Embed Size (px)
Citation preview
CAPITULO 4 EVALUACIÓN DE LA SEGURIDAD
4.1 GENERALIDADES DE LA SEGURIDAD DEL ÁREA FÍSICA
La Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial". Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos. La seguridad física de los sistemas informáticos engloba los mecanismos - generalmente de prevención y detección - destinados a proteger físicamente cualquier recurso del sistema
Las principales amenazas que se prevén en la seguridad física son:
Desastres naturales, incendios accidentales tormentas e inundaciones. Amenazas ocasionadas por el hombre. Disturbios, sabotajes internos y externos deliberados.
A continuación se analizan los peligros más importantes que se corren en un centro de procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y oportuna para la prevención, reducción, recuperación y corrección de los diferentes tipos de riesgos.
Incendios Inundaciones: Para evitar este inconveniente se pueden tomar las
siguientes medidas: construir un techo impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas para contener el agua que bajase por las escaleras.
Instalaciones Eléctricas Robo: Las computadoras son posesiones valiosas de las empresas y están
expuestas, de la misma forma que lo están las piezas de stock e incluso el dinero. Es frecuente que los operadores utilicen la computadora de la empresa para realizar trabajos privados o para otras organizaciones y, de esta manera, robar tiempo de máquina. La información importante o confidencial puede ser fácilmente copiada. El software, es una propiedad muy fácilmente sustraíble y las cintas y discos son fácilmente copiados sin dejar ningún rastro
Fraude: Cada año, millones de dólares son sustraídos de empresas y, en muchas ocasiones, las computadoras han sido utilizadas como instrumento para dichos fines.
Sabotaje: El peligro más temido en los centros de procesamiento de datos, es el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la protección contra el saboteador es uno de los retos más duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa.
Control de Accesos
El control de acceso no sólo requiere la capacidad de identificación, sino también asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo, área o sector dentro de una empresa o institución.
Utilización de Guardias Utilización de Detectores de Metales: El detector de metales es un
elemento sumamente práctico para la revisión de personas, ofreciendo grandes ventajas sobre el sistema de palpación manual.
Utilización de Sistemas Biométricos Verificación Automática de Firmas: La VAF, usando emisiones acústicas
toma datos del proceso dinámico de firmar o de escribir. La secuencia sonora de emisión acústica generada por el proceso de escribir constituye un patrón que es único en cada individuo. El patrón contiene información extensa sobre la manera en que la escritura es ejecutada..
Seguridad con Animales: Sirven para grandes extensiones de terreno, y además tienen órganos sensitivos mucho más sensibles que los de cualquier dispositivo y, generalmente, el costo de cuidado y mantenimiento se disminuye considerablemente utilizando este tipo de sistema.
Protección Electrónica: Se llama así a la detección de robo, intrusión, asalto e incendios mediante la utilización de sensores conectados a centrales de alarmas. Estas centrales tienen conectadas los elementos de señalización que son los encargados de hacerles saber al personal de una situación de emergencia. Cuando uno de los elementos sensores detectan una situación de riesgo, éstos transmiten inmediatamente el aviso a la central; ésta procesa la información recibida y ordena en respuesta la emisión de señales sonoras o luminosas alertando de la situación.
Detectores Pasivos Sin Alimentación: Estos elementos no requieren alimentación extra de ningún tipo, sólo van conectados a la central de control de alarmas para mandar la información de control. Los siguientes están incluidos dentro de este tipo de detectores:
- Detector de aberturas: contactos magnéticos externos o de embutir.- Detector de roturas de vidrios: inmune a falsas alarmas provocadas
por sonidos de baja frecuencia; sensibilidad regulable.- Detector de vibraciones: detecta golpes o manipulaciones extrañas
sobre la superficie controlada. Sonorización y Dispositivos Luminosos: Dentro de los elementos de
sonorización se encuentran las sirenas, campanas, timbres, etc. Algunos dispositivos luminosos son los faros rotativos, las balizas, las luces intermitentes, etc.
Circuitos Cerrados de Televisión: Permiten el control de todo lo que sucede en la planta según lo captado por las cámaras estratégicamente colocadas. Los monitores de estos circuitos deben estar ubicados en un sector de alta seguridad. Las cámaras pueden estar a la vista (para ser utilizada como medida disuasiva) u ocultas (para evitar que el intruso sepa que está siendo captado por el personal de seguridad).
4.2 SEGURIDAD LÓGICA Y CONFIDENCIAL
El activo más importante que se poseen las organizaciones es la información, y por lo tanto deben existir técnicas más allá de la seguridad física que la aseguren, estas técnicas las brinda la seguridad lógica.
La seguridad lógica consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los datos y solo se permita acceder a ellos a las personas autorizadas para hacerla.
Algunas de las principales amenazas que tendrán que combatir los administradores de sistemas son el acceso y modificaciones no autorizadas a datos y aplicaciones.
La seguridad lógica se basa, en gran medida, en la efectiva administración de los permisos y el control de acceso a los recursos informáticos, basados en La identificación, autenticación y autorización de accesos.
Los objetivos que se plantean serán:
Restringir el acceso a los programas y archivos. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa
y no puedan modificar los programas ni los archivos que no correspondan. Asegurar que se estén utilizados los datos, archivos y programas correctos
en y por el procedimiento correcto. Que la información transmitida sea recibida sólo por el destinatario al cual
ha sido enviada y no a otro. Que la información recibida sea la misma que ha sido transmitida. Que existan sistemas alternativos secundarios de transmisión entre
diferentes puntos. Que se disponga de pasos alternativos de emergencia para la transmisión
de información.
CONTROL DE ACCESO LÓGICO
El control de acceso lógico es la principal línea de defensa para la mayoría de los sistemas, permitiendo prevenir el ingreso de personas no autorizadas a la información de los mismos.
Para realizar la tarea de controlar el acceso se emplean 2 procesos normalmente: identificación y autenticación.
Se denomina identificación al momento en que el usuario se da a conocer en el sistema; y autenticación a la verificación que realiza el sistema sobre esta identificación.
Desde el punto de vista de la eficiencia, es conveniente que los usuarios sean identificados y autenticados solamente una vez, pudiendo acceder a partir de ahí a todas las aplicaciones y datos a los que su perfil les permita, tanto en sistemas locales como en sistemas a los que deba acceder en forma remota. Esto se denomina single login o sincronización de passwords.
Los sistemas de control de acceso protegidos con contraseña, suelen ser un punto crítico de la seguridad y por ello suelen recibir distintos tipos de ataques, los más comunes son:
Ataque de fuerza bruta: se intenta recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso. Cuanto más corta, más sencilla de obtener probando combinaciones
Ataque de diccionario: intentar averiguar una clave probando todas las palabras de un diccionario o conjunto de palabras comunes. Este tipo de ataque suele ser más eficiente que un ataque de fuerza bruta, ya que muchos usuarios suelen utilizar una palabra existente en su lengua como
contraseña para que la clave sea fácil de recordar, lo cual no es una práctica recomendable
Una forma sencilla de proteger un sistema contra los ataques de fuerza bruta o los ataques de diccionario es establecer un número máximo de tentativas, de esta forma se bloquea el sistema automáticamente después de un número de intentos infructuosos predeterminado. Un ejemplo de este tipo de sistema de protección es el mecanismo empleado en las tarjetas SIM que se bloquean automáticamente tras tres intentos fallidos al introducir el código PIN.
POLÍTICA DE CONTRASEÑAS
Las contraseñas son las claves que se utilizan para obtener acceso a información personal que se ha almacenado en el equipo y aplicaciones, como en los entornos web (mail, banca online, redes sociales, etc.). Para que una contraseña sea segura se recomienda:
Longitud mínima: cada carácter en una contraseña aumenta exponencialmente el grado de protección que ésta ofrece. Las contraseñas a ser posible deben contener un mínimo de 8 caracteres, lo ideal es que tenga 14 caracteres o más.
Combinación de caracteres (letras minúsculas y mayúsculas, números y símbolos especiales): cuanto más diversos sean los tipos de caracteres de la contraseña más difícil será adivinarla. .
Algunos métodos que suelen emplearse para crear contraseñas resultan fáciles de adivinar, a fin de evitar contraseñas poco seguras, se recomienda:
No incluir secuencias ni caracteres repetidos. Como"12345678","222222","abcdefg".
No utilizar el nombre de inicio de sesión. No utilizar palabras de diccionario de ningún idioma. Utilizar varias contraseñas para distintos entornos. Evitar la opción de contraseña en blanco. No revelar la contraseña a nadie y no escribirla en equipos que no
controlas. Cambiar las contraseñas con regularidad.
ETAPAS PARA IMPLANTAR UN SISTEMA DE SEGURIDAD
Introducir el tema de seguridad en la visión. Definir los procesos de flujo de información y sus riesgos Capacitar a los gerentes y directivos. Designar y capacitar supervisores de área. Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras
relativamente rápidas. Mejorar las comunicaciones internas. Identificar claramente las áreas de mayor riesgo. Capacitar a todos los trabajadores en los elementos básicos de seguridad y
riesgo.
NIVELES DE SEGURIDAD INFORMÁTICA
El estándar de niveles de seguridad mas utilizado internacionalmente es el TCSEC Orange Book(2), desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del Departamento de Defensa de los Estados Unidos. Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el mínimo grado de seguridad al máximo.
Nivel D: Este nivel contiene sólo una división y está reservada para sistemas que han sido evaluados y no cumplen con ninguna especificación de seguridad. Sin sistemas no confiables, no hay protección para el hardware, el sistema operativo es inestable y no hay autentificación con respecto a los usuarios y sus derechos en el acceso a la información. Los sistemas operativos que responden a este nivel son MS-DOS y System 7.0 de Macintosh.
Nivel C1: Protección Discrecional: Se requiere identificación de usuarios que permite el acceso a distinta información. Cada usuario puede manejar su información privada y se hace la distinción entre los usuarios y el administrador del sistema, quien tiene control total de acceso. Muchas de las tareas cotidianas de administración del sistema sólo pueden ser realizadas por este "super usuario" quien tiene gran responsabilidad en la seguridad del mismo. Con la actual descentralización de los sistemas de cómputos, no es raro que en una organización encontremos dos o tres personas cumpliendo este rol. Esto es un problema, pues no hay forma de distinguir entre los cambios que hizo cada usuario. A continuación se enumeran los requerimientos mínimos que debe cumplir la clase C1:
Acceso de control discrecional: distinción entre usuarios y recursos. Se podrán definir grupos de usuarios (con los mismos privilegios) y grupos de
objetos (archivos, directorios, disco) sobre los cuales podrán actuar usuarios o grupos de ellos. Identificación y Autentificación: se requiere que un usuario se identifique antes de comenzar a ejecutar acciones sobre el sistema. El dato de un usuario no podrá ser accedido por un usuario sin autorización o identificación.
Nivel C2: Protección de Acceso Controlado: Este subnivel fue diseñado para solucionar las debilidades del C1. Cuenta con características adicionales que crean un ambiente de acceso controlado. Se debe llevar una auditoria de accesos e intentos fallidos de acceso a objetos. Tiene la capacidad de restringir aún más el que los usuarios ejecuten ciertos comandos o tengan acceso a ciertos archivos, permitir o denegar datos a usuarios en concreto, con base no sólo en los permisos, sino también en los niveles de autorización. Requiere que se audite el sistema. Esta auditoría es utilizada para llevar registros de todas las acciones relacionadas con la seguridad, como las actividades efectuadas por el administrador del sistema y sus usuarios. La auditoría requiere de autenticación adicional para estar seguros de que la persona que ejecuta el comando es quien dice ser. Su mayor desventaja reside en los recursos adicionales requeridos por el procesador y el subsistema de discos. Los usuarios de un sistema C2 tienen la autorización para realizar algunas tareas de administración del sistema sin necesidad de ser administradores. Permite llevar mejor cuenta de las tareas relacionadas con la administración del sistema, ya que es cada usuario quien ejecuta el trabajo y no el administrador del sistema.
Nivel B1: Seguridad EtiquetadaEste subnivel, es el primero de los tres con que cuenta el nivel B. Soporta seguridad multinivel, como la secreta y ultrasecreta. Se establece que el dueño del archivo no puede modificar los permisos de un objeto que está bajo control de acceso obligatorio.
Nivel B2: Protección Estructurada Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto inferior. La Protección Estructurada es la primera que empieza a referirse al problema de un objeto a un nivel mas elevado de seguridad en comunicación con otro objeto a un nivel inferior. Así, un disco rígido será etiquetado por almacenar archivos que son accedidos por distintos usuarios. El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y seguridad son modificadas; y el administrador es el encargado de fijar los canales de almacenamiento y ancho de banda a utilizar por los demás usuarios.
Nivel B3: Dominios de Seguridad: Refuerza a los dominios con la instalación de hardware: por ejemplo el hardware de administración de memoria se usa para proteger el dominio de seguridad de acceso no
autorizado a la modificación de objetos de diferentes dominios de seguridad. Existe un monitor de referencia que recibe las peticiones de acc eso de cada usuario y las permite o las deniega según las políticas de acceso que se hayan definido. Todas las estructuras de seguridad deben ser lo suficientemente pequeñas como para permitir análisis y testeos ante posibles violaciones. Este nivel requiere que la terminal del usuario se conecte al sistema por medio de una conexión segura.
Nivel A: Protección Verificada: Es el nivel más elevado, incluye un proceso de diseño, control y verificación, mediante métodos formales (matemáticos) para asegurar todos los procesos que realiza un usuario sobre el sistema. Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores deben incluirse. El diseño requiere ser verificado de forma matemática y también se deben realizar análisis de canales encubiertos y de distribución confiable. El software y el hardware son protegidos para evitar infiltraciones ante traslados o movimientos del equipamiento.
4.3 SEGURIDAD PERSONAL
Se refiere a la seguridad y protección de los operadores, analistas, programadores y demás personal que está en contacto directo con los sistemas, así como a la seguridad de los beneficiarios de la información.
El objetivo principal de la auditoría de la seguridad del personal es evitar, hasta donde humanamente sea posible, los accidentes acaecidos en el trabajo que constituyen los riesgos de trabajo.
Uno de los punto más importantes a considerar para poder definir la seguridad de un sistema es el grado de actuación que puede tener un usuario dentro de un sistema, ya que la información se encuentra en un archivo normal o en una base de datos, o bien que se posea una minicomputadora, o un sistema de red. Para esto podemos definir los siguientes tipos de usuarios:
• Propietario.- Es el dueño de la información y responsable de ésta, y puede realizar cualquier función
• Administrador.- Solo puede actualizar o modificar el software con la debida autorización
• Usuario principal.- Esta autorizado por el propietario para hacer modificaciones, cambios, lecturas y utilización de los datos, pero no da autorización para que otros usuarios entren
• Usuario de consulta.- Solo puede leer la información
• Usuario de explotación.- Puede leer la información y usarla para explotación de la misma
• Usuario de auditoría.- Puede usar la información y rastrearla dentro del sistema para fines de auditoría.
Controles necesarios para la seguridad del personal
Controles administrativos del personal de informática. Seguros y fianzas para el personal de sistemas. Planes y programas de capacitación. Planes de contingencia definidos para el personal que labora en el área
Planes de contingencia
Es el control de las contingencias y riesgos que se pueden presentar en el área de sistemas.
Estas contingencias se pueden evitar a través de planes y programas preventivos específicos, en los que se detallan las actividades antes, durante y después de alguna contingencia.
En estos planes se incluyen los simulacros de contingencias, los reportes de actuaciones y las bitácoras de seguimiento de las actividades y eventos que se presenten en el área de sistemas.
Técnicas y herramientas de auditoría relacionadas con la seguridad
Protección a los procedimientos de procesamiento y los equipos contra las intervenciones exteriores: sólo se debe permitir al personal autorizado que maneje los equipos de procesamiento.
Sólo se permitirá la entrada al personal autorizado y competente Se deben verificar las fechas de vencimientos de las pólizas de seguros,
pues puede suceder que se tenga la póliza adecuada pero vencida. También se debe asegurar la pérdida de los programas (software). Seleccionar al personal mediante la aplicación de exámenes integrales:
médico, psicológico, aptitudes, etc. Contratar personal que viva en zonas cercanas a la empresa. Acondicionar los locales, de acuerdo con las normas de seguridad. Capacitar y adiestrar al personal respecto a los riesgos a los que se
exponen y la manera de evitarlos. Practicar con periodicidad exámenes médicos al personal. Sostener pláticas informales, directas e individuales con el personal. Instalar carteles y propaganda mural referentes a la seguridad.
Elaborar estadísticas sobre riesgos ocurridos y derivar de ellas las medidas concretas adoptables para evitar su repetición.
Enterar al personal sobre dichas estadísticas y las medidas adoptadas. Proponer otras actividades que se consideren necesarias.
Seguros
Los seguros de los equipos en algunas ocasiones se dejan en segundo término aunque son de gran importancia.
Existe un gran problema en la obtención de los seguros ya que a veces el agente de seguros es una persona que conoce mucho de seguros, riesgos comerciales, riesgos de vida, etc.
Pero muy poco sobre computadoras, y el personal de informática conoce mucho sobre computación y muy poco sobre seguros.
El seguro debe cubrir todo el equipo y su instalación, por lo que es probable que una sola póliza no pueda cubrir todo el equipo con las diferentes características (existe equipo que pueda ser transportado como computadoras personales y otras que no se pueden mover como unidades de disco duro).
Por lo que tal vez convenga tener dos o más pólizas por separado, cada una con las especificaciones necesarias
El seguro debe cubrir tanto daños causados por factores externos (terremotos, inundaciones, etc.) como por factores internos (daños ocasionados por negligencia de los operadores, daños debidos al aire acondicionado).
Entre las precauciones que se deben revisar están:
Se deben verificar las fechas de vencimientos de las pólizas de seguros, pues puede suceder que se tenga la póliza adecuada pero vencida.
También se debe asegurar la pérdida de los programas (software).
4.4 CLASIFICACIÓN DE LOS CONTROLES DE SEGURIDAD
Los controles son los mecanismos que se utilizan para poder controlar los accesos y privilegios a los recursos indicados. Es responsabilidad del dueño del activo
sobre el que se le aplican los controles establecer los parámetros requeridos para disponibilidad, confidencialidad e integridad; el experto en seguridad informática será el responsable de diseñar, configurar y hacer cumplir los parámetros dictados. El profesional de la seguridad es quién realiza las sugerencias y decide qué tipo de controles (que pueden variar debido diversos factores como la naturaleza del negocio, el presupuesto asignado, el tipo de usuario, la criticidad del activo, etc.). La facultad de decidir cómo será el rol de la seguridad en la organización pertenece a la administración.
Seguridad de Redes
La seguridad de redes es un nivel de seguridad que garantiza que el funcionamiento de todas las máquinas de una red sea óptimo y que todos los usuarios de estas máquinas posean los derechos que les han sido concedidos:
Esto puede incluir:
Evitar que personas no autorizadas intervengan en el sistema con fines malignos.
Evitar que los usuarios realicen operaciones involuntarias que puedan dañar el sistema.
Asegurar los datos mediante la previsión de fallas. Garantizar que no se interrumpan los servicios.
MEDIDAS DE PROTECCIÓN
Manténganse informado Conozca su sistema operativo
Limite el acceso a la red (firewall) Limite el número de puntos de entrada (puertos) Defina una política de seguridad interna (contraseñas, activación de
archivos ejecutables) haga uso de utilidades de seguridad (registro)
Controles Logicos:
Los controles lógicos son aquellos basados en un software o parte de él, que nos permitirán:
Identificar los usuarios de ciertos datos y/o recursos: hacer una clasificación de tipos de usuarios y sus objetivos de acceso a los sistemas.
Restringir el acceso a datos y recursos de los sistemas: establecer los permisos por tipo de usuario. Por ejemplo, establecer que un usuario
común de un sistema no tendrá acceso a los datos financieros de la organización.
Producir pistas para posteriores auditorias: todos los movimientos hechos por los usuarios deben ser registrados y guardados a modo de historia de lo que ha ocurrido. Generalmente archivos llamados “logs”, son los que mantienen este tipo de información.
Controles necesarios para la seguridad física del área
Inventario del hardware, mobiliario y equipo. Resguardo del equipo de cómputo. Bitácoras de mantenimiento y correcciones. Controles de acceso del personal al área de sistemas. Control del mantenimiento a instalaciones y construcciones. Seguros y fianzas para el personal, equipos y sistemas. Contratos de actualización, asesoría y mantenimiento del hardware.
Seguridad de las bases de datos
El objetivo es proteger la Base de Datos contra accesos no autorizados. Se llama también privacidad.
INCLUYE ASPECTOS:
• Aspectos legales, sociales y éticos• Políticas de la empresa, niveles de información publica y privada• Controles de tipo físico, acceso a las instalaciones• Identificación de usuarios: voz, retina del ojo, etc.• Controles de sistema operativo
MEDIDAS DE SEGURIDAD
• Físicas: Controlar el acceso al equipo. Tarjetas de acceso, etc.• Personal: Acceso sólo del personal autorizado. Evitar sobornos, etc.• SO: Seguridad a nivel de SO• SGBD: Uso herramientas de seguridad que proporcione el SGBD.
Perfiles de usuario, vistas, restricciones de uso de vistas, etc.
4.5 SEGURIDAD EN LOS DATOS Y SOFTWARE DE APLICACIÓN
SEGURIDAD
El término seguridad proviene de la palabra securitas del latín. Cotidianamente. Se puede referir a la seguridad como la ausencia de riesgo o también a la confianza en algo o alguien.
SEGURIDAD DE LOS DATOS
Tipos de datos Protección de los datos respecto a características Confidencialidad Disponibilidad Integridad Ciclo de vida de los datos (controles) Desde el origen del dato Proceso de los datos Salida de resultados Retención de información y protección en función de su clasificación
TIPOS DE CONTROL DE DATOS
Control de distribución: La información de salida debe ser controlada en el sentido de que de be ser distribuidas a aquellas personas que necesiten los datos
Validación de datos: Es necesario tener confianza en los datos al ser procesados, por eso mismo son sometidos a una serie de pruebas para detectar los posibles errores que puedan traer
Control de secuencia: En datos como las facturas que tienen un número de folio, la computadora puede ejercer un control de secuencia sobre el número de folio.
Digito de control: La clave de identificación de los artículos de un registro permite individualizar cada uno de los artículos, usuarios, equipos etc.
4.6 CONTROLES PARA EVALUAR SOFTWARE DE APLICACIÓN
Objetivos de la auditoría del software de aplicación: Verificar la presencia de procedimientos y controles
Para satisfacer:
La instalación del software
La operación y seguridad del software. La administración del software Detectar el grado de confiabilidad: Grado de confianza, satisfacción y
desempeño investigar si existen políticas con relación al software. Detectar si existen controles de seguridad. Verificar que sea software legalizado. Actualización del software de aplicación.
Evaluación del software
El auditor debe evaluar qué software se encuentra instalado en la organización. Este software puede ser: paquetes, lenguajes, sistemas operativos, bases de datos, etc. También debe investigar las versiones de cada uno.
Organización
El auditor debe de verificar que existan políticas para: La evaluación del software. Adquisición o instalación. Soporte a usuarios. Seguridad.
Instalación y legalización: Procedimientos para la instalación del software.El auditor debe investigar si existen procedimientos que aseguren la oportuna instalación del software.
Actividades durante la instalación. Por ejemplo: revisión de contenido del paquete, fecha de instalación, número de máquina, responsable de instalación, etc.
Justificación
En algunas ocasiones se adquiere software pero su compra no estaba planeada, entonces se debe formular una justificación del porqué de esta adquisición.
Software legal
El auditor debe de investigar las políticas cuando se encuentra software instalado en máquinas sin licencias de uso.
Controles del software de seguridad general aplican para todos los tipos de software y recursos relacionados y sirven para:
El control de acceso a programas y a la instalación Vigilar los cambios realizados Controles de acceso a programas y datos Cambios realizados Diseño y código de modificaciones
Coordinación de otros cambios Asignación de responsabilidades Revisión de estándares y aprobación Requerimientos mínimos de prueba Procedimientos del respaldo en el evento de interrupción
Controles de software específico se presentan algunos de los controles usados por los diferentes tipos de software específico:
El acceso al sistema debe de ser restringido para individuos no autorizados Se debe controlar el acceso a los proceso y a las aplicaciones permitiendo
a los usuarios autorizados ejecutar sus obligaciones asignadas y evitando que personas no autorizadas logren el acceso. Se limitara tanto a usuarios como a programadores de aplicaciones a un tipo específico de acceso de datos.
Para asegurar las rutas de acceso deberá restringirse el acceso a secciones o tablas de seguridad, mismas que deberán ser encriptados. Deberán restringirse las modificaciones o cambios al software de control de acceso, y éstos deberán ser realizados de acuerdo y a procedimientos no autorizados:
Software de sistemas operativos. Controles que incluye:
Los password e identificadores deberán ser confidenciales El acceso al software de sistema operativo deberá ser restringido Los administradores de seguridad deberán ser los únicos con autoridad
para modificar funciones del sistema.
Software manejador de base de datos. Controles que incluye: El acceso a los archivos de datos deberá ser restringido en una vista de
datos lógica. Deberá controlar el acceso al diccionario de datos. La base de datos debe ser segura y se usaran las facilidades de control de
acceso construidas dentro del software dbms.
Software de consolas o terminales maestras. Controles que incluye:
• Los cambios realizados al software de consolas o terminales maestras deberán ser protegidas y controlados
Software de librerías. Controles que incluye:
Tiene la facilidad de comparar dos versiones de programas en código fuente y reportar las diferencias.
Deben limitarse el acceso a programas o datos almacenados por el software de librerías
Las versiones correctas de los programas de producción deben corresponder a los programas objetos.
Software de utilerías. Controles que incluye: Deberán restringirse el acceso a archivos de utilerías software de sistemas operativos. Controles que incluye:
Software manejador de base de datos. Controles que incluye:
El acceso a los archivos de datos deberá ser restringido en una vista de datos lógica.
Deberá controlar el acceso al diccionario de datos. La base de datos debe ser segura y se usaran las facilidades de control de
acceso construidas dentro del software dbms.
Software de consolas o terminales maestras. Controles que incluye:
Los cambios realizados al software de consolas o terminales maestras deberán ser protegidas y controlados
Software de librerías. Controles que incluye: Tiene la facilidad de comparar dos versiones de programas en código
fuente y reportar las diferencias. Deben limitarse el acceso a programas o datos almacenados por el
software de librerías. Las versiones correctas de los programas de producción deben
corresponder a los programas objetos.
4.7 CONTROLES PARA PREVENIR CRÍMENES Y FRAUDES INFORMÁTICOS
4.8 PLAN DE CONTINGENCIA, SEGUROS, PROCEDIMIENTOS DE RECUPERACIÓN DE DESASTRES
Plan de contingenciaEl Plan está orientado a establecer, junto con otros trabajos de seguridad, un adecuado sistema de seguridad física y lógica en previsión de desastres.
Un Plan de Contingencia de Seguridad Informática consiste en los pasos que se deben seguir, luego de un desastre, para recuperar, aunque sea en parte, la capacidad funcional del sistema aunque, y por lo general, constan de remplazos de dichos sistemas.
Actividades Asociadas_ - Análisis de Riesgos
_ - Medidas Preventivas_ - Previsión de Desastres Naturales_ - Plan de Respaldo_ - Plan de Recuperación
Análisis de RiesgosPara realizar un análisis de los riegos, se procede a identificar los objetos que deben ser protegidos, los daños que pueden sufrir, sus posibles fuentes de daño y oportunidad, su impacto en la compañía, y su importancia dentro del mecanismo de funcionamiento.
Bienes susceptibles de un daño• Personal• Hardware• Software y utilitarios• Datos e información• Documentación• Suministro de energía eléctrica• Suministro de telecomunicaciones
Daños• Imposibilidad de acceso a los recursos debido a problemas físicos en las instalaciones donde se encuentran los bienes, sea por causas naturales o humanas.• Imposibilidad de acceso a los recursos informáticos por razones lógicas en los sistemas en utilización, sean estos por cambios involuntarios o intencionales, llámese por ejemplo, cambios de claves de acceso, datos maestros claves, eliminación o borrado físico/lógico de información clave, proceso de información no deseado.• Divulgación de información a instancias fuera de la Compañía y que afecte su patrimonio estratégico• Comercial y/o Institucional, sea mediante Robo o Infidencia.
Medidas PreventivasControl de Accesos
• Acceso físico de personas no autorizadas. b) Acceso a la Red de PC's y Servidor.• Acceso restringido a las librerías, programas, y datos.
Previsión de desastres NaturalesLa previsión de desastres naturales sólo se puede hacer bajo el punto de vista de minimizar los riesgos innecesarios en la sala de Computación Central, en la medida de no dejar objetos en posición tal que ante un movimiento telúrico pueda generar mediante su caída y/o destrucción, la interrupción del proceso de operación normal.Plan de RespaldoEl Plan de Respaldo trata de cómo se llevan a cabo las acciones críticas entre la pérdida de un servicio o recurso, y su recuperación o restablecimiento. Todos los nuevos diseños de Sistemas,
Proyectos o ambientes, tendrán sus propios Planes de Respaldo.
Plan de RecuperaciónObjetivos del Plan de RecuperaciónLos objetivos del plan de Recuperación son:
• Determinación de las políticas y procedimientos para respaldar las aplicaciones y datos.• Planificar la reactivación dentro de las 12 horas de producido un desastre, todo el sistema de procesamiento y sus funciones asociadas.• Permanente mantenimiento y supervisión de los sistemas y aplicaciones.• Establecimiento de una disciplina de acciones a realizar para garantizar una rápida y oportuna respuesta frente a un desastre.
Procedimientos de recuperación de desastres¿A que nos referimos con desastres?
_ Completa destrucción del centro de cómputo_ Destrucción parcial del centro de cómputo_ Destrucción o mal funcionamiento de los equipos auxiliares del centro de cómputo (electricidad, aire acondicionado, etc.)_ Destrucción parcial o total de los equipos descentralizados_ Pérdida total o parcial de información, manuales o documentación_ Pérdida del personal clave_ Huelga problemas laborales
Un Plan de Recuperación de Desastres se puede clasificar en tres etapas:_ 1. Actividades Previas al Desastre._ 2. Actividades Durante el Desastre._ 3. Actividades Después del Desastre.
Actividades Previas al DesastreSon todas las actividades de planeamiento, preparación, entrenamiento y ejecución de las actividades de resguardo de la información, que nos aseguren un proceso de Recuperación con el menor costo posible a nuestra Institución.Podemos detallar las siguientes Actividades Generales:
_ 1.1 Establecimiento del Plan de Acción._ 1.2 Formación de Equipos Operativos._ 1.3 Formación de Equipos de Evaluación (auditoría de cumplimiento de los procedimientos sobre Seguridad).
1.1 Establecimiento del Plan de AcciónEn esta fase se deben de establecer los procedimientos relativos a:
a) Sistemas e Información.
La Institución deberá tener una relación de los Sistemas de Información con los que cuenta, tanto los realizados por el centro de cómputo como los hechos por las áreas usuarias.Debiendo identificar toda información sistematizada o no, que sea necesaria para la buena marcha Institucional.
b) Equipos de Cómputo.Inventario actualizado de los equipos de manejo de información (computadoras, lectoras de microfichas, impresoras, etc.), especificando su contenido (software que usa, principales archivos que contiene), su ubicación y nivel de uso Institucional.
c) Obtención y almacenamiento de los Respaldos de Información (BACKUPS).Se deberá establecer los procedimientos para la obtención de copias de Seguridad de todos los elementos de software necesarios para asegurar la correcta ejecución de los Sistemas o aplicativos de la Institución. Para lo cual se debe contar con :
d) Políticas (Normas y Procedimientos de Backups).Periodicidad, Almacenamiento de los Backups en condiciones ambientales óptimas,Almacenamiento de los Backups en locales diferentes donde reside la información primaria,Pruebas periódicas de los Backups
1.2 Formación de Equipos OperativosEn cada unidad operativa de la Institución, que almacene información y sirva para la operatividad Institucional, se deberá designar un responsable de la seguridad de laInformación de su unidad.Sus labores serán:_Proporcionar soporte técnico para las copias de respaldo de las aplicaciones_Supervisar procedimientos de respaldo y restauración.Cargar y probar archivos del sistema operativo y otros sistemas almacenados en el local alternante_Participar en las pruebas y simulacros de desastres.
1.3 Formación de Equipos de EvaluaciónEsta función debe ser realizada de preferencia por personal capacitado en el área de auditora, de no ser posible, la realizará el personal del área de Informática, debiendo establecerse claramente sus funciones, responsabilidades y objetivos :_ Revisar que las Normas y procedimientos con respecto a Backups y seguridad de equipos se cumpla.
_ Supervisar la realización periódica de los backups, por parte de los equipos operativos, comprobando físicamente su realización, adecuado registro y almacenamiento._ Informar de los cumplimientos e incumplimientos de las Normas, para las acciones de corrección respectivas.
1.2. Actividades Durante el Desastre_ Una vez presentada la Contingencia o Siniestro, se deberá ejecutar las siguientes actividades, planificadas previamente:_ 1.2.1 Plan de Emergencias._ 1.2.2 Formación de Equipos._ 1.2.3 Entrenamiento.
1.2.1 Plan de EmergenciasEn este plan se establecen las acciones que se deben realizar cuando se presente unSiniestro, así como la difusión de las mismas.Es conveniente prever los posibles escenarios de ocurrencia del Siniestro:
_ Durante el día._ Durante la Noche o madrugada.
Este plan deberá incluir la participación y actividades a realizar por todas y cada una de las personas que se pueden encontrar presentes en el área donde ocurre el siniestro, debiendo detallar:
- Vías de salida o escape.- Plan de puesta a buen recaudo de los activos (incluyendo los activos de Información) de la l Secuencia de llamadas en caso de siniestro, tener a la mano: elementos de iluminación (linternas), lista de teléfonos de Bomberos / Ambulancia, Jefatura deSeguridad y de su personal (equipos de seguridad) nombrados para estos casos.
1.2.2 Formación de Equipos
Establecer claramente cada equipo (nombres, puestos, ubicación, etc.)con funciones claramente definidas a ejecutar durante el siniestro.Si bien la premisa básica es la protección de la Integridad del personal, en caso de que el siniestro lo permita (por estar en un inicio o estar en una área cercana, etc.), deberá de existir dos equipos de personas que actúen directamente durante el siniestro, un equipo para combatir el siniestro y otro para el salvamento de los recursos Informáticos, de acuerdo a los lineamientos o clasificación de prioridades.
1.2.3 EntrenamientoEstablecer un programa de prácticas periódicas de todo el personal en la lucha contra los diferentes tipos de siniestros, de acuerdo a los roles que se le hayan asignado en los planes de
evacuación del personal o equipos, para minimizar costos se puede aprovechar fechas de recarga de extinguidores, charlas de los proveedores, etc.Un aspecto importante es que el personal tome conciencia de que los siniestros (incendios, inundaciones, terremotos, apagones, etc.) pueden realmente ocurrir, y tomen con seriedad y responsabilidad estos entrenamientos, para estos efectos es conveniente que participen los elementos directivos, dando el ejemplo de la importancia que la alta dirección otorga a la Seguridad Institucional.
1.3 Actividad Después del DesastreDespués de ocurrido el Siniestro o Desastre es necesario realizar las actividades que fueron especificadas en el Plan de.
_ 1.3.2 Priorización de Actividades del Plan de Acción._ 1.3.3 Ejecución de Actividades._ 1.3.4 Evaluación de Resultados.
1.3.1 Evaluación de DañosInmediatamente después que el siniestro ha concluido, se deberá evaluar la magnitud del daño que se ha producido, que sistemas se vieron afectados, que equipos han quedado no operativos, cuales se pueden recuperar, en cuanto tiempo, etc.Adicionalmente se deberá lanzar un pre-aviso a la Institución con la cual se tiene el convenio de respaldo, para ir avanzando en las labores de preparación de entrega de los equipos por dicha Institución.
1.3.2 Priorización de actividades del Plan de AcciónToda vez que el Plan de acción es general y contempla una pérdida total, la evaluación de daños reales y su comparación contra el Plan, nos dará la lista de las actividades que debemos realizar, siempre priorizándola en vista a las actividades estratégicas y urgentes de nuestra Institución.Es importante evaluar la dedicación del personal a actividades que puedan no haberse afectado, para ver su asignación temporal a las actividades afectadas, en apoyo al personal de los sistemas afectados y soporte técnico.
1.3.3 Ejecución de ActividadesImplica la creación de equipos de trabajo para realizar las actividades previamente planificadas en el Plan de acción .Cada uno de estos equipos deberá contar con un coordinador que deberá reportar diariamente el avance de los trabajos de recuperación y, en caso de producirse algún problema, reportarlo de inmediato a la jefatura a cargo del Plan de Contingencias.Los trabajos de recuperación tendrán dos etapas, la primera la restauración del servicio usando los recursos de la Institución o local de respaldo, y la segunda etapa es volver a contar con los recursos en las cantidades y lugares propios del Sistema de Información.
1.3.4 Evaluación de Resultados
Una vez concluidas las labores de Recuperación del (los) Sistema(s) que fueron afectados por el siniestro, debemos de evaluar objetivamente, todas las actividades realizadas, que tan bien se hicieron, que tiempo tomaron, que circunstancias modificaron (aceleraron o entorpecieron) las actividades del plan de acción, como se comportaron los equipos de trabajo, etc.
De la Evaluación de resultados y del siniestro en sí, deberían de salir dos tipos de recomendaciones, una la retroalimentación del plan de Contingencias y otra una lista de recomendaciones para minimizar los riesgos y pérdida que ocasionaron el siniestro.
Fue así como Jorge comprendió que la importancia de procedimientos de recuperación ante desastres radica en que de esta manera no tendremos daños totales en la empresa y podremos continuar con la misma.
SEGUROSEl seguro debe cubrir todo el equipo y su instalación, por lo que es probable que una sola póliza no pueda cubrir todo el equipo con las diferentes características.
CONSIDERACIONES_ El costo de los equipos puede variar_ El seguro debe cubrir tanto daños causados por factores externos como internos._ Se debe asegurar contra la perdida de programas (software)
Un seguro de equipo considera lo siguiente:_ Bienes que se pueden amparar: cualquier tipo de equipo electrónico._ Riesgos cubiertos: perdida súbita, accidental e imprevista, con excepción de las exclusiones que se indican en las condiciones de la póliza._ Riesgos excluidos, pero que pueden ser cubiertos bajo convenio expreso: terremotos, erupción volcánica, huracán, ciclón, tifón, huelgas, hurto._ Exclusiones: las condiciones generales de cada seguro._ Suma asegurada: asegurar el valor del precio del equipo nuevo sin descontar la depreciación._ Primas, cuotas y deducibles: dependen del tipo del equipo._ Indemnización en caso de siniestro:
CONDICIONES GENERALES DEL SEGURO DE EQUIPOEn la póliza de seguro se certifica que, a reserva de que el asegurado haya pagado a los aseguradores la prima mencionada en la parte descriptiva, y con sujeción a los demás términos, exclusiones, disposiciones y condiciones contenidas o endosadas, los aseguradores indemnizaran en la forma y hasta los límites estipulados en la póliza
4.9 TÉCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD FÍSICA Y DEL PERSONAL
4.10 TÉCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD DE LOS DATOS Y SOFTWARE DE APLICACIÓN
SEGURIDAD FISICA
**Revisar Físicamente el área de informática y computadoras del lugar para identificar situaciones de riesgo (entrada al cc,formas de acceso etc,)
1. Tienen planes de acción cuando se presentan desastres naturales? En general si, en cuanto al área de informática no.
2. Como los llevan a cabo? Mediante reglas y normas ya establecidas para cada tipo de situación (temblor, incendio, etc), aclarando que es en cuanto a las instalaciones en general de la dependencia.
3. Quien es el encargado de llevarlos a cabo? Debido a que somos una organización gubernamental, se realizan al menos dos veces al año simulacros apoyados por protección civil, es por ello que en caso de una contingencia, todos sabe qué hacer y cómo.
4. Con que tipo de seguridad física cuentan? Alarmas, extintores, etc.
SEGURIDAD LOGICA
• Como controlan el acceso a los equipos de computo
Mediante usuarios y contraseñas asignadas previamente.
• Identificar aquellas aplicaciones que tengan riesgo
Más que nada tenemos constantes problemas con el Sistema Operativo, que es en su mayoría Windows Seven Enterprise y algunos más cuentan con Windows XP versión Profesional, éstos son muy vulnerables a los virus, y es el problema más común que se presenta.
• Cuantificar el impacto en el caso de suspensión del servicio en aquellas aplicaciones con un alto riesgo.
Es alto, sin embargo se puede seguir manipulando el equipo de cómputo, al presentarse situaciones como lo son los virus, se activan los firewalls que son administrados por la oficina central y de esta manera ya no se puede ocupar el servicio de internet.
• La justificación del costo de implantar las medidas de seguridad para poder clasificar el riesgo e identificar las aplicaciones de alto riesgo, se debe preguntar lo siguiente:
• ¿Que sucedería si no se puede usar el sistema?Obviamente recurren al área de informática para informar el problema, se evalúa la situación y posteriormente se busca como dar la solución.
• ¿Qué implicaciones tiene el que no se obtenga el sistema y cuanto tiempo podríamos estar sin utilizarlo?
Implicaría muchas cosas, primero sería el retraso en el trabajo, implica que la persona deje de realizar sus actividades por no contar con el sistema, por ejemplo repercute en la atención a un determinado productor, Por ejemplo hace unos días se descompuso un equipo de oficialía de partes, se llevó 3 días para solucionar dicha situación, esto sin contar que, puesto en que en esta área se cuenta tan solo con dos equipos, el personal no pudo laborar de la misma manera, ya que, con ayuda de otros departamentos realizo sus actividades pero evidentemente no se trabaja de la misma manera.
• ¿Existe un procedimiento alterno y que problemas nos ocasionaría?
Pues de la manera en que se respondió a pregunta anterior, mediante el apoyo que se pide a otros departamentos, en este caso con el préstamo de equipo de cómputo.
• ¿’Como manejan el acceso a los usuarios al sistema?
A través de cuentas de usuario y contraseñas, y también mediante jerarquías de usuarios.
• ¿Qué controles lógico se manejan respecto a la seguridad lógica de la información?
A través de la jerarquía de usuarios
• ¿Cómo resguardan la información?
Cada usuario es responsable de la seguridad de su información, independientemente de que la información generada en SAGARPA se concentran en bases de datos centralizadas
resguardada por la Oficina Central, el área de informática se encarga de brindarle apoyo al personal, otorgando las herramientas necesarias, asesorándolos que hacer y cómo, pero cada usuario tiene la responsabilidad de resguardar su información.
• ¿Cómo controlan el acceso a la información?
A través de usuarios, jerarquías, firewalls, entre otros.
• ¿Qué tipo de controles de seguridad tienen en cuando al hardware?
En realidad solo contamos con seguridad privada en la entrada, quienes se encargan de supervisar que personas salen y entran y con que pertenencias, y también todos los equipos informáticos (impresoras, laptops, pc´s) de SAGARPA tienen una nomenclatura, con lo cual se tiene plenamente identificado con que se cuenta y quien posee cada objeto.
• ¿Qué tipos de controles tienen en cuanto al software?
Mediante la migración, es decir, ingresarlo a un dominio, en este caso es sagarpa.net que está conectado a una red a nivel nacional y enlaza a todas las instituciones de SAGARPA del país.
• ¿Qué controles tienen hacia el personal?
Se identifican mediante un número asignado por la institución, y a través de cuentas de usuario asignados a cada uno, sabemos que acciones realizan en sus equipos.
• ¿Cuentan con planes de contingencia en el departamento de informática?
No, sabemos que es necesario, así como lo son los planes de contingencia para todo el edificio son importantes también para nuestra área, sin embargo no contamos con un plan de contingencia.
SEGUROS
• ¿Los equipo de cómputo, y en general el equipo del área de informática, están asegurados?
Si, apenas el año pasado se compró un seguro con BANORTE, tenemos un seguro en caso de siniestro, es decir, en caso de un desastre climatológico, contingencia, algún evento natural tenemos el seguro.
