrados ante laimposibilidad de borrar la información.

Procedimiento de destrucción de Información

� Utilización de máquinas trituradoras de papeles;

� Destrucción definitiva de medios magnéticos desechados (diskettes, CDs, etc);

� Borrado seguro de discos rígidos.


156

4.3.2.3 Estándares, Esquemas y Manuales de usuarios


Los Estándares de Seguridad son documentos más detallados para sistemas deinformación particulares o equipos, que deban llevar a cabo los usuarios para eldesarrollo de tareas específicas, cuyo seguimiento depende de la plataforma. Definenla parametrización de una aplicación, sistema operativo o equipo. Su uso otorga elbeneficio de la homogenización del ambiente, y facilita la automatización de tareasde instalación y configuración.

Por ejemplo, se desarrolla un Estándar de Seguridad para la elaboración de scriptsque corran sobre bases de datos Oracle.

Los Esquemas técnicos y Manuales de Usuario son documentos que especifican laforma de llevar a cabo una tarea, la forma de implantación de controles y procesossegún la Política de Seguridad, Norma o Procedimiento en que se basan, a un nivelmás bajo de detalle.

Los Esquemas, Instructivos y Manuales de usuario dependen de la plataforma, y engeneral están formados por una serie de pasos o instrucciones.

4.3.2.4 Implantación y uso de la Normativa de Seguridad

Para implantar el conjunto normativo de Seguridad Informática se debe definir unplan de acción que contemple:

� Clasificación de la información;

� Definición de los dueños de la información;

� Definición de los Responsables de Datos, Seguridad y Administradores;

� Publicación de la Política, Normas, Procedimientos, Estándares, Esquemas yManuales de usuario;

� Capacitación de los usuarios finales e informáticos en el tema;

� Adaptación de sistemas operativos, servicios y aplicaciones;

� Creación y actualización de inventarios, registros e informes (ver 4.2 Clasificaciónde la información);

� Acondicionamiento físico del Centro de cómputos y sitios donde se encuentren losequipamientos;

� Revisión del plan de copias de respaldo, medios físicos y lugar en los que seconservan los mismos;


157

� Creación y/o adaptación de los distintos ambientes de procesamiento.

4.3.2.5 Convenio de Confidencialidad

Para las empresas que manejen información particularmente sensible para sunegocio, se sugiere elaborar un documento que especifique las responsabilidades delos usuarios respecto del manejo y la publicación de la información de laorganización.

Este documento deberá detallar qué información es secreta y confidencial, el tratoque se le debe dar, los requerimientos de control de acceso y las medidas a tomar sino se cumpliera con ellas.

Los usuarios involucrados deberán firmar este convenio cuando ingresan a lacompañía, tanto los miembros de la nómina como los externos.


Luego de la elaboración de la Política de Seguridad, ésta debe ser validada con losresponsables de referencia y aprobada por el nivel gerencial de la compañía.

La aprobación de los superiores de la empresa implica la autoridad para hacercumplir lo dispuesto en el Manual de Seguridad, tanto en la Política como en lasNormas Y Procedimientos.

Como ya se explicó anteriormente, el Manual de Seguridad está formado por laPolítica General de Seguridad con los lineamientos generales, las Normas conlineamientos más específicos pero siempre a un nivel macroscópico, procedimientos anivel de tarea y Manuales técnicos, Estándares e instructivos que despliegan losprocedimientos en detalle.

De todos estos elementos es necesario realizar las correspondientes validaciones yconsensos con los responsables que poseen en conocimiento de la tarea.

La Política General debe ser aprobada, como bien antes se ha dicho, por el nivelgerencial de la organización.

Las normas deben ser validadas por los responsables de las áreas afectadas, pero nonecesitan la aprobación gerencial ya que éstas se ajustan a los principios enunciadosen la Política General, y conforman el instrumento por el cual se implementan taleslineamientos.


158

Los demás documentos normativos técnicos, como Procedimientos, Estándares,Manuales de Usuario e Instructivos no necesitan validación salvo la técnica por partede personal especializado.

Toda la documentación que conforma el Manual de Seguridad constituye una únicapieza normativa que debe ser consistente de arriba a abajo y debe cubrir todos losaspectos donde intervenga información computarizada del entorno en estudio.


Luego de la aprobación correspondiente, se debe dar a conocer el Manual deSeguridad de la organización.

En esta etapa se deben firmar los convenios de confidencialidad existentes y laconfirmación de lectura y conocimiento de las Normas por parte de los usuarios, siasí se haya dispuesto.

Es recomendable que esta etapa dispare el comienzo de la fase de concientización ycapacitación de usuarios como se sugiere en esta metodología.

4.4.1 Implantación de una campaña de concientización

Para lograr el conocimiento del Manual de seguridad y su correcta interpretación sedebe realizar una campaña de concientización para que los usuarios adquieran losconceptos de Seguridad que se defienden a través de la normativa, y comprendan laimportancia de de su implantación.

La protección de la información debe convertirse en un factor cultural dentro de laempresa. Los usuarios deben incorporar los conceptos a su desenvolvimiento diariopara realizar su trabajo cumpliendo con prácticas seguras de manera casi implícita.

Para ello la campaña de concientización debe remachar en conceptos como laconfidencialidad, la legalidad, la autorización, la información de incidencias, etc.

Para lanzar una campaña de concientización se puede recurrir a herramientas demarketing, como publicación de afiches, reparto de pines, elementos de escritorio ylibrería, mensajería masiva, publicación de noticias, foros de discusión, cursos yseminarios, charlas informales y cafés inductivos que promuevan conceptos e


159

incentiven a la incorporación de prácticas que lleven a la implantación de laseguridad.

4.4.2 Capacitación de los usuarios

Además de la concientización, se debe realizar una adecuada capacitación de losusuarios que garantice que poseen los conocimientos mínimos para el manejo de lainformación y la implantación de las medidas impuestas en las Normas de Seguridadvigentes.

Es responsabilidad de la empresa y no de los usuarios en particular la capacitacióntécnica y administrativa correspondiente.

El Manual de Seguridad de la organización, compuesto de la Política de Seguridad, lasNormas y Procedimientos, Estándares técnicos e Instructivos deben ser conocidospor todos los miembros de la empresa estén involucrados directamente con algunade las responsabilidades de Seguridad o no.

En particular, las personas que tienen asignados roles específicos de Seguridad, oque intervengan en el manejo de la información deberán informarse de susresponsabilidades y derechos de la forma determinada en la Política, ya sea firmandoun convenio de confidencialidad o firmando la lectura y aceptación del marcoNormativo de la Organización.

En los casos en que sea preciso una capacitación formal, como en los aspectostécnicos, se debe garantizar la adquisición de los conocimientos necesarios parapoder implementar las Normas correspondientes, proveyendo a los usuarios de losmedios educativos adecuados (cursos, manuales, bibliografía, etc)


En esta etapa se implantarán todas las medidas planificadas especialmente para elentorno objetivo, y específicamente en cada nivel estudiado: físico, lógico y de laorganización.

Cada tarea desarrollada en esta etapa implica un período de pruebas o revisión de loscontroles efectuados. Así, por ejemplo luego de efectuar una restricción de permisosde usuarios se debe realizar una revisión sobre los accesos para verificar su correctaasignación, y una prueba de acceso a los recursos para detectar excesos deautorización o restricciones que no permitan desarrollar el trabajo normal del usuarioafectado.


160

Dado que un proyecto de esta clase puede tener una magnitud considerable en unentorno amplio, se sugiere realizar las revisiones y pruebas necesarias luego definalizada cada subetapa, correspondiente a los niveles antes mencionados.

4.5.1 Implantación a nivel físico

En el capítulo 3 se estudiaron las soluciones posibles para los problemas de seguridadde los activos de nivel físico, lógico y de la organización.

La metodología aquí propuesta invita a llevar a la práctica los controles seleccionadospara obtener el nivel de seguridad deseado en el aspecto físico.

En esta parte se implanta la solución correspondiente sobre los activos físicos:

Protección de las Instalaciones

Se hacen efectivas las medidas planificadas sobre las instalaciones físicas delentorno.

Protección de los equipos

Se implantan los procedimientos de protección sobre los equipos informáticos.

Revisiones y pruebas

Luego de realizar los cambios o controles, se realizan las revisiones y pruebaspertinentes sobre equipos de procesamiento, equipos de comunicación, dispositivoselectrónicos, unidades de cinta, etc.

4.5.2 Implantación a nivel lógico

Aquí se implantan los controles sobre los activos lógicos de la organización:

Protección de la información

En esta parte se procede a proteger la información del entorno como activofundamental del negocio.

Protección del sistema operativo

Se implantan medidas de protección en el software de base del sistema.


161

Protección de los datos

Se establecen las medidas preventivas al menor nivel de granularidad de los activoslógicos: los datos.


Una vez realizados los cambios o controles, se realizan las revisiones y pruebas sobrelas aplicaciones, el software de base como sistemas operativos y bases de datos y losdatos.

4.5.3 Implantación a nivel de la organización

Aquí se implantan los controles en la organización, en la estructura de la empresa, enlas tareas y procesos, en los roles y responsabilidades asignadas.

Protección de la organización

Se realiza la implantación de medidas correctivas y preventivas sobre la estructurade la organización, sobre los roles y responsabilidades de los individuos involucradoscon el entorno, el comportamiento de los empleados en la oficina, etc.


Siempre luego de realizar los cambios o controles, se realizan las revisiones ypruebas para asegurar un control interno adecuado, y que no surgieron incoherenciasgeneradas por las medidas aplicadas.

4.6 Elaboración del Plan de Recuperación del Entorno ante Desastres(PRED)

El Plan de Recuperación del Entorno ante Desastres, en adelante PRED, tienecomo objetivo detectar los riesgos presentes en el entorno, analizar suprobabilidad de ocurrencia, establecer su criticidad según cómo afectan lacontinuidad del negocio, y finalmente proponer un plan que logre mitigar en ciertamedida estos riesgos, y que permita la recuperación de la disponibilidad de losrecursos lógicos, físicos y humanos para mantener la continuidad del proceso delnegocio.

Muchas veces desastres naturales o accidentes, como incendios, inundaciones,hasta cortes en el suministro de energía eléctrica provocan pérdidas enormes nosólo a nivel de bienes, sino pérdidas provocadas por la interrupción del negocio.


162

Hoy en día el negocio es más y más dependiente de la informática, ya que lamayoría de las empresas tiene sus sistemas productivos y financierosautomatizados y computarizados.

De esta forma es crucial contar con un plan para sostener el flujo de los negociosante emergencias que imposibiliten el uso de los recursos de computación o delentorno completo.

En esta tesis se utilizarán indistintamente los términos “emergencia”,“contingencia” y “desastre”. Por lo tanto, el hecho de utilizar la palabra“contingencia” no indica menor gravedad que las situaciones en las que sereferencia al hecho acontecido como un “desastre”.

El PRED contiene las siguientes partes:

� Establecimiento del escenario considerado;

� Determinación de los tipos de operación en una contingencia;

� Establecimiento de criticidades:

o Criticidades por equipo;

o Criticidades por servicios;

o Criticidades por aplicaciones;

� Determinación de las prestaciones mínimas;

� Análisis de riesgos:

o Probabilidad de ocurrencia de desastres;

o Determinación de los niveles de desastre;

� Presentación de las distintas estrategias posibles de recuperación;

� Selección de la estrategia de recuperación;

� Elaboración de la estrategia de recuperación:

o Mitigación de riesgos – Medidas preventivas;

o Descripción de la estrategia;

o Requerimientos para llevar a cabo el Plan;

o Esquemas técnicos con pasos a seguir;

� Formación del Equipo de Recuperación del Entorno ante Desastres (ERED):

o Roles y responsabilidades;

o Asignación de roles;

� Establecimiento de los procedimientos:

o Declaración de la emergencia;

o Recuperación de las prestaciones;


163

o Reestablecimiento de las condiciones normales.

A continuación se detallará cada una de las partes que componen el PRED.

4.6.1 Determinación del escenario considerado

Se deberá hacer un relevamiento de:

� Las condiciones físicas del entorno;

� Los servicios y aplicaciones existentes;

� Los equipos presentes;

o Los servidores;

o Los elementos de backup;

o Los elementos de almacenamiento de datos;

o Los elementos de comunicaciones.

4.6.2 Determinación de los tipos de operación en una contingencia

Los principales tipos de operaciones considerados ante una situación decontingencia son:

� Operación normal inicial: es la operatoria que se registraba antes de ocurrir eldesastre. Asimismo, define las condiciones que se deben alcanzar como objetivofinal mediante la ejecución del Plan De Recuperación Del Entorno Ante Desastres;

� Operación alternativa: mientras se trabaja en la recuperación de lasprestaciones afectadas por la contingencia, los usuarios deberán utilizar unaoperatoria alternativa, constituida fundamentalmente por procesos manuales,durante la cual se genera información. A partir del momento en que los serviciosy aplicaciones están disponibles, existe un tiempo de “catch up” o actualizaciónde la información del sistema, en el cual se ingresan las novedades ocurridasdesde la ocurrencia de la emergencia;

� Operación normal en desastre: mediante la ejecución de los procedimientosque reciben el nombre de “Recuperación de las prestaciones”, se llega a estainstancia en la cual todos los servicios y aplicaciones han sido recuperados, perono se encuentran ejecutando en su lugar original o bajo las mismas condicionesen que se encontraba originalmente.

Al finalizar el proceso de actualización de la información o “catch up”, seconsidera que se ha llegado a la operación normal en desastre. El tiempo desde ladeclaración de la emergencia hasta que se alcanza la operación normal endesastre no debe ser superior a los tiempos máximos tolerables de suspensióndefinido para cada una de las prestaciones.


164

� Operación normal reestablecida: mediante la ejecución de los procedimientosque reciben el nombre de “Reestablecimiento de las condiciones normales” sealcanza esta última instancia, en la cual todos los servicios y aplicaciones seencuentran ejecutando correctamente y bajo las mismas condiciones quepresentaba antes de la contingencia.

Para alcanzar este tipo de operación, es posible que haya que considerar unasuspensión programada de alcance total o parcial de las prestaciones, para lo cuales necesario acotar el tiempo de interrupción al mínimo indispensable, y quepreferentemente sea imperceptible por los usuarios.

Bajo este esquema y considerando a modo de ejemplo una contingencia producidapor una falla técnica en el disco local de un servidor de archivos, los eventos quedefinen cada una de las operaciones son:

� Operación normal: es la operación del servidor utilizando su disco local;

� Operación alternativa: los usuarios almacenan los nuevos archivos en el discolocal hasta tanto se habilite un lugar de almacenamiento central. En el momentoen que se recupere las prestaciones del servidor de archivos, como parte delproceso de actualización de la información o “catch up”, los archivos distribuidosse copian en el sitio habilitado;

� Operación normal en desastre: se considera desde el momento en que lainformación del disco local del servidor se encuentra copiada en un disco de lacabina, la unidad ha sido montada en el servidor y todos los archivos generadosdurante la operatoria alternativa ha sido copiado en el sitio central.Adicionalmente, a partir de la declaración de la emergencia, se debe realizar elreclamo al servicio técnico del proveedor del servidor, para que repare oreemplace el disco que ha fallado;

� Operación normal reestablecida: se alcanza esta operatoria en el momento enque el servidor nuevamente utiliza su disco local;

4.6.3 Establecimiento de criticidades

En función del impacto producido por la suspensión de las prestaciones del entornoinformatizado, se determina la criticidad y el tiempo máximo de tolerancia de cortede las mismas.

A continuación se presenta el análisis realizado desde la perspectiva de los equipos ydesde el punto de vista de servicios y aplicaciones.

Los documentos que registran las criticidades los organizamos en tablas llamadas:Tabla de Criticidades por Equipo, Tabla de Criticidades por Servicios y Tabla deCriticidades por Aplicaciones.


165

4.6.3.1 Tabla de Criticidades por Equipo.

# Equipo Función

SistemaOperativo

ToleranciaMáxima

Impacto

4.6.3.2 Ejemplo - Tabla de Criticidades por Equipo.

# Equipo Función

SistemaOperativo

ToleranciaMáxima

Impacto

1 DBBA Bases dedatos

Solares 9 1 día

Perdida deimagen pública

Reprocesamientode formularioscargados

manualmente

2 DBCH Bases dedatos

Solares 9 1 semana

Pérdida /inconsistencia de

información

3 DBCH2 Bases dedatos

Solares 9 2 semanas

Pérdida /inconsistencia de

información

4.6.3.3 Tabla de Criticidades por Servicios.

#

Servicio Criticidad

Períodocrítico

Procedim.

Alternat.

Parada

Máxima Plataf. Usuarios


166

4.6.3.4 Ejemplo - Tabla de Criticidades por Servicios.

#

Servicio Criticidad

Períodocrítico

Procedim.

Alternat.

Parada

Máxima Plataf. Usuarios

1 Servidor de MediaArchivos

Cierre a fin Guardar losde mes archivos en

las PClocales

1 semana NovellNetware5.0

Todos

2 CorreoelectrónicoLotusDominoServer

Alta Todos los Toma dedías pedidos

telefónicos

1-2 días Windows2000

Compras,ventas,

despacho.


4.6.3.5 Tabla de Criticidades por Aplicaciones

# Aplicación Proveedor Plataforma Descripción Criticidad PeríodoCrítico

ParadaMáxima

Proced.Alternt

Interde-pendencias

Usuarios

4.6.3.6 Ejemplo - Tabla de Criticidades por Aplicaciones.

# Aplicación Proveedor Plataforma Descripción Criticidad PeríodoCrítico

ParadaMáxima

Proced.Alternt

Interde-pendencias

Usuarios

1 MANTEC Datastream Windows NTpara la

publicaciónde la

aplicación dela Base de

Datos Oracle.

Sistema demantenimiento preventivode maquinas.

Media Fin de mes 2 días ---Almacén,procesos,

Mantenimiento.

2 SUMTEC Datastream Windows NTpara la

publicaciónde la

aplicación.ónde la

aplicación.Base de Datos

Oracle.

Sistema demanejo de

repuestos dealmacén.

Media 1 día Pedidos derespuestosmanuales.

Almacén,procesos,

Mantenimiento.

167


168

� Ubicación geográfica;

o El lugar físico no pueda disponerse por un período máximo tolerado para lainterrupción de las prestaciones mínimas.

4.6.4 Determinación de las prestaciones mínimas

Ante una situación de desastre se debe tener en claro cuál debe ser la prestaciónmínima que debe recuperarse de manera prioritaria, para preservar lacontinuidad del negocio.

Asimismo se debe estimar el tiempo máximo para recuperar esta prestación.

4.6.5 Análisis de riesgos

En esta etapa se analizan los riesgos presentes en el entorno como se ha explicadoen la fase 2 de esta metodología, para determinar qué riesgos se pueden mitigar,cuáles se pueden transferir y cuáles se deben asumir.

4.6.5.1 Probabilidad de ocurrencia de desastres

Los riesgos considerados para el plan de recuperación ante desastres, son aquellosque presentan una probabilidad de ocurrencia no despreciable en función de lascaracterísticas del entorno:

� Características meteorológicas de la región;

� Características generales del edificio;

� Condiciones ambientales;

� Equipamiento alojado;

� Condiciones de acceso;

� Condiciones de las oficinas contiguas.

4.6.5.2 Determinación de los niveles de desastre

En función del impacto producido por una contingencia, se definen 3 grandes tiposde desastres:

� Total o Mayor: En el caso en que:


169

� Parcial: En el caso en que:

4.6.6 Presentación de las distintas estrategias posibles de recuperación

4.6.8 Elaboración de la estrategia de recuperación

o El tiempo que demoran las tareas de reestablecimiento de todas o algunasde las prestaciones sea mayor al período máximo aceptable.

o Los equipos han sufrido daños menores que permiten su funcionamientoparcial o sus prestaciones pueden ser realizadas por otros equipos, y esnecesaria la acción de alguien externo (proveedores, mantenimiento, etc.)

� Menor: En el caso en que:

o Los desperfectos se solucionan mediante la reinstalación y/o reconfiguraciónde los equipos, y por lo tanto no es necesaria la acción de alguien externopara superar la situación de emergencia.

En esta etapa el ES analiza las distintas alternativas que aporten solución alproblema, teniendo en cuneta todo el análisis anterior.

4.6.7 Selección de la estrategia de recuperación

El ES presenta las distintas alternativas al cliente quién decide por cuál opta.

La estrategia de recuperación deberá ofrecer medidas preventivas y de mitigaciónde los riesgos existentes, además de la estrategia de recuperación de lasprestaciones.

4.6.8.1 Mitigación de riesgos – Medidas preventivas

La estrategia de recuperación supone la realización de acciones de mitigación de losriesgos considerados en el análisis correspondiente, las cuales deben considerar lasactuales condiciones de redundancia y tolerancia a fallas existentes, por ejemplo:

� Realizar pruebas periódicas de recuperación de las cintas de backup;


170

En esta parte el ES describe detalladamente la estrategia seleccionada por elcliente, y especifica las medidas a tomar para la eficaz recuperación del entorno,luego de un desastre.

Lógicamente esta es una decisión empresarial, influenciada fuertemente por elpresupuesto de la empresa y los límites de tiempo.

En general, en la descripción de la estrategia se definirán las medidas a tomar parala recuperación del entorno, como por ejemplo:

� Almacenamiento de cintas de backups adicionales en locaciones externas aledificio del entorno analizado;

� Generación periódica de backups en medios de recuperación universal (cintasDAT).

4.6.8.2 Descripción de la estrategia

Cada estrategia dependerá pura y exclusivamente del entorno informatizado enestudio, y del Alcance del Plan. Muchas empresas suelen implementar el PRED envarias etapas, comenzando por ejemplo por los servidores de datos, continuandopor las aplicaciones, luego las comunicaciones y el Centro de Cómputos (CC) oCentro de Procesamiento de Datos (CPD), o Data Center (DC). Otras, en cambio,deciden hacer un solo plan completo en una fase, que abarque todos sus bienes yactivos físicos y lógicos.

El PRED suele ser requerido por auditorías, por lo que a veces el cliente se vepresionado por las fechas y se decide dejar ciertos elementos fuera del Alcance.

� Creación de un Equipo de Recuperación del Entorno ante Desastres (ERED) conresponsabilidades y conocimientos específicos que actuará ante las situacionesde contingencia;

� Recuperación de las prestaciones de los elementos afectados por unacontingencia utilizando la redundancia existente;

� Utilización de un CPD alternativo con un servidor de contingencia para larecuperación de la aplicación más crítica en caso de un desastre mayor;

� Exigencia del cumplimiento de los tiempos de respuesta especificados en loscontratos de soporte con proveedores de hardware.

4.6.8.3 Requerimientos para llevar a cabo el Plan


171

Los documentos desarrollados establecen las condiciones de:

� Miembros del Equipo de Recuperación ante Desastres;

Los requerimientos conforman una guía de las principales características ycondiciones que deben cumplir los elementos sobre los cuales versa el documento,a fin de ser utilizados en procedimientos de mantenimiento y auditoría.

� Características físicas del Centro de Cómputos alternativo, si la estrategiarequiriera la instalación de un CPD alternativo para la recuperación;

� Características físicas de los equipos de recuperación, si la estrategia implicarala compra de equipos de contingencia;

4.6.8.4 Esquemas técnicos

Los esquemas definen pasos generales a seguir de manera operativa para laejecución de una determinada tarea.

La ejecución de dichos pasos supone el conocimiento técnico de la tarea que seestá realizando y tiene por objetivo brindar un marco integral de rápida referencia.

Algunos de los esquemas a desarrollar son:

� Activación del CPD alternativo;

� Recuperación de equipos;

� Reestablecimiento de servidores;

� Reestablecimiento de bases de datos;

� Reestablecimiento de Aplicativos;

� Ejemplos de notificación de la emergencia.

4.6.8.5 Formación del Equipo de Recuperación del Entorno ante Desastres(ERED)

El ERED tiene como fin determinar y asignar distintas responsabilidades para lograruna exitosa recuperación del entorno ante una emergencia, según el Plan (PRED)establecido.

Para ello se establecen ciertas pautas que las personas que lo componen debencumplir:


172

El Equipo de Recuperación del Entorno ante Desastres tiene las siguientesresponsabilidades:

� Reestablecer las condiciones normales que se presentaban antes del desastre;

4.6.8.5.1 Roles y responsabilidades

� Definir las medidas preventivas necesarias y factibles de aplicar, a fin dedisminuir la probabilidad de ocurrencia de desastres;

� Definir, probar, ajustar y mantener actualizado el Plan de Recuperación delEntorno ante Desastres;

� Ante un desastre que afecte al Centro de Cómputos debe:

� Recuperar las prestaciones en el menor tiempo posible y dentro de los plazosmáximos establecidos;

� Analizar las causas del desastre y la forma en que se ha procedido a fin deemitir un informe y modificar las medidas preventivas y plan de recuperación enfunción de las conclusiones.

A su vez, el ERED está compuesto por sub-equipos con distintas obligaciones.

Estos equipos son:

� Equipo de dirección estratégica y coordinación [EDEC]

� Equipo de recuperación de hardware [ERH]

� Equipo de recuperación de software [ERS]

� Equipo de recuperación de comunicaciones [ERC]

� Equipo de comunicaciones a usuarios [ECU]

Gráficamente el Equipo de Recuperación del Entorno ante Desastres se esquematizade la siguiente forma:


173

EDEC

ERS

ECU ERC

ERH

Equipo de dirección estratégica y coordinación

Las responsabilidades de este equipo son:

� Dirigir y coordinar las actividades del resto de los equipos que conforman elEquipo de Recuperación del Entorno ante Desastres;

� Realizar las declaraciones de los distintos estados: emergencia, contingencia yreestablecimiento de las condiciones normales;

� Determinar el nivel de desastre producido por una contingencia: total o mayor,parcial, menor;

� Elaborar los planes de recuperación de las prestaciones y reestablecimiento delas condiciones normales;

� Controlar la ejecución de los planes, detectar desvíos y realizar los ajustes delos planes en función de los inconvenientes, problemas y errores halladosdurante la aplicación de los mismos;

� Interactuar con personal de mantenimiento para la resolución de contingenciasfísicas del Centro de Cómputos.

Equipo de recuperación de hardware


� Identificar los elementos de hardware que hayan sido dañados por unacontingencia;

� Coordinar con los proveedores de hardware el cumplimiento de los contratos demantenimiento, garantías y niveles de soporte;

� Participar en las instalaciones de sistemas operativos que realicen losproveedores;


174


4.6.8.5.2 Asignación de roles

� Verificar el correcto funcionamiento de los elementos de hardware que hayansido restaurados o reemplazados por los proveedores.

Equipo de recuperación de software


� Identificar los servicios, procesos, bases de datos y aplicaciones que hayan sidoafectados por una contingencia;

� Instalar, configurar y ajustar todo el software que haya sido afectado por unacontingencia.

Equipo de recuperación de comunicaciones


� Identificar los elementos de comunicaciones que hayan sido dañados por lacontingencia;

� Detectar los problemas de conectividad de los equipos del CPD y determinar lascausas;� Coordinar con el responsable los cambios que haya que realizar en lascomunicaciones que no sean internas del Centro de Cómputos para que losusuarios puedan seguir utilizando las prestaciones ;

� Verificar el correcto funcionamiento de los elementos de comunicaciones y laconectividad general para que los usuarios puedan acceder a los recursos delCPD.

Equipo de comunicaciones a usuarios

� Participar en la generación de las comunicaciones oficiales a usuarios antecontingencias, recuperación de prestaciones, demoras incurridas que invaliden omodifiquen lo comunicado anteriormente y el reestablecimiento de lascondiciones normales;

� Realizar las comunicaciones a los usuarios internos.


175

� Contempla la aparición de imprevistos que puedan alterar o modificar el planinicialmente armado;

Luego de determinar las características de los quipos de recuperación, el clientedebe designar recursos humanos para cubrir todos los roles, teniendo en cuentaque una persona no puede formar parte de más de dos equipos.

4.6.8.6 Establecimiento de los procedimientos

Más allá del alcance del PRED, se deben especificar procedimientos claros queayuden a alcanzar el reestablecimiento de las condiciones normales del entornoinformatizado.

Los principales procedimientos a definir son:

4.6.8.6.1 Declaración de la emergencia

� Abarca desde la detección del desastre hasta que el mismo es comunicado a losafectados;

� Durante el mismo no se procede a recuperar nada, simplemente se evalúa losdaños causados;

� Se encuentra conformado por los siguientes sub-procedimientos:

o Respuesta inicial ante la detección de un siniestro o contingencia;

o Evaluación del nivel de desastre;

o Notificación de la emergencia.

4.6.8.6.2 Recuperación de las prestaciones

� Consta básicamente del diseño y ejecución del plan de recuperación de lasprestaciones, conforme a lo acontecido;


o Definición del plan de recuperación de las prestaciones;

o Ejecución del plan;

o Ajustes al plan.


176

� Consiste en el diseño y ejecución del plan de reestablecimiento de lascondiciones normales de operación, finalizando con el análisis de la situaciónocurrida a fin de ajustar el PRED en función de los errores, demoras einconvenientes acontecidos, así como también la posible toma de nuevasmedidas preventivas;

4.6.8.6.3 Reestablecimiento de las condiciones normales


o Definición del plan de reestablecimiento de las condiciones normales;

o Ejecución del plan;

o Evaluación y análisis de la contingencia.


177

5 ESTABILIZACIÓN

Contenido:

5.1 Análisis de resultados

5.2 Ajuste

5.3 Cierre de la implantación

5.4 Capacitación de usuarios

5.4.1 Técnicas para la capacitación de usuarios


178

En el capítulo anterior se describieron las medidas a implantar para asegurar elentorno, a partir del estudio del mismo y de la elaboración del Plan deAseguramiento.

En esta fase se realiza un estudio con el objeto de verificar la obtención de losresultados esperados de la implantación anterior, y la realización de los ajustesnecesarios para estabilizar el entorno.

Todo cambio genera más cambios, y en particular esta metodología, al abarcartodos los niveles de estudio del entorno (físico, lógico y organizacional) hace quetodos los ámbitos de la empresa objetivo se vean afectados por el proyecto enmayor o menor medida.

Es por eso que en esta etapa uno de los objetivos es verificar la evolución delentorno a partir de los cambios propuestos, y realizar los ajustes necesarios paracorregir errores, adecuar los controles y minimizar las diferencias entre el Plan y laImplantación de la solución.

5.1 Análisis de resultados.

Dentro del proyecto de Aseguramiento del entorno informatizado, el ES debeconsiderar un tiempo para realizar el balance respecto de la efectividad yadecuación de los cambios implantados en el entorno y evaluar la necesidad derealizar ajustes.

Todo Plan sufre cambios continuos a través del tiempo, que deben acompañar latransformación del entorno. Estos cambios deben ser considerados dentro del Plande Aseguramiento, en los distintos modelos propuestos para cada etapa.

En particular los modelos que deberán revisarse al menos una vez por año para suadaptación a los cambios son:

� Informe de Riesgos;

� Mapa de Usuarios;

� Mapa de Red;

� PRED.

Requiriendo los demás modelos presentados en esta Tesis pero no mencionados eneste apartado una contínua adaptación a través de la vida del Entorno.


179

5.3 Cierre de la implantación.

El cierre de la implantación se debe realizar cuando se concluyeron los últimoscontroles que constituyen el Plan de Aseguramiento y concluidas las etapas deconcientización y capacitación de usuarios.

Como todo cierre de proyectos, es recomendable realizar un balance del trabajo ypresentar los resultados al sector responsables de la empresa objetivo.

5.2 Ajuste

La etapa de ajuste está dedicada a realizar ajustes sobre el Plan de Aseguramientosegún los resultados obtenidos y analizados en la etapa anterior de esta misma fasey los inconvenientes o nuevos requerimientos que pudieran surgir en la etapa deimplantación.

Un proyecto como el que aquí se presenta puede tomar gran envergadura ydesarrollarse en un tiempo prolongado durante el cual el entorno sufrirámodificaciones inherentes a la vida de los sistemas, por lo que puede surgir lanecesidad de ajustes en ciertos aspectos de seguridad.

También, a medida que se implantan los controles para asegurar el entorno, surgennuevos requerimientos susceptibles a ser considerados en una segunda etapa deAseguramiento.

Se debe considerar siempre en esta disciplina que los avances científicos son muyrápidos, y se deben considerar las nuevas soluciones tecnológicas ofrecidas en elmercado, que pueden traducirse, muchas veces, en cambios funcionales y en lastécnicas procedimentales de implantación.

Los puntos de control que necesiten cambios, mejoras o los que surjan durante elproyecto se tomarán en cuenta para completar y adaptar el Plan de aseguramientopara una segunda implementación, delimitando nuevamente su Alcance, que podráreducirse a aplicar solamente los cambios surgidos en esta etapa para lograr uncompleto aseguramiento del entorno.

Un informe ejecutivo es un informe resumido los objetivos fijados al comienzo delproyecto y los objetivos logrados, de los conceptos manejados y la forma en que seobtuvieron los resultados.


180

5.4 Capacitación de usuarios.

Se deberá capacitar a los usuarios para la correcta interpretación y su naturaladaptación a los cambios implementados en el entorno, para su inserción en elsistema y su normal desarrollo de actividades, y por sobre todo para quecomprenda la importancia de los cambios realizados y de su mantenimiento.

Se debe convencer al usuario de la importancia de su colaboración en el esfuerzode mantener el entorno seguro.

Asimismo, se le debe informar de las nuevas reglas y/o políticas de la organización,la forma de trabajar para que su labor no interfiera ni perjudique el esfuerzoimplicado en el proyecto de aseguramiento, los procedimientos a usar para revertirsituaciones o manejar catástrofes, etc.

Se deberá dejar constancia de que el usuario fue informado respecto de las Políticasde Seguridad, y su completa comprensión, y su conformidad respecto de sucumplimiento.

5.4.1 Técnicas para la capacitación de usuarios:

� Presentaciones grupales;

� Manuales y folletos;

� Cursos;

� Coaching (un usuario experimentado capacita a un usuario inexperto);

� Mesa de ayuda;

� Teleconferencias;

� Comunicados.

En todos los casos, se recomienda generar confianza de los usuarios en la personaencargada de la capacitación. Se sugiere encargar esta tarea a un empleadocarismático y emprendedor, predispuesto y que tenga una buena relacióninterpersonal con sus pares.

Para todas las técnicas de capacitación aquí presentadas, y las que se escapan aeste trabajo, se sugiere contar con una fuerte documentación que pueda serconsultada por los usuarios, acompañada por gráficos y todo tipo de material quecolabore al rápido aprendizaje e incorporación de los conceptos de seguridad.


181

Los usuarios deben estar consientes de este peligro y deben conocer su alcance eimplicancias.

Se les debe dar recomendaciones para el uso cotidiano de sus herramientas detrabajo y la protección de los activos de la organización.

7. Diseño del Manual de Seguridad

5.4.1.1 Temario

A continuación se presenta un temario básico de capacitación general que deberáser analizarlo para aplicar en detalle los temas que correspondan según las Políticasaplicadas en la empresa objetivo:

1. Qué es la información?

Explicar qué se entiende por información, sus diferentes formas, cómo se genera,dónde y cómo se puede guardar, y su valor para la empresa. Esto último serelaciona directamente con el nivel de confidencialidad de información que semaneje en el negocio dependiendo de sus características.

2. Qué es la Seguridad.Presentar el concepto de Seguridad, sus implicancias y sus consecuencias.

3. Intrusos y amenazas.

Definir los intrusos externos e internos, sus amenazas y formas de presentación.

4. Nivel de Seguridad de la Organización

¿Cuál es el nivel de seguridad de la información de su empresa? ¿Qué tanvulnerable es el sistema informático?

5. Plan de Aseguramiento del Entorno

Explicación del proyecto de seguridad implementado, composición del Plan deAseguramiento, su Alcance, implicancias, resultados esperados, responsabilidadesde los usuarios desprendidas de la aplicación del Plan.

6. Medidas adicionales de protección. Buenas costumbres.

Los virus informáticos son, dentro de la seguridad informática, la fuente demayores pérdidas económicas en el mundo entero. Instalar un buen softwareantivirus no es suficiente, ya que la variedad y cantidad de puertas de entrada devirus, troyanos, etc., puede sorprender en cualquier momento a la mejorherramienta, sin contar con otros inconvenientes como falsas alarmas, HOAX, etc.

La seguridad no depende solamente de la tecnología. Las empresas establecen lasbases fundamentales para custodiar su información a través del desarrollo dePolíticas, Normas y Procedimientos que una vez definidos.


182

Los usuarios deben conocer la diferencia entre los distintos elementos del Manualde Seguridad como la Política General, las Normas y procedimientos y demásdocumentos técnicos, su responsabilidad y las posibles consecuencias sobre elincumplimiento de las mismas.

� Redes Virtuales (VPN);

� Plan de Recuperación del Entorno ante Desastres (PRED).

9. Formación en Seguridad

Administradores de Seguridad y nuevas responsabilidades.

8. Soluciones Tecnológicas:

� Firewalls;

� Antivirus;

� Sistemas de Detección de Intrusos;

� Sistemas de Backup;

Evaluar la posibilidad de capacitación en temas específicos de seguridad, tantotécnicos como funcionales para los distintos roles y niveles jerárquicos de laempresa.

10. Responsabilidades:

El rol de cada usuario.


183

6 MANTENIMIENTO

Contenido:

6.1.6 Recolección de incidencias

6.2.3 Formulario de Control de cambios

6.2.5 Ejemplo - AMB Activos

6.1 Control de incidencias

6.1.1 Incidencias de seguridad

6.1.2 Notificación de incidencias

6.1.3 Documentación

6.1.4 Reporte de Incidencias

6.1.4.1 Manual de Procedimientos sobre Reporte de Incidencias

6.1.5 Respuesta a incidencias

6.1.7 Registro de incidencias

6.1.8 Investigación

6.1.9 Seguimiento de incidencias

6.1.10 Prevención de incidencias


6.2.1 Procedimiento de Control de Cambios

6.2 2 Diagrama de flujo

6.2.4 ABM Activos

6.2.6 Actualizaciones de Software

6.2.6.1 Documento de Actualizaciones de Software


184

6.1.1 Incidencias de seguridad

Esta es la última fase de la metodología AEI. Comienza posteriormente a laimplantación del Plan de Aseguramiento, luego de la estabilización del entorno y semantiene durante toda su vida.

Durante la vida del entorno ocurren incidencias y cambios que deben ser analizadosy documentados, así como también se deben llevar a cabo controles periódicos yaplicar las correspondientes actualizaciones para mantener un nivel confiable deseguridad en el entorno.

6.1 Control de incidencias.

El control de incidencias es una técnica que permite controlar y registrar loseventos ocurridos que atentan contra la seguridad del entorno.

Consiste en llevar un registro y un seguimiento de los eventos anormales queocurran en el entorno objetivo en particular, y en la compañía en general.

Se debe definir el alcance de los eventos o incidencias a registrar.

El control de incidencias permite:

� Registrar cambios o pérdida de información;

� Registrar y dar solución a los requerimientos de los usuarios;

� Administrar los usuarios (dar de alta, baja y modificar permisos);

� Registrar nuevas vulnerabilidades manifiestas en el sistema y tomar medidaspreventivas para el futuro;

� Dar informe del incidente a quien corresponda;

� Justificar posibles cambios;

� Crear una fuente de información para capacitar a los usuarios.

Las incidencias pueden ser de muchos tipos. Entre ellos se encuentran los eventosde mantenimiento, los pedidos de reparación de hardware y servicios de losusuarios, nuevos requerimientos de los usuarios, errores en los datos e incidenciasde seguridad.


185

� Aparición de datos no creados por el usuario.

Los siguientes eventos son considerados incidencias de seguridad, entre otros:

� Violaciones a la confidencialidad de los datos;

� Violaciones a la integridad de los datos;

� Bloqueo de cuentas de usuarios;

� Anomalías en la disponibilidad de recursos;

� Negación del servicios;

� Fallas en los sistemas de información;

� Anomalías en el funcionamiento de los sistemas de software;

� Desaparición de información;

6.1.2 Notificación de incidencias

El usuario que protagonice o presencie un evento que pueda poner en riesgo laseguridad del entorno deberá informar de lo ocurrido.

El Procedimiento de Manejo de Incidencias del Manual de Seguridad de la empresaindicará los pasos a seguir o el circuito para el registro de incidencias.

La información fluye en los distintos ámbitos de las empresas. Para nuestro estudionos concentraremos en el entorno informatizado que pretendemos asegurar.

El ES debe analizar la forma de establecer un circuito de administración deincidencias. Para esto deberá pensar en:

� Un ente denunciante que presente el incidente e informa de la ocurrencia yefectos observados (por lo general son los usuarios);

� Un ente receptor-derivador de incidencias (un concentrador de pedidos comoun Servicio de Atención al Cliente (SAC) o Help Desk) encargado del asiento enregistros apropiados;

� Un ente responsable encargado de la resolución del incidente, entendiéndosepor resolución el manejo de la incidencia, su tratamiento y, si es posible, susolución (personal técnico especializado, el administrador de la red, etc);

� Un ente informante que entregue el resultado del manejo del incidente al entedenunciante.

En estructuras medianas y grandes suele dar soporte a este esquema el Servicio deAtención al Cliente (SAC), o Help Desk.


186

8- El responsable informa al receptor-derivador (Help Desk) las medidas tomadas ylas medidas a tomar por el usuario;

El Help Desk es un ente concentrador y derivador de casos. En este esquema deHelp Desk, un incidente se maneja de la siguiente forma:

1- El ente denunciante (usuario) informa de la ocurrencia de un incidente;

2- El receptor-derivador (Help Desk) registra el incidente;

3- El receptor-derivador (Help Desk) deriva el incidente al ente RESPONSABLE quecorresponda para que lo maneje y le de solución;

4- El ente responsable analiza el incidente;

5- Si se trata de un incidente grave de seguridad lo deriva al Oficial de Seguridad ofigura equivalente (responsable de seguridad de control interno);

5.1- El Oficial de Seguridad analiza el incidente;

5.2- El Oficial de Seguridad toma medidas para prevenir el incidente en elfuturo;

6- El ente responsable toma medidas para prevenir el incidente en el futuro;

7- Si tiene solución el responsable resuelve el caso;

6- El receptor-derivador (Help Desk) informa al denunciante (usuario) del estado desu caso, con detalle de la solución dada e instrucciones de las acciones a tomar.

A continuación se muestra un diagrama que ilustra el procedimiento:


187

Denunciante(Usuario

)

Oficial deSeguridad

Receptor–Derivador(Help

Desko Atenciónal Cliente)

Responsable

Denunciaincidente

Derivadenuncia deincidente

Abre caso deHelp Desk

Cierra caso deHelp Desk

Informa cierrede

casoexitoso

Resuelve elincidente

Informasolución

delincidente ymedidas atomar por

el usuario

Analiza elincidente

Toma medidaspara prevenirel incidente en el

futuro

Sí

No

Registra elincidente

Cierra caso deHelp Desk

Informa cierrede caso

Se notifica delcierre del casoy de las

medidas a tomar

Informamedidaspreventiva

stomadas yacciones atomar por

el usuario

Tienesolución?

Analiza elincidente

Toma medidaspara prevenirel incidente en el futuro

Incidentegrave deseguridad?

Sí

No

Se notifica delcierre del casoy de las

medidas a tomar


188

Toda persona que detecte un incidente de seguridad deberá informarlo deinmediato al ente receptor-derivador.

El área de Recursos Humanos debe intervenir en los casos en que se produzcaneventos que requieran medidas disciplinarias o correctivas.

� Hora del incidente;

El Oficial de Seguridad debe mantener una lista de contactos actualizada sobre laspersonas que deberán ser notificadas ante la ocurrencia de incidencias deseguridad.

6.1.3 Documentación

Se deberá conservar de manera segura un resumen de todas las incidencias yacciones realizadas.

El acceso y conservación de la información referente a incidencias que han afectadoa información clasificada deberá ser limitado y controlado cuidadosamente a fin deproteger la confidencialidad de los individuos y minimizar la exposición de lacompañía y las obligaciones relacionadas con la privacidad.

6.1.4 Reporte de Incidencias

Es un informe detallado que elabora el ente receptor-derivador del incidenteinmediatamente de ocurrido éste, en el que debe especificar con el mayor detalleposible lo ocurrido, y enviárselo al responsable asignado, junto al mail denotificación.

El Reporte de Incidencias contiene:

� Número de incidente (asignado por el responsable);

� Fecha del incidente;

� Nombre de la persona que reporta el incidente;

� Sector donde trabaja;

� Ubicación física;

� PC afectada por el incidente;


189

� Nombre del responsable;

� Activo (software o hardware) afectado con path completo y/o nombre de laaplicación;

� Descripción del incidente;

� Archivos adjuntos (imágenes, logs, etc);

� Acción/reacción del usuario frente al incidente (por ejemplo: “apagué lamáquina”, “cerré la aplicación”, etc).

Todos estos datos deben ser completados con el mayor detalle posible por elusuario afectado, salvo el campo correspondiente al número de incidente, quedeberá ser completado por el responsable.

Los Reportes de Incidencias deberán ser conservados con fines de análisis yreportes.

Formato del Reporte de Incidencias


190

REPORTE DE INCIDENCIAS

# INCIDENTE: FECHA: HORA:SECTOR:

UBICACIÓN FÍSICA:

NOMBRE DEL DENUNCIANTE:

_____________________

FIRMA DEL DENUNCIANTE

DESCRIPCIÓN DEL INCIDENTE:

NOMBRE DEL RESPONSABLE:

_____________________

FIRMA DEL RESPONSABLE

ARCHIVOS ADJUNTOS:ACCIÓN TOMADA:


Número de incidente: Número correlativo asignado por el responsable.


191

Fecha del incidente: Fecha en la que se produjo la incidencia.

Hora del incidente: Hora en la que se produjo la incidencia.

Nombre del denunciante: Nombre de la persona que reporta el incidente.

Archivos adjuntos: imágenes, logs, etc.

El Manual de Procedimientos sobre Reporte de Incidencias es un documento quedeberá confeccionarse para capacitar a los usuarios en el proceso de reporte deincidencias de seguridad en el entorno.

Sector: Sector donde ocurrió el incidente.

Ubicación física: Lugar físico donde se produjo el incidente (piso, oficina, etc).

Descripción del incidente: Activo (software o hardware) afectado por el

incidente.

Nombre del responsable: Nombre completop de la persona responsable del

manejo del incidente.

Acción tomada: Acción/reacción del usuario ante la incidencia y acción tomada por

el responsable del incidente.

6.1.4.1 Manual de Procedimientos sobre Reporte de Incidencias

Este documento debe explicar en forma sencilla y concisa el procedimiento dereporte de incidencias para se utilizado como guía por los usuarios al momento dedeclarar un incidente.

Este Manual, como toda la documentación referente a procedimientos de usuarios yNormas debe estar al alcance de todos los empleados, y se debe asegurar que losusuarios tengan conocimiento de la existencia del mismo, su fin y aplicación.

6.1.5 Respuesta a incidencias

El ente responsable encargado de analizar y resolver el incidente debe darrespuesta al usuario afectado por el evento, intentando dar indicaciones para queéste comprenda el origen del incidente y tome medidas correctivas cuando seaposible.

Asimismo, el responsable deberá informar al Oficial de Seguridad cuando ocurranincidencias graves de seguridad. Es su responsabilidad desarrollar soluciones enrespuesta a las incidencias de seguridad críticos que hayan afectado a los serviciosinformáticos o aquellos que tengan efectos globales, tales como ataques de virus


192

informáticos, vulnerabilidades de parches de software o inconvenientes con losproveedores de servicios.

6.1.6 Recolección de incidencias

Todas las evidencias deberán ser recolectadas en una manera consistente utilizandotécnicas apropiadas que garanticen la autenticidad, integridad, exactitud yveracidad de las mismas. Las evidencias físicas deben ser conservadas en unaforma segura, tal como guardarlas en una caja fuerte.

Se debe preservar la cadena de custodia de las evidencias recolectadas. El accesose debe limitar al mínimo de personas necesarias para responder e investigarincidencias de seguridad.

Es altamente recomendable mantener y auditar un log del acceso a las evidencias,incluyendo el nombre, fecha y hora en que se retiró, fecha y hora en que sedevolvió, el propósito del acceso y las acciones tomadas.

Para las evidencias lógicas se ha desarrollado un documento llamado Registro deIncidencias, que recompila la información obtenida en cada incidente por el Reportede Incidencias.

6.1.7 Registro de incidencias

Es un documento donde se centraliza el registro de las incidencias, para finesestadísticos, educativos y de control.

Es administrado por una persona responsable de la administración de lasincidencias, que suele ser el Oficial de seguridad.

Al recibir un Reporte de Incidencias de un usuario, el responsable en cuestiónagrega una fila en el registro de incidencias correspondiente al reporte reciénrecibido y guarda el reporte de Incidencias en una carpeta determinada para tal fin.

Se mantiene un solo documento a fin de simplificar el mantenimiento, pero, enorganizaciones que por su tamaño lo necesiten, se podrá llevar un documento porsector, cuyos responsables se encargarán de centralizar finalizado el períodoespecificado en la Política de Seguridad.


193

5- Afección de la confidencialidad de los datos;

7-Afección de soportes de información en papel;

E: Estado:

Formato del Registro de Incidencias

# FECHA SECTOR

NOMBRE DELDENUNCIANTE

NOMBRERESPONSABLE

T

DESCRIPCIÓN /MEDIDA TOMADA

E


NÚMERO: Número de Incidente (correlativo);

FECHA: Fecha en que ocurrió el incidente;

SECTOR: Sector que lo reportó;

NOMBRE DEL DENUNCIANTE: Nombre de la persona que lo reportó;

NOMBRE DEL RESPONSABLE: Nombre del responsable del manejo del incidente;

T: Tipo de Incidente: Es recomendable tener una lista con los tipos de incidentes

predeterminados, por ejemplo:

1- Negación de servicios;

2- Pérdida de datos;

3- Afección de hardware;

4- Afección de la integridad de los datos;

6- Virus Informático;

8- Afección de soportes de información en medios magnéticos;

9- Daño de activos.

DESCRIPCIÓN/MEDIDA TOMADA: Descripción de la incidencia;

I- En investigación;

P- Pendiente;

R- Resuelto.


194

6.1.8 Investigación

Todas las áreas de sistemas deberán colaborar en la investigación de las incidenciasde seguridad ocurridas a fin de asegurar que todas las posibles consecuencias delmismo han sido consideradas.

A fin de incrementar la integridad del proceso de investigación de incidencias,deberá existir un doble control y segregación de funciones, lo que significa que másde una persona deberá estar involucrada en el proceso. Esto incluye prevenir elcaso que un individuo potencialmente modifique o las pistas de auditoría de unsistema o aplicación.

Durante el proceso de investigación se deberá tomar nota de hechos tales comoquién, qué, cómo y cuándo, a fin de tener registro de todas las acciones realizadasy la información no cubierta y evitar fraudes informáticos.

6.1.9 Seguimiento de incidencias

El Oficial de Seguridad debe garantizar que todas las incidencias de seguridad seananalizadas en función de la causa de origen, a fin de prevenir la ocurrencia deincidencias similares en el futuro y de mejorar la metodología de respuesta anteincidencias en función de lo aprendido durante la resolución de los mismos.

6.1.10 Prevención de incidencias

Se deberá contar con un plan de respuesta ante incidencias con un equipo depersonas responsables, que puede estar considerado dentro del PRED (Plan deRecuperación del Entorno ante Desastres)

Se deberá documentar los roles y responsabilidades del personal involucrado en elmanejo de incidencias de seguridad.

El Oficial de Seguridad deberá asegurar que las técnicas de prevención incluyan lautilización de software antivirus, filtrado de contenido, y mecanismos de control deacceso de los usuarios y recursos que sean razonables y apropiados, mediante lautilización de firewalls y routers, que son administrados por la organización.


195

� Sistemas operativos de estaciones de trabajo;

� Sistemas aplicativos en general;

� Motores de base de datos;

� Sistemas de protección contra virus informáticos;

� Entre otros.

Este control tiene el fin de:

� Lograr una efectiva autorización de los cambios a implantar;

� Tener un registro documentado de los cambios;


En la fase de Mantenimiento, y durante toda la vida del entorno, se recomiendallevar un estricto control de cambios en el sistema y las instalaciones.

Se deben considerar cambios que afecten cualquier elemento del entorno, como:

� Sistemas operativos de servidores;

� Configuraciones de equipos;

� Aplicaciones de escritorio;

� Servicios de correo electrónico;

� Elementos de comunicaciones (routers, switches, etc,);

� Llevar un control de los cambios para evitar pérdidas o deterioros deinformación;

� Evitar incidencias y fallas en la seguridad.

Los cambios deben pasar por un circuito de autorizaciones desde que nace elrequerimiento hasta que se implanta el cambio.

Desde un punto de vista macroscópico, se podría decir que un cambio pasa porcuatro estados durante su vida:

1. Inicialmente surge como un requerimiento solicitado por un usuario.

2. Luego del análisis de los responsables, se convierte en un requerimientoaprobado.

3. El siguiente estado en el desarrollo de la solución.

4. Finalmente, se concreta el cambio en la implantación del cambio.


196

El requerimiento de cambio puede surgir de cualquier área, más comúnmente delárea usuaria.

Una vez que un requerimiento nuevo o cambio es solicitado, deben existir variosniveles de aprobación.

Inicialmente, el jefe del sector o área de trabajo del usuario solicitante, debeanalizar la coherencia y factibilidad del cambio solicitado, para su aprobación.

A continuación se deberán realizar una serie de análisis para determinar lainfluencia del cambio sobre el entorno, teniendo en cuenta los efectos sobre latecnología, sobre el software base y aplicativo, sobre la disponibilidad de losrecursos.

Asimismo, se analizará la cantidad de usuarios afectados por el cambio.

Idealmente se recomienda crear un comité de cambios formado por especialistasen las distintas áreas y disciplinas intervinientes: un administrador de lainfraestructura técnica, un administrador de la base de datos, un analista deaplicaciones y el Oficial de Seguridad.

Lo siguiente es el desarrollo del cambio, la realización de las pruebas pertinentespara comprobar que el cambio será se realizará correctamente, para luegoimplantarlo en el entorno productivo.

En el momento de su implantación se requiere la autorización del responsable delentorno vivo, o ambiente productivo, que en general es la persona a cargo delcentro de cómputos.

Estas son las responsabilidades del comité de cambios:

� Planificar, priorizar, autorizar y coordinar las tareas a realizar por los distintosinvolucrados ante la necesidad de realización de cambios de sistemas enproducción;

� Definir los criterios sobre los cuales se realiza la evaluación de impacto ycriticidad de los cambios;

� Liderar los procesos de cambio a realizar ante situaciones de emergencia;

� Evaluar periódicamente el registro de los cambios realizados en los sistemas deproducción, a fin de ajustar los criterios de evaluación, planificación ypriorización de tareas.


197

Las siguientes son las responsabilidades de las personas que forman el comité decambios:

� Usuario solicitante:

o Detectar mejoras a implantar en el entorno, ya sean cambios deconfiguraciones, mejoras de performance, mejoras de operatoria, mejorasde estética, etc;

� Administrador de la infraestructura técnica:

o Analizar que los cambios a realizar en el entorno no afecten la funcionalidaddel mismo, evaluando no solo el impacto sino también la criticidad;

o Planificar e implantar el cambio, y en caso de ser necesario realizar laspruebas adecuadas y las acciones necesarias para volver a atrás en casoque se produzca alguna contingencia durante la implantación en producción;

o Mantener actualizada la documentación de configuración del entorno;

� Administrador de bases de datos:


o Planificar e implantar el cambio, y en caso de ser necesario realizar laspruebas adecuadas y las acciones necesarios para volver a atrás en casoque se produzca alguna contingencia durante la implantación en producción;

o Mantener actualizada la documentación de configuración de los sistemas;

� Analista de aplicaciones:


o Planificar e implantar el cambio, y en caso de ser necesario realizar laspruebas adecuadas y las acciones necesarios para volver a atrás en casoque se produzca alguna contingencia durante la implantación en producción;

o Mantener actualizada la documentación de configuración de los sistemas;

� Oficial de Seguridad:

o Evaluar el impacto de los cambios para que no se realicen cambios enconfiguraciones que estén en contra de la normativa de seguridad.

6.2.1 Procedimiento de Control de Cambios

A continuación se muestra el procedimiento de control de cambios en una tabla,donde las filas grisadas corresponden a pasos de cumplimiento obligatorio.


Paso Objetivo Involucrados Resultado

Fase de Análisis

02

Comunica la necesidad de realizar un cambio en laconfiguración de los sistemas.

Los datos mínimos necesarios que se deben completarpara realizar el requerimiento son:

Tipo de cambio a realizar.

Sistema donde se aplica el cambio.

Si se necesita o un la realización de una evaluacióndetallada.

Si afecta la funcionalidad de otros sistemas.

Fecha límite aceptable para la implantación de lasolicitud.

Nombres y apellidos del solicitante.

Fomentar el análisis por parte delsolicitante de los requerimientos

que realiza.Usuario solicitante

Documentación detalladadel requerimiento de

cambio en el Formulariode Control de cambios

Descripción

01

Detecta la necesidad de realizar un cambio en laconfiguración de los sistemas con los que esta vinculadoen la ejecución de su labor diaria.

Estos cambios pueden ser solicitados por cualquierpersona que trabaja en la compañía.

Involucrar a las distintas personasen la identificación de cambios a

realizar en los sistemas.Usuario solicitante

198


03

Reciben la solicitud de cambio de configuración.

Analizan todos los elementos del entorno que podrían verse afectados por el cambio solicitado.

Una vez comprendidos todos los factores afectados por el cambio, se realiza una evaluación del posible impacto y la criticidad que tendrá el cambio solicitado.

Identificar la necesidad real del cambio y las implicancias en el

resto de los sistemas de la Compañía.

Comité de cambios (coordinación)

Administrador de la infraestructura técnica (responsable)

Administrador de base de datos (responsable)

Analista de aplicaciones (responsable)

Oficial de Seguridad (implicado)

Registro de la solicitud en el Formulario de Control de Cambios

Documentación técnica del cambio a realizar junto con todos los sistemas afectados y el evaluación

del impacto

04

En función al análisis realizado se determinada si elcambio podrá ser aplicado o no.

Algunos de los motivos por los cuales no se aplicaráun cambio solicitado son:

En caso que el cambio no se vaya a implantar, secontinúa en el paso # 20.

Comité de cambios(coordinación)

Administrador de lainfraestructura técnica

(responsable)

Administrador de base dedatos (responsable)

Analista de aplicaciones(responsable)

Oficial De Seguridad(implicado)

Documentación con lasconclusiones del

análisis realizado

05

Identifican todas las actividades necesarias para realizar el cambio, entre las que se encuentran:

Identificación exacta de los cambios a realizar.

Identificación de los sectores involucrados en el cambio.

Identificación del momento más adecuado para realizar el cambio.





- No recomendado por el proveedor.- Costos no aceptados.- Alto impacto y muy pocos beneficios.

Determinar las tareas a realizar para realizar el requerimiento

Plan de implantación del cambio

199


06

Luego de la planificación de las actividades a realizarpara implantar los cambios, se determina la necesidadde realizar pruebas previas en entornos no productivosantes de realizarlos en producción.

En caso de no ser necesarias las pruebas se continúa enel paso # 11.



(responsable)

Administrador de base de datos(responsable)


Fase de Pruebas

07

Definen las pruebas unitarias e integrales que se debenrealizar para garantizar que los cambios realizados seanlos adecuados y no generen inconvenientes a lossistemas vigentes.

Planifican la realización de las pruebas identificadas.

Prever adecuadamente lasactividades a realizar durante la

ejecución de las pruebas


(responsable)



Documentación con eldetalle de las pruebas a

realizar junto suplanificación

08Ejecutan las pruebas según la planificación realizadaoportunamente, identificando los problemas que sesuscitan y las posibles causas.

Identificar los problemas quepueden ocasionar los cambios.


(responsable)



Documentación con elresultado de las pruebas

09Si las pruebas no han sido satisfactorias, continúan enel paso # 20.


(responsable)



200


10

Otorgan la aceptación formal a la realización de loscambios planificados en el entorno de producción.

En caso de ser necesario modifican las especificacionesrealizadas en la etapa de planificación.

Infundir la toma deresponsabilidad en las decisiones

tomadas.



(responsable)



Documentación formal dela aceptación de la

implantación del cambioen producción

Fase de Implantación

11

Identifican todas las actividades necesarias para realizar el cambio y todas las precauciones a considerar antes de realizarlo a fin de poder volver atrás sin mayores inconvenientes.

Adicionalmente se planificará con todos los Administradores y Analistas involucrados el momento más adecuado de implantación.





Plan de implantación del cambio

12

Ejecutan todas las tareas identificadas en laplanificación para realizar la vuelta atrás en lasmodificaciones de configuración en caso de existir algúninconveniente.

Concientizar a los administradoresde la necesidad de contar con unplan de recuperación ante una

contingencia.


(responsable)



Documentación de lasconfiguraciones anteriores

del entorno ydocumentación de las

acciones para volver alestado inicial.

Coordinar las tareas entre todas las áreas.

201


13Si las tareas previas a la implantación del cambio enproducción no se han podido realizar, no se realizará elcambio y se continúa en el paso # 20.


(responsable)



14Ejecutan las tareas acordadas en la planificación,realizando previamente la notificación a los usuariosafectados en caso de ser necesario.

Implantar los cambios enproducción.


(responsable)



Configuración implantadaen producción

15Si los cambios de configuración de los sistemas enproducción han sido satisfactorios se continúa en elpaso # 17.


(responsable)



16Ejecutan todas las tareas planificadas para la vuelta a laconfiguración inicial de los sistemas, y continúan en elpaso # 20.

Conservar el entorno productivoen caso de contingencia.


(responsable)



Documentación de lasacciones de vuelta atrás

realizadas

202


17 Aceptan formalmente la implantación del cambio de configuración realizado.

Asegurarse de que los sistemas continúan funcionando

correctamente



Documentación formal de la aceptación de la

solución realizada

18Identifican y actualizan toda la documentación de lossistemas involucrados en el cambio de configuración.

Mantener vigente ladocumentación.


(responsable)



Documentaciónactualizada de las

configuración de lossistemas

19

Registran los cambios de configuración realizados en lossistemas, incluyendo:

Responsable del cambio

Impacto identificado

Fecha

Hora

Tipo de cambio

Criticidad

Identificar adecuadamente loscambios realizados en los

sistemas


(responsable)



Documentaciónactualizada de la

configuración realizada enlos sistemas

20 Finalización del proceso.



203


204

6.2 2 Diagrama de flujo

Usuario Solicitante

Analista deAplicacione

s

Administrador deBases de Datos

Oficial de Seguridad

Identificanecesidad decambio en

configuración

Inicio

Administrador de la Infraestructur

a Técnica Fase

Análisis

Pruebas

Implantación

Comunicael cambioa realizar

Definen y planifican pruebas necesarias

Autorizan realización del cambio

No

Sí

Definen y planifican tareas para realizar el cambio

Actualizan documentación

Fin

Requiere pruebas?

Evalúan el impacto del cambio

Ejecutan tareas previas para permitir una vuelta atrás

Pruebas OK?

Implantan el cambio

Aceptan formalmente el cambio

Cambio OK?

Tareas previas OK?

Ejecutan tareas de vuelta atras

Ejecutan pruebas

No

Sí

No

Sí

No

Sí

No

Se aplicará el cambio?

Sí

Registran el cambio

Planifican el cambio

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

18

19 2

0


205

6.2.3 Formulario de Control de cambios

Para realizar un efectivo control de cambios, a continuación se presenta unformulario para documentar el seguimiento de los cambios, desde que surgen comoun requerimiento de usuario hasta su implantación en producción.

El objetivo de este registro es dejar asentados los datos de la persona que realizó elrequerimiento (usuario solicitante), las autorizaciones correspondientes, losrequisitos para su implantación en el entorno productivo y la aceptación delresponsable del sitio vivo y el personal del área usuaria.

FORMULARIO DE CONTROL DE CAMBIOS

NÚMERO: FECHA:

1. DATOS DEL USUARIO SOLICITANTE

Nombre:

Puesto:

Departamento:

Sede/Sucursal:

Ubicación (Ciudad/País):

E-mail:

Teléfono:

2. DESCRIPCIÓN DEL CAMBIO:

Tamaño:

ÿ Menor (menor de 50 usuarios afectados)

ÿ Medio / grande (más de 50 usuarios afectados)

Motivo:

ÿ Alta

ÿ Modificación

ÿ Baja

Descripción:

Fecha de implantación programada:

Horario de implantación programado:

Duración esperada (horas):

Resultados esperados:

Fecha de implantación real:


206

Duración real (horas):

Impacto:

Responsable:

3. SERVICIO(S) AFECTADO(s)

Aplicación(es):

Infraestructura:

Observaciones:

4. PRUEBAS

Fecha de prueba programada:

Horario de prueba programado:

Requerimientos:

Duración esperada (horas):

Resultados esperados:

Responsable:

Aprobación:

5. CANCELACIÓN Y RECUPERACIÓN

Procedimientos de cancelación de cambios:

Procedimientos de recuperación:

Notificación:

6. AUTORIZACIONES

_______________________ _________________________

Firma del usuario Firma del Jefe del

Solicitantedepartamento


207

7. AUTORIZACIONES ADICIONALES

_______________________ _________________________

Nombre Firma

_______________________ _________________________

NombreFirma

8. CONFORMIDAD DEL SUPERVISOR DEL CPD

Observaciones:

Nombre Firma

________________________________________________


NÚMERO: Número de requerimiento de cambios.

Nombre: Nombre del usuario solicitante.

Puesto: Posición que ocupa el usuario solicitante en la empresa.

FECHA: Fecha del requerimiento.

1. DATOS DEL USUARIO SOLICITANTE: Este bloque de datos corresponden adatos personales del usuario que realiza el requerimiento.

Departamento: Departamento o sector al que pertenece el usuario solicitante.


208

Ubicación (Ciudad/País): Ciudad o país donde trabaja el usuario solicitante,para el caso de empresas distribuídas territorialmente.

Teléfono: Interno o línea directa del solicitante.

2. DESCRIPCIÓN DEL CAMBIO: Este bloque corresponde a información sobre elcambio solicitado.

ÿ Menor (menor de 50 usuarios afectados)

3. SERVICIO(S) AFECTADO(s): Este bloque corresponde a información sobre elimpacto del cambio solicitado.

Sede/Sucursal: Sede o sucursal de la empresa en la que trabaja el solicitante.

E-mail: Dirección de correo electrónico del usuario solicitante.

Tamaño: Tamaño del cambio medido en cantidad de usuarios afectados.

ÿ Medio / grande (más de 50 usuarios afectados)

Motivo: Motivo de la solicitud del cambio

ÿ Alta

ÿ Modificación

ÿ Baja

Descripción: Breve descripción del cambio.

Fecha de implantación programada: Fecha programada para la realización delcambio en el entorno de producción.

Horario de implantación programado: Horario programada para la realizacióndel cambio en el entorno de producción.

Duración esperada (horas): Tiempo que se invertirá en la implantación delcambio.

Resultados esperados: Efectos de la realización del cambio.

Fecha de implantación real: Fecha real en que se ha realizado el cambio en elentorno de producción.

Duración real (horas): Duración real de la implantación del cambio en el entornode producción.

Impacto: Efectos producidos por el cambio.

Responsable: Nombre de la persona responsable de la realización del cambio.

Aplicación(es): Aplicaciones afectadas por el cambio.

Infraestructura: Equipamiento técnico afectado por el cambio.

Observaciones: Aclaraciones.

4. PRUEBAS: Este bloque corresponde a información sobre las pruebas realizadasantes de implantar el cambio solicitado en el ambiente productivo.


209

Observaciones: Aclaraciones.

Fecha de prueba programada: Fecha programada para la realización de laspruebas.

Horario de prueba programado: Horario programado para la realización de laspruebas.

Requerimientos: Requisitos para la realización de las pruebas.

Duración esperada (horas): Duración esperada de las pruebas.

Resultados esperados: Efecto esperado por los cambios a implantarse.

Responsable: Nombre de la persona responsable de la realización de las pruebas.

Aprobación: Nombre de la persona que deberá dar la aprobación de las pruebasrealizadas.

5. CANCELACIÓN Y RECUPERACIÓN: Este bloque corresponde a informaciónsobre los procedimientos de cancelación y vuelta atrás de la implantación delcambio solicitado en el ambiente productivo.

Procedimientos de cancelación de cambios: Información sobre losprocedimientos de cancelación de la implantación del cambio solicitado en elambiente productivo.

Procedimientos de recuperación: Información sobre los procedimientos devuelta atrás de la implantación del cambio solicitado en el ambiente productivo.

Notificación: Lista de usuarios que deben ser notificados del cambio.

6. AUTORIZACIONES: Este bloque corresponde a información sobre lasautorizaciones necesarias para el pasaje al entorno productivo de los cambiossolicitados.

Firma del usuario solicitante: Firma del usuario solicitante.

Firma del Jefe del departamento: Firma del Jefe del departamento.

7. AUTORIZACIONES ADICIONALES: Este bloque corresponde a informaciónsobre las autorizaciones adicionales necesarias para el pasaje al entorno productivode los cambios solicitados.

Nombre: Nombre de la persona de la que se le solicita aprobación adicional.

Firma: Firma de la persona de la que se le solicita aprobación adicional.

8. CONFORMIDAD DEL SUPERVISOR DEL CPD: Este bloque corresponde ainformación sobre la aprobación del pasaje al entorno productivo de los cambiospor parte de la persona responsable del CPD.

Nombre: Nombre de la persona responsable del Centro de Procesamiento de Datosde la que se le solicita aprobación adicional.

Firma: Firma de la persona responsable del Centro de Procesamiento de Datos dela que se le solicita aprobación adicional.


210

[IRAM/ISO/IEC17799] asegura:” Se deben controlar los cambios en los sistemas einstalaciones de procesamiento de información. El control inadecuado de estoscambios es una causa común de las fallas de seguridad y de sistemas”

� MODIFICACIÓN: Registrar cambios sobre un bien.

Se registrará una MODIFICACIÓN en el caso en que un activo sufra cambios en suscaracterísticas, por ejemplo en su tamaño y ubicación.

6.2.4 ABM Activos

Es un documento creado para implementar el Control de Cambios en los activos,que sirve para registrar todas las modificaciones inherentes a activos de laempresa.

Por lo que en este trabajo se ofrece una forma de llevar a cabo este control decambios de activos mediante un documento con forma de tabla, donde se registratodo cambio realizado en el sistema ya sea a nivel físico o lógico:

� ALTA: Agregar un nuevo activo;

� BAJA: Eliminar un activo del Inventario de Activos;

Se realizará una ALTA cada vez que se agregue al patrimonio de la organización unactivo, por ejemplo, cuando se adquiere un nuevo elemento de hardware como undispositivo de red, o un scanner, cuando se adquiera nuevo software, por ejemploen la actualización de utilitarios, o cuando se produzcan nuevos datos, por ejemploal realizar un backup.

Una BAJA de un activo corresponde a la eliminación del catálogo o Inventario deActivos de un bien por distintas causas: fin de concesión de uso de bienes,caducidad de contrato de alquiler de equipos, terminación de la vida útil de datos,etc.

Tiene directa relación con el Inventario de Activos ya que ABM Activos hacereferencia a los activos registrados de la compañía.

Formato del ABM Activos

FECHA CÓDIGO ABM CAUSA

ACTIVOSRELACIONADOS


211


ABM: En este campo se debe indicar el tipo de operación que se está registrando:

FECHA: Fecha en que se produjo el ABM.

Se registrará con la siguiente codificación: dd/mm/aaaa.

CÓDIGO: Es el código rotulador que se le asignó a cada elemento en el Inventariode Activos que permitirá identificar cada bien unívocamente, para su identificacióny seguimiento.

NOTA: Ver detalles sobre la codificación de activos en el apartado Inventario deActivos.

� A: Alta;

� B: Baja;

� M: Modificación;CAUSA: es una descripción de la razón por la que el elemento sufrió el ABM en

cuestión.

ACTIVOS RELACIONADOS: En este campo se deben mencionar los activos que seven afectados por el cambio, por ejemplo unidades de hardware en que se ubicabaun elemento de software al que se le da de baja.

6.2.5 Ejemplo - AMB Activos

En el ABM Activos:

FECHA CÓDIGO ABM CAUSA

20/06/2003 BK0102 B Expiración de validez los datos. Unidad BK0174,sobrescrita.

HW0243

ACTIVOSRELACIONADOS

En el Inventario de Activos:

CÓDIGO DESCRIPCIÓN UBICACIÓN RESPONSABLE

FECHAEXPIRACIÓN

CRITI-CIDAD

HW0001 Mouse serie Piso 9, sector María Martinez 12/2001 A-0

FECHACREACIÓN

ES-TA-

DO


212

Logitech QA, cpu:HW0017

--- --- --- ------ --- ---…

HW0034 Router Cisco 8000 Piso 7, sectorcomunicaciones

Manuel Belgrano -7/2003 2 A

--- --- --- …--- --- ---

BK0102 Backup deSrv01/externo/proy5.mbd

HW0024 BJuan Perez 20/05/2003 20/06/2003 2

--- --- --- --- --- --- --- …

BK0174 Backup deSrv01/externo/proy5.mbd

HW0024 Juan Perez 20/06/2003 20/07/2003 2 A

---

Este ejemplo se trata de un backup que, llegada su fecha de expiración, de eliminasobrescribiendo la unidad física con el nuevo backup.

En la tabla de ABM Activos está indicado con azul el código del activo que ingresóen el documento para registrar un cambio.

En el campo ABM se indica la eliminación del activo ingresando una “B”, se indica lacausa de la baja y los activos relacionados: HW0024 (indicado en verde, launidad de cinta que lo contenía) y BK0174 (el nuevo backup que reemplaza aleliminado, indicado en rojo)

En este caso se trata de una baja, lo que significa que el activo dejará el estado A(dado de Alta) para pasar al estado B (dado de Baja). Esto se debe ver reflejado enel Inventario de Activos.

En la tabla Inventario de Activos se debe modificar el campo ESTADO del activo,ingresando “B”de Baja. También se deberá insertar una nueva fila que dará de altala nueva versión.

Indicado con color rojo, se muestra el código de la nueva copia de backup(nuevo activo) que ha sido dado de alta al reemplazar el backup anterior (vencido).

6.2.6 Actualizaciones de Software

Cada vez que se realicen “upgrades”, o sea, actualizaciones de versiones desoftware se deberá llevar un control estricto de las máquinas donde se instaló y lafecha.


213

Esta sirve no solo para ordenar y organizar la instalación, sino para controlar elcomportamiento de las máquinas actualizadas.

Muchas veces las actualizaciones pueden dejar la máquina inestable o provocarotros efectos que se pueden revertir llevando una completa y rigurosadocumentación de los parches instalados.

6.2.6.1 Documento de Actualizaciones de Software

El documento de actualizaciones de software tiene como fin registrar la instalaciónde todo “upgrade”de software realizado en las máquinas del dominio.

Tiene el siguiente formato:

SOFT DESCRIPCIÓN FECHA CPU# CPU# CPU# CPU#


SOFT: nombre del archivo de actualización instalado.

DESCRIPCIÓN: nombre de la aplicación que se está instalando, versión, etc.

FECHA: fecha de la actualización.

CPU#: código de la máquina donde se instala.


214

� Analizar las vulnerabilidades para determinar su riesgo;

� Analizar la forma de mitigar los riesgos;

� Confeccionar un Inventario de los Activos físicos y lógicos de la empresa paraidentificar y rotular cada uno de los bienes;

� Elaborar o adaptar para conveniencia de la empresa la Normativa de Seguridadque apoye los procesos del negocio;

V. CONCLUSIÓN

En la introducción de este trabajo mencionamos la necesidad de una herramientaque les permita a los profesionales de Informática descubrir y analizar lasvulnerabilidades de los entornos informatizados e implantar técnicas paraasegurarlos.

A la largo de esta tesis hemos analizado objetivos de control que llevan al ES alograr el aseguramiento del entorno objetivo (que se pretende asegurar) basadosen los principales estándares internacionales de seguridad, la normativa argentinavigente y las mejores prácticas profesionales del mundo.

Con este análisis logramos formalizar una metodología práctica, y factible paraconvertir entornos informatizados inseguros en entornos protegidos, y lograr unaclara evaluación de los mismos.

La metodología fue desarrollada en la parte IV de este trabajo. A través de los seiscapítulos que la componen, describimos las fases necesarias para lograr el completoy total aseguramiento del entorno.

El Ingeniero que utilice esta metodología, podrá evaluar el contenido y alcance delas distintas fases y aplicar los controles que considere necesario para el objeto desu trabajo.

Independientemente del tamaño del entrono objetivo y de la clase de negocio queapoye, esta metodología permitirá conocer el entorno e implantar medidas paraasegurarlo, basándose en las siguientes tareas:

� Elaborar un Plan de Trabajo evaluando tiempo, recursos y costos implicados;

� Realizar sondeo para descubrir vulnerabilidades;

� Evaluar el impacto de los riesgos sobre el entrono, y sobre el negocio;

� Elaborar un Plan de Aseguramiento del entorno teniendo en cuenta aspectosfísicos, lógicos y de la organización, de manera de establecer objetivos decontrol que mitiguen los riesgos existentes;

� Clasificar la Información para determinar su criticidad;


215

� Realizar una adecuada capacitación de los usuarios para garantizar elconocimiento de las medidas de seguridad aplicadas y la continuidad de loscontroles en el tiempo;

o Físico;

o De la organización.

A su vez este análisis se puede reducir a un nivel o dos, según el deseo del cliente ysu presupuesto.

Es importante recalcar que, como vimos en todo el desarrollo de la MAEI, no esnecesario aplicar todas las fases, ni en los tres niveles. Pueden saltearse fases,cambiarlas de orden, investigarse aspectos netamente físicos, netamente lógicos,netamente de la organización o una combinación de ellos.

� Plan de Trabajo: ofrece una organización del proyecto con las tareas a realizarcon su duración aproximada y los recursos destinamos a cada una;

� Confeccionar una campaña de concientización de los usuarios involucrados paralograr una efectiva implantación de los controles de Seguridad, y una adecuadaaplicación de las medidas que componen el Manual de seguridad;

� Implantar el Plan de Aseguramiento;

� Elaborar un Plan de Recuperación del Entorno ante Desastres (PRED) para laprevención de catástrofes y la planificación de la recuperación del entornoinformatizado ante situaciones de emergencia, tratando de resguardar elnegocio de la empresa objetivo;

� Estabilizar el entorno realizando los ajustes necesarios al Plan deAseguramiento;

� Mantener el nivel de seguridad logrado mediante el control de Incidencias y decambios;

Todas estas tareas estarán documentadas, y se apoyarán en registros y tablas quelas facilitarán y también guiarán al ES interviniente en su tarea.

Estos son los documentos asociados a las distintas tareas que desarrollamos enesta metodología:

� Documento de Requerimientos de Usuario: formaliza la voluntad del cliente y delos usuarios respecto de los requerimientos de seguridad del entorno;

� Alcance: establece es espectro que abarcará el proyecto. En este documento sedefine el entorno a asegurar, se delimita su extensión y se establecen losdistintos niveles que se evaluarán.

Este punto es muy importante porque la metodología permite efectuar unaseguramiento a nivel:

o Lógico;


216

� Mapa de Elementos de Red: es una lista de los elementos físicos presentes en lared de datos;

� Documento de Actualización de software: Permite llevar un control de lasactualizaciones aplicadas a los distintos equipos de la red;

� Archivos de log: son registros (archivos de texto, bases de datos u otros) quepermiten el registro de las pistas de auditoría que emite el sistema informático;

� Relevamiento General: ofrece un marco de referencia para comenzar a trabajar.El objetivo de este documento es registrar el sondeo inicial que realiza el ESpara conocer el entorno a asegurar;

� Relevamiento de Usuario: consiste en un test que tiene por objetivo determinarel grado de conocimiento y concientización respecto de la seguridad que poseenlos usuarios finales;

� Mapa de Vulnerabilidades: es un registro que recompila las vulnerabilidadeshalladas;

� Informe de Riesgos: esta tabla ofrece una forma de documentar lasvulnerabilidades halladas asociándoles su riesgo, su probabilidad de ocurrencia,el impacto en el entorno y en el negocio y su criticidad;

� Plan de Aseguramiento: recompila todas las medidas, controles yprocedimientos que se llevarán a cabo para asegurar el entorno en estudio ymitigar los riesgos hallados en los distintos niveles (físico, lógico y de laorganización);

� Mapa de Usuarios: permite organizar los usuarios en grupos, y a su vervisualizar los distintos grupos a los que pertenece un usuario;

� Tabla de Permisos sobre Activos Lógicos: Permite documentar la relación directaentre recursos y usuarios, asignando permisos a usuarios y perfiles sobreactivos lógicos;

� Inventario de Activos: documento que sirve para llevar un control de los activoslógicos y físicos presentes en el entorno:

o Inventario de Activos Físicos: recompila todos los activos de tipo físico y losenumera y clasifica;

o Inventario de Activos Lógicos: recompila todos los activos de tipo lógico ylos enumera y clasifica;

� Inventario de Backups: es un registro de las copias de respaldo de los datos quese realiza junto con la fecha, el medio físico que los contiene y un códigoidentificatorio. Está directamente ligado al Inventario de Activos ya que elcódigo es el utilizado para identificar el activo lógico “backup” y el número dedispositivo identifica a la cinta o medio físico;

� ABM Activos: es un registro de los cambios que sufren los activos, y su relaciónentre con otros activos;

� Manual de Seguridad: compuesto por la normativa de la organización:

o Política general;

o Normas;

o Procedimientos;

o Estándares técnicos;

o Manuales de usuario;


217

� Tabla de Criticidades por Aplicación: documento que sirve para establecer lascriticidades de las aplicaciones del entorno;

o Procedimiento de Declaración de la Emergencia: conjunto de tareas arealizar ante un acontecimiento que afecte las prestaciones del entorno;

o Procedimiento de Reestablecimiento de las Condiciones Normales: tareas arealizar una vez recuperadas las prestaciones en contingencia, pararecuperar el funcionamiento normal de los equipos y servicios;

� Informe de Cierre de Implantación: es un documento que contiene los detallesde los resultados del proyecto de aseguramiento del entorno y de los cambiosrealizados;

� Reportes de Incidencias: documento que se utiliza para registrar las incidenciasocurridas en el entorno;

� Formulario de Control de Cambios: es un documento que creamos con el fin deregistrar todos los requerimientos de cambios surgidos en el entorno, y suprueba e implantación;

o Instructivos;

� Comunicados: medios escritos por los cuales se informan los usuarios yempleados;

� Presentaciones: medios por los cuales se capacita a los usuarios y empleados;

� Documentación de Capacitación: documentos que sirven para la capacitación delos usuarios y empleados;

� Tabla de Criticidades por Equipo: documento que sirve para establecer lascriticidades de los equipos del entorno;

� Tabla de Criticidades por Servicio: documento que sirve para establecer lascriticidades de los servicios del entorno;

� PRED: Plan de Recuperación del Entorno ante Desastres: establece las medidasa tomar para prevenir catástrofes y recuperar el entorno una vez ocurridas,preservando los objetivos del negocio:

o Procedimiento de Recuperación de las Prestaciones: tareas a realizar unavez declarada la emergencia, para recuperar el funcionamiento enemergencia de los equipos y servicios

� Informe de Implantación: documento con los detalles del avance del proyectode aseguramiento del entorno y de los cambios realizados;

� Manual de Procedimientos sobre Reporte de Incidencias: manual que capacita alos usuarios en el proceso de reporte de incidencias de seguridad en el entorno;

� Registro de Incidencias: es un documento que recompila todas las incidenciasocurridas y las centraliza para su posterior análisis y estudio estadístico;

La idea de este conjunto de herramientas es seleccionar las apropiadas para elentorno que se está estudiando, quizás combinarlas, y utilizarlas como constantefuente de control y auditoría de la vida del entorno.

Como fuente de control estos documentos sirven ya que su constantemantenimiento garantiza el conocimiento de los distintos aspectos que traten. Porejemplo, mantener actualizado el Inventario de Activos Físicos implica tener un


218

completo conocimiento de los bienes físicos de la empresa, lo que permitiríadetectar hurtos que, de otra manera, pasarían desapercibidos.

Como fuentes de auditoría estos documentos también proporcionan pruebas deviolaciones a las Normas de la compañía, actos ilícitos y falta de control interno enlos procesos del negocio.

Todos los sistemas informáticos sufren cambios constantemente. El entorno cambiacon ellos, y es por eso que considero fundamental registrar todos esos cambios, nosolo específicamente utilizando los procedimientos recomendados en la fase deControl de Cambios, sino considerar todo el proyecto como una oportunidad paradocumentar el entorno para detectar fallas en los objetivos de control fijados por elExperto, para depurar los procesos no documentados y perfeccionarlos, paramejorar el flujo de la información y la comunicación de los datos, para verificar quese tenga en cuenta la contraposición de intereses en los roles de control y ejecuciónde las tareas y procesos, para dejar pistas de auditoría y para incrementar la basede conocimiento de todos los empleados de la compañía.

Entonces, la Metodología de Aseguramiento de Entornos Informatizados provee alos Ingenieros en Informática y Licenciados en Análisis de Sistemas de unaherramienta con modelos estructurados para que, de forma ordenada y efectiva, lesfacilite y les guíe en la tarea de dar informe de las vulnerabilidades presentes en elentorno en que trabajan, su criticidad e impacto, los riesgos tecnológicos yfuncionales asociados, determinar las posibles formas de mitigarlos, planificar laforma de implantar la solución más conveniente para el entorno en estudio y parael cliente, para luego implantarlas con éxito y así lograr una efectiva protección ydocumentación del entorno objetivo, que era el propósito de este trabajo.


219

�

�

� [isecom] ISECOM - Institute for security and Open Methodologies.

�

�

VI. BIBLIOGRAFÍA

� [IRAM/ISO/IEC17799] IRAM/ISO/IEC 17799 Julio 2002. Proyecto 1 de norma

argentina. Código de práctica para la gestión de la seguridad de la información.

Basada en ISO/IEC Standard 17799: Information Technology – Code of Practice

for Information Security Management.

� [BS7799] British Standard - Information technology. Code of practice for

information security management.

[Cobit] Cobit Standard- Objetivos de Control para la Información y Tecnologías -

2000, emitido por el Comité directivo del Cobit y la Information Systems audit.

And Control Fundation.

� [Huerta2000] Huerta, A. 2000. Seguridad en Uníx y redes. 2da edición. España.

� [Tackett-Burnett2000] Tackett, j. y Burnett S. 2000. Linux. 4ta edición. Prentice

Hall Iberia. España.

� [Scambray-McClure-Kurtz2001] Scambray, J., McClure, S. Y Kurtz, G. 2001.

Hackers 2. McGraw-Hill/Interamericana de España.

� [Stallings1999] Stallings, W. 1999. Cryptography and Network Security:

Principles and Practice, 2da edición, Prentice Hall, Inc.

� [Martorell] Martorell, M. Control de Accesos. Escola Universitaria Politecnica de

Mataro.

[hispasec] Hispasec Sistemas.

o http://www.h i spasec.com

o http://www.isecom.org

[ iss.net] ISS- Internet Security Systems.

o http://iss.net

[xforce.iss] Base de datos de vulnerabilidades y amenazas de ISS.


220

o

�

o

�

o

�

o

.

� [10laws-MS] Microsoft Technet. The Ten Immutable Laws of Security. 2003

�

� [MMC] Conjunto de herramientas de configuración de seguridad de Microsoft-

MMC. 2003.

� [ISACA] ISACA (Information Systems Audit and Control Association).

o

�

o

�

o

http://xforce.iss.net/

[bsi] British Standards Online.

http://www.bsi-global.com/index.xalter

[Benson] Microsoft Solutions Framework. Estrategias de Seguridad. Christopher

Benson, Inobits Consulting (Pty) Ltd.

http://microsoft.com/latam/technet/articulos/200011/art04

[Consid-MS] Microsoft Solutions Framework. Consideraciones de seguridad para

la autoridad administrativa.

http://msn.com

o http://microsoft.com/technet/colums/security/assays/10imlaws.asp

[Technet] Microsoft Technet.

o http://microsoft.com/technet

o http://microsoft.com

http://www.isaca.org

[MRSA-ISACA]“Metodología de revisión de software aplicativo” (Application

Software Audit Methodology). ISACA (Information Systems Audit and Control

Association).

http://www.isaca.org

[AAW-ISI] “Auditoría de aplicaciones web”. Instituto Seguridad Internet (ISI).

http://www.instisec.com


221

�

� [AACF-ROBOTA] “Auditoría de aplicaciones y Código fuente”. Robota.

[OSSTMM-ISECOM] “Open Source Security Testing Methodology Manual –

OSSTMM”. Pete Herzog . Isecom.

o http://www.isecom.org

o http://www.robota.net


222

1.1 Análisis de Requerimientos de Usuario.

1.3 Aprobación del Alcance.

1.5 Elaboración del Plan de Trabajo.

2 Relevamiento.

2.2 Elaboración del Relevamiento de Usuario.

2.4 Análisis de Riesgos.

3 Planificación .

3.2 Aprobación del Plan de Aseguramiento.

4 Implantación.

4.2 Clasificación de la Información.

4.4 Publicación de la Normativa de Seguridad.

4.6 Elaboración del Plan de Recuperación del Entorno ante Desastres (PRED).

5 Estabilización.

5.2 Ajuste.

5.4 Capacitación de usuarios.

6 Mantenimiento.

6.2 Control de cambios.

VII. ANEXO I. MAEI – RESUMEN DE FASES Y TAREAS

1 Definición del Alcance.

1.2 Elaboración del Alcance.

1.4 Estimación de tiempos y costos.

2.1 Elaboración del Relevamiento General.

2.3 Análisis de vulnerabilidades.

3.1 Elaboración del Plan de Aseguramiento.

4.1 Elaboración del Relevamiento de Activos.

4.3 Elaboración/ adaptación de la Normativa de Seguridad.

4.5 Implantación del Plan de Aseguramiento.

5.1 Análisis de resultados.

5.3 Cierre de la implantación.

6.1 Control de incidencias.


223

VIII. ANEXO II. ESTÁNDARES INTERNACIONALES. RESEÑAINTRODUCTORIA.

ISO/IEC estándar 17799

Information Technology – Code of Practice for Information SecurityManagement

El ISO/IEC estándar 17799 es un marco que brinda recomendaciones para lagestión de la seguridad de la información.

Su origen es el estándar británico BS7799.

Su objetivo es proveer de una base común para el desarrollo de estándares deseguridad de la organización y una práctica efectiva de su administración,brindando asimismo, confianza en las relaciones llevadas a cabo entre lasorganizaciones.

Estas recomendaciones han de ser aplicadas por los responsables de iniciar,implantar o mantener la seguridad en sus organizaciones, entre las que seencuentran la definición de seguridad de la información, la organización de laseguridad, controles en los distintos aspectos físicos, lógicos, en el personal, en losactivos de la compañía, control de accesos y gestión de comunicaciones, desarrolloy mantenimiento de sistemas, administración de la continuidad del negocio, entreotros.

En particular, este estándar trata el análisis de “Requerimientos de seguridad de lossistemas”, que se ha tomado en esta metodología como parte de los controles arealizar en la etapa de relevamiento y de análisis de vulnerabilidades.

Esta sección describe cómo se deben tratar los datos de entrada: “Los datos deentrada en sistemas de aplicación deben ser validados para asegurar que soncorrectos y apropiados. Los controles deben ser aplicados a las entradas de lastransacciones de negocios, datos permanentes (nombres y direcciones, límites decrédito, números de referencia al cliente) y tablas de parámetros (precios de venta,tasa de impuestos, índice de conversión de dinero).” También especifica controlesde procesamiento interno, asegurando que “el diseño de aplicaciones debe asegurarque las restricciones se implementen para minimizar los riesgos de fallas deprocesamiento, conducentes a una pérdida de la integridad.” Y controles en losdatos de salida.

Asimismo, encontramos la sección “Controles criptográficos” que establece criteriospara aplicar controles criptográficos, firma digital, servicios de no repudio, y laadministración de las claves criptográficas, afirmando que “Decidir si una solucióncriptográfica es apropiada, debe ser visto como parte de un proceso más amplio deevaluación de riesgos, para determinar el nivel de protección que debe darse a la


224

Las secciones “Validación de los datos de entrada”, “Controles de procesamientointerno”, y “Validación de los datos de salida” se manifiestan como parte de laetapa 2.3.2.

Para la última fase de esta metodología (Mantenimiento) se han adaptado loscontroles y las recomendaciones de la sección “Respuesta a incidencias y anomalíasen materia de seguridad”.

información”. Se realiza este análisis de riesgos en la etapa 2.4 de estametodología.

La sección “Seguridad de los archivos del sistema” trata el control del softwareoperativo y la protección de los datos de prueba del sistema. Los relevamientos queforman parte de esta tesis se efectúan según lo dispuesto en la Ley Orgánicaespañola 15/1999, de 13 de Diciembre, de Protección de datos de carácterpersonal, en adelante LOPD y Real Decreto 994/1999, de 11 de Junio, por el que seaprueba el Reglamento de Medidas de Seguridad (en adelante RMS) de los archivosautomatizados que contengan datos de carácter personal.

Finalmente, este trabajo se referencia en la verificación de la seguridad de losprocesos de desarrollo y soporte, y de los procedimientos de control de cambios endonde el estándar afirma que “se debe imponer el cumplimiento de losprocedimientos formales de control de cambios. Estos deben garantizar que no secomprometan los procedimientos de seguridad y control, que los programadores desoporte solo tengan acceso a aquellas partes del sistema necesarias para eldesempeño de sus tareas, y que se obtenga un acuerdo y aprobación formal paracualquier cambio”.

En el apartado “Desarrollo y mantenimiento de sistemas” del estándar se hacereferencia a los controles considerados en la etapa de Análisis de vulnerabilidadesen las aplicaciones.

Para validar la forma de realización de los cambios se han considerado los puntosreferidos en la sección “Seguridad de los procesos de desarrollo y soporte”.

Para el registro y seguimiento de pistas de auditoría se toma en cuenta la“Monitorización del acceso y uso de los sistemas”.

Cobit

Objetivos de Control para la Información y Tecnologías - 2000, emitido porel Comité directivo del Cobit y la Information Systems audit. and ControlFundation


225

Los objetivos de “Administración de proyectos” fueron considerados para loscontroles a realizar a nivel de metodología de desarrollo de proyectos.

Cobit es un estándar que pretende conciliar el negocio con los recursos (personas,aplicaciones, datos, tecnología, instalaciones) del ambiente de IT, haciendo énfasisen la organización y en la planificación.

Define 34 procesos de IT que considera como unidades controlables, sobre los queestablece objetivos de control. Éstos se agrupan en cuatro dominios:

� Planificación y organización

� Adquisición e implantación

� Entrega y soporte

� Monitorización

Cobit define 318 objetivos detallados que involucran a todas las áreas de laempresa.

Estos objetivos permiten determinar la situación actual, es decir, el nivel demadurez, según el modelo de madurez o Capability Maturity Model (MMC), ypermite fijar objetivos para subir el nivel mediante estos puntos de control.

Para la elaboración de esta metodología se consideraron los siguientes puntos decontrol:

� Planificación y organización:

Objetivos de “Determinación de la dirección tecnológica” para la verificación detemas técnicos de la aplicación como la estrategia de recuperación ante desastres.

Objetivos de “Definición de la organización y las relaciones de IT” para el análisisdel control interno y separación de funciones.

Los de “Administración de calidad” conforman la base para el estudio de laseparación de ambientes, el análisis de los entornos y de las pruebas.

� Adquisición e implantación:

Para el análisis de las interfases con los usuarios, el análisis de la documentación,aprobación del diseño y de cambios como parte del control de cambios analizado enla etapa 2.3, se han analizado los objetivos de control de “Adquisición ymantenimiento del software de aplicación”, los de “Desarrollo y mantenimiento deprocedimientos” y “Administración de cambios”.


226

� Entrega y soporte:

En el análisis de la administración de la seguridad informática se estudiaron losobjetivos de control de “Garantía de la seguridad de los sistemas”.

Los objetivos de “Administración de problemas e incidencias”se consideran en laetapa de manejo de incidencias.

El análisis de manejo de datos es efectuado siguiendo los procedimientospresentados en “Administración de datos”.

El análisis de las operaciones se basa en los objetivos de control de “Administraciónde operaciones”.

� Monitoreo:

Los objetivos agrupados en “Evaluación de la idoneidad del control interno” seconsideran a la hora de evaluar la coherencia, efectividad y adecuación del controlinterno.

MAGERIT

Metodología de Análisis y Gestión de Riesgos de los Sistemas deInformación de las Administraciones Públicas

MAGERIT, es una metodología formal destinada a investigar los riesgos quesoportan los Sistemas de Información, y recomendar las medidas apropiadas quedeberían adoptarse para controlar estos riesgos.

Las recomendaciones de MAGERIT permiten conocer, prevenir, impedir, reducir ocontrolar los riesgos investigados, mediante la gestión de riesgos.

En particular, se han considerado las presentes en la “Guía Para Responsables DelDominio Protegible”, entre las que se encuentran: “Conocimiento de las Amenazas”,“Estimación de las Vulnerabilidades”, “Identificación de Impactos”, “Estimación deImpactos”, “Riesgos”

Según MAGERIT, el análisis de riegos identifica seis elementos:

� Activos

� Amenazas

� Vulnerabilidades

� Impactos


227

� Riesgo

� Salvaguardas

Estos seis elementos son estudiados durante todo el proceso que presentamos ennuestra metodología de revisión de aplicaciones, donde se realiza el relevamientoque abarca, entre otras cosas, la evaluación de la aplicación a revisar como activológico de la organización, y los elementos relacionados con ésta como bases dedatos y otras aplicaciones, para pasar a la etapa donde se identifican las amenazas,las vulnerabilidades y se estudia su riesgo asociado, para finalmente recomendar lamejor salvaguarda que corresponda.


228

IX. ANEXO III. GLOSARIO DE TÉRMINOS.

Los siguientes son términos utilizados en este trabajo, obtenidos de[IRAM/ISO/IEC17799], [Huerta2000] , [Stallings1999], [Technet]:

Accesos autorizados: autorizaciones concedidas a un usuario para la utilizaciónde los diversos recursos.

Análisis de riesgos: Evaluación de las amenazas, impactos y vulnerabilidadesrelativos a la información y a las instalaciones de procesamiento de la misma, y a laprobabilidad de que ocurran.

Autenticación: procedimiento de comprobación de la identidad de un usuario.

Autorización: Garantizar que todos los accesos a datos y/o transacciones que losutilicen, cumplan con los niveles de autorización correspondientes para suutilización y divulgación.

Backup: copia de los datos de un archivo automatizado en un soporte queposibilite su recuperación.

Basurero: La información de los desperdicios dejados alrededor de un sistemapuede ser aprovechada por intrusos provocar un hurto o daño.

Bombas lógicas: Programas que se activan al producirse un acontecimientodeterminado. La condición suele ser una fecha (Bombas de Tiempo), unacombinación de teclas, o un estilo técnico Bombas Lógicas), etc. Si no se produce lacondición permanece oculto al usuario.

Backdors y trapdors: Son instrucciones que permiten a un usuario acceder aotros procesos o a una línea de comandos, y suelen ser aprovechados por intrusosmalintencionados para tomar control sobre las computadoras.

Challenge-response: Metodología utilizada para la autenticación de usuariosdenominada usualmente desafío-respuesta. Se realiza un interrogante o una seriede ellos que sólo el usuario autorizado puede conocer la respuesta.

Chip-cards: Tarjetas que poseen integrado un circuito impreso, en el cual sealmacenan datos que posibilitan la autenticación del usuario.

Cliente: toda entidad, empresa, organismo o persona que presente su entornoinformatizado con el fin de que el ES lo analice y lo asegure.


229

Conejos: Programas que no dañan directamente al sistema por alguna accióndestructiva, sino que tienen la facilidad de reproducirse exponencialmente demanera de provocar en poco tiempo una negación de servicio al consumir losrecursos (memoria, disco, procesador, etc).

Confiabilidad: Garantizar que los sistemas informáticos brinden informacióncorrecta para ser utilizada en la operatoria de cada uno de los procesos.

Confidencialidad: Garantizar que toda la información está protegida del uso noautorizado, revelaciones accidentales, espionaje industrial, violación de laprivacidad y otras acciones similares de accesos de terceros no permitidos.

Contraseña: información confidencial, frecuentemente constituida por una cadenade caracteres, que puede ser usada en la autenticación de un usuario.

Control de acceso: mecanismo que en función de la identificación ya autenticadapermite acceder a datos o recursos.

Copia del respaldo o resguardo: ver backup.

Courier: Mensajero, correo. Persona o dispositivo mediante el cual se envíanmensajes o elementos.

Desktop environments: Configuraciones de escritorio.

Dial-back: Metodología de rellamado ante la recepción de petición para estableceruna comunicación con un servidor. Al recibir este dicho requerimiento produce elcorte de la llamada y luego se comunica mediante una dirección preestablecida.

Disponibilidad: Garantizar que la información y la capacidad de su tratamientomanual y automático, sean resguardados y recuperados eventualmente cuando seanecesario, de manera tal que no se interrumpa significativamente la marcha de lasactividades.

Download: (descargar, bajar, bajarse) En Internet proceso de transferirinformación desde un servidor de información al propio ordenador personal.

Eaves dropping: Es la escucha no autorizada de conversaciones, claves, datos,etc.


230

Eficacia: Garantizar que toda información que sea utilizada es necesaria yentregada de forma oportuna, correcta, consistente y útil para el desarrollo de lasactividades.

Eficiencia: Asegurar que el tratamiento de la información se realice mediante unaóptima utilización de los recursos humanos y materiales.

Entorno: Se considera entorno un amplio espectro de ambientes, desde empresasmultinacionales distribuidas físicamente en el mundo hasta datos individuales, unaempresa informatizada, puede definirse como el edificio que alberga a la empresaobjetivo o como el Centro de Cómputos (CC) o Centro de Procesamiento de Datos(CPD) donde se encuentran los servidores, un sector informatizado de un negocio,una red de telecomunicaciones, un equipo de cómputos, una aplicación, archivoslógicos o cualquier elemento susceptible a ataques informáticos.

ES: Experto en Seguridad. En este trabajo se lo considera el principal actor, queutiliza la metodología AEI para asegurar un entorno informatizado.

Exactitud: Asegurar que toda la información se encuentre libre de errores y/oirregularidades de cualquier tipo.

Fallback: Metodología de emergencia ante fallas que posibilitan la recuperación deinformación perdida.

Firewall (cortafuegos): Dispositivo que se coloca entre una red local e Internet ycuyo objetivo es asegurar que todas las comunicaciones entre los usuarios de dichared e Internet se realicen conforme a las normas de seguridad de la organizaciónque lo instala.

Gateway (pasarela): Punto de una red que actúa como punto de entrada a otrared.

Gusanos (Worms): Son programas independientes (no necesitan insertarse enotros archivos) que se expanden a través de la red realizando distintas accionescomo instalar virus, o atacar una PC como un intruso.

Hacker (pirata): Una persona que goza alcanzando un conocimiento profundosobre el funcionamiento interno de un sistema, de un ordenador o de una red deordenadores. Este término se suele utilizar indebidamente como peyorativo, cuandoen este último sentido sería más correcto utilizar el término cracker. Los hackersproclaman tener una ética y unos principios contestatarios e inconformistas pero nodelictivos.

Hacking (pirateo): Acción de piratear sistemas informáticos y redes detelecomunicación.


231

Herramientas de seguridad: Son utilitarios que sirven para identificarvulnerabilidades en un sistema. Pueden ser una amenaza si un intruso las utiliza enel sistema y detecta fallas en la seguridad de las que el administrador no estáenterado.

Hoax: (camelo, bulo) Término utilizado para denominar a rumores falsos,especialmente sobre virus inexistentes, que se difunden por la red, a veces conmucho éxito causando al final casi tanto daño como si se tratase de un virus real.

Host system: (sistema anfitrión, sistema principal) Ordenador que, mediante lautilización de los protocolos TCP/IP, permite a los usuarios comunicarse con otrossistemas anfitriones de una red. Los usuarios se comunican utilizando programasde aplicación, tales como el correo electrónico, Telnet, WWW y FTP. La acepciónverbal (to host) describe el hecho de almacenar algún tipo de información en unservidor ajeno.

Identificación: procedimiento de reconocimiento de la identidad de un usuario.

ID: Nombre o identificación de usuario.

Incidencia o incidente: cualquier anomalía que afecte o pudiera afectar a laseguridad del entorno.

Ingeniería social: Consiste en la manipulación de las personas para quevoluntariamente realicen actos que normalmente no harían, como revelar sucontraseña o cambiarla.

Integridad: Asegurar que sea procesada toda la información necesaria y suficientepara la marcha de las actividades en cada uno de los sistemas informatizados yprocesos transaccionales.

Laptop: (computador portátil, ordenador portátil) Ordenador de tamaño pequeño-medio, que se puede transportar como un maletín y apoyar en el regazo (lap).

Legalidad: Asegurar que toda la información y los medios físicos que la contienen,procesen y/o transporten, cumplan con las regulaciones legales vigentes en cadaámbito.

Logged in: Conexión del equipamiento.

Logged out: Desconexión de equipamiento.


232

Logging: Registro de actividades en un archivo informático, de diferentessituaciones, se utiliza normalmente como evidencia de auditoria.

Login: Conexión. Entrada en una red.

Logon: Procedimiento de conexión o entrada al sistema por parte de un usuario.

Logs: Registros de situaciones en un sistema informático, tales como actividadesde usuarios, control de contraseñas, etc. Es el resultado de puesta en marcha dellogging.

Mainframe: Estructura principal. Computadora de gran tamaño de tipomultiusuario, utilizada en empresas.

Masquerading: Un intruso puede usar la identidad de un usuario autorizado queno le pertenece simplemente apoderándose de un nombre de usuario y contraseñaválidos.

No Repudio: Garantizar los medios necesarios para que el receptor de unacomunicación pueda corroborar fehacientemente la autenticidad del emisor.

Notebook: Computador u ordenador portátil.

Normativa de Seguridad: Conjunto de reglas, normas, procedimientos,estándares e instructivos que regulan los aspectos funcionales y técnicos de laseguridad informática en una organización.

Outputs: Salida. Se refiere al producto del proceso de datos, con relación a supresentación, bien puede ser impresa o por pantalla u otro medio idóneo.

Over-classification: Clasificación en exceso. Se refiere al proceso de clasificaciónde la información con relación a la categorización respecto a su publicidad o no.

PABXs: Centralita privada automática (Private Automatic Branch eXchange) (ramalde intercomunicación telefónica privada). Son ramales de intercomunicación digitalinterno que permiten manejar tanto la circulación de voz como la de los datos,utiliza conmutación de circuitos.

Palmtop: (computador de palma, ordenador de palma) Ordenador de pequeñotamaño, algo mayor que un paquete de cigarrillos, que se puede llevar en la palmade la mano (palm) y que, además de otras funciones, permite la conexión conInternet.


233

Password: (palabra de paso, contraseña) Conjunto de caracteres alfanuméricosque permite a un usuario el acceso a un determinado recurso o la utilización de unservicio dado.

PC: Personal Computer. Computadora Personal.

Piggy backing: Ocurre cuando un usuario no autorizado accede a una zonarestringida gracias al permiso otorgado a otra persona que sí está autorizada.

PIN: Personal Identification Number. Número de identificación personal, claveutilizada para el acceso a cajeros automáticos, asociada con una tarjeta de débito ode credito.

Protección Física: Garantizar que todos los medios de procesamiento y/oconservación de información cuenten con medidas de protección física que eviten elacceso y/o utilización indebida por personal no autorizado.

Propiedad: (derecho a propiedad) Asegurar que todos los derechos de propiedadsobre la información utilizada en el desarrollo de las tareas, estén adecuadamenteestablecidos a favor de sus propietarios.

Recurso: cualquier parte componente de un entorno informatizado.

Router: Sistema constituido por hardware y software para la transmisión de datosen una red. El emisor y el receptor deben utilizar el mismo protocolo decomunicaciones.

Scanners: Software, a veces asociado a equipamiento que permite realizar lainspección de comunicaciones, usualmente mediante el barrido de frecuencias.

Schedulling: Planificación, se utiliza como requerimiento para el desarrollo detareas, programación, ejecución de procesos, etc.

Shoulder Surfing: Consiste en espiar físicamente a los usuarios para obtenerclaves de acceso al sistema, números válidos de tarjetas de crédito, etc.

Spooled data: Datos en cola de espera. Los mismos pueden hallarse en dichasituación para su ingreso o su salida, impresión.

Start-up: Inicio del sistema. Tanto de software, programa o aplicación, como dehardware, equipamiento.

36819948 Bisogno Tesisdegradoingenieriainformatica

Documents

Transcript of 36819948 Bisogno Tesisdegradoingenieriainformatica