SECURITYMAX

Informe final

Diciembre 2007

Seguridad Informtica
INDICE GENERAL INVESTIGACION CONCYTEC3 NECESIDADES DE SEGURIDAD...11 MAPEO DE PROCESOS CONCYTEC..13 IDENTIFICACION Y VALORACION DE ACTIVOS.18 INFORME DE ANALISIS DE RIESGO..21 POLITICAS DE SEGURIDAD DE LA INFORMACION24 PLAN DE CONTINGENCIA...40

Informe Final

Seguridad Informtica

INVESTIGACION CONCYTEC 1. ANTECEDENTE Cada ao CONCYTEC, viene implementando nuevas polticas de seguridad de la informacin que maneja, axial como sus activos, pero an as, las polticas y procedimientos no bastan, es para lo cual que se describir la actual situacin con ejemplos del escenario a los cuales esta sujeto una entidad con riesgos de poder ser atacado ante cualquier evento no planificado.

Figura 1: Vista de la entrada de la institucin

Informe Final

Seguridad Informtica
2. SITUACION ACTUAL 2.1 Sobre el Control de Acceso a las Instalaciones El acceso fsico a la institucin, esta resguardado por un servicio de vigilancia de 24 horas, con turnos rotativos, mediante el cual se tiene el registro de las personas ajenas a la institucin que deseen ingresar, asimismo se tiene un tarjetero el cual registra el horario de entrada y salida del trabajador interno. El acceso al rea de Sistemas, especficamente al rea donde se encuentran los servidores, y las redes de la institucin vienen a estar protegidas por rieles de fierro acerado, pero no se cuenta con vigilancia de cmaras para tener un control de quienes ingresan al rack de computo, a continuacin las polticas de seguridad: o Solo el administrador de red, tiene acceso directo a las configuraciones y mantenimiento directo de los servidores donde se alojan los sistemas de la institucin. Solo los invitados del administrador de red pueden acceder de visita a las instalaciones interna del rack, previo registro en el historial de visitas al mismo.

Informe Final

Seguridad Informtica

Figura 1: Proteccin del rea El acceso al rea de tesorera, es actualmente un punto dbil con respecto a la seguridad de la economa de la institucin, esto debido principalmente a la ubicacin no estratgica o descuidada en la que actualmente se encuentra, especficamente en la ubicacin, pues esta es el lugar mas cercano a la puerta de entrada/salida de la institucin, adems de no contar con sistemas de vigilancia permanente.

Informe Final

Seguridad Informtica

Figura 2: Vista de la entrada a tesorera 2.2 Sobre el acceso a los Sistemas Los principales sistemas de la institucin son tratados en el ambiente intranet, para esto se cuenta con la proteccin de la red privada, con firewall y restricciones que permiten que solo el usuario autenticado en una base de datos pueda acceder, desde el punto de vista fsico, el acceso a los sistemas estn divididos en 2 secciones : sistemas en desarrollo y sistemas en produccin, e el primero se nota la vulnerabilidad pues estos se encuentran en los computadores del personal de desarrollo, dejando libre los accesos por ftp, para el segundo caso la seguridad si es mas restringida, porque solo el administrador de res tiene privilegios de acceso a los sistemas de produccin La aplicacin se encuentra actualmente en funcionamiento, siendo posible la transferencia de informacin segn el Director de Informtica, Ing.Joaqun Guerrero, el mes entrante. 2.3 Sobre los medios de Contingencia

Informe Final

Seguridad Informtica
Actualmente no existen alarmas contra incendio, en ninguna de las reas ni en el rack de computo, tampoco existen monitoreo o seguimiento por Web Bsicamente los principales medios para afrontar algn agente externo que atente contra los activos humanos a la institucin, son los medios de comunicacin, pues CONCYTEC, posee el a apoyo de la Municipalidad de San Borja, para lo cual se tienen coordinacin preventivas de eventos que estn latentes a alterar la seguridad fsica de las personas que laboran. 2.4 Sobre la seguridad de los activos Para tener un control de la seguridad de los activos de la institucin, se han dividido roles especficos por cada rea, como por ejemplo: Se aplica la Poltica de Escritorios Limpios , tanto de manera fsica (documentos importantes en escritorios) como de manera digital (archivos, informacin en los escritorios del computador), estas polticas son coordinadas por cada una de las reas involucradas en generar flujo de informacin a la institucin, para lo cual se ha creado la conciencia y valor de seguridad de los documentos que mantiene CONCYTEC.

Figura 3: rea de sistemas

Informe Final

Seguridad Informtica

3. SITUACION FUTURA 3.1 Sobre el Control de Acceso a las Instalaciones Con respecto a la vigilancia no se tendra mucho inconveniente ya que estos asisten las 24 horas del da a la institucin, lo que podramos hacer para mejorar la seguridad sera la implementacin de cmaras de vigilancia para que los guardias tengan un mejor control de las personas que estn en el permetro de las instalaciones y tambin tener mayor control de las personas que ingresan a las instalaciones, donde es que estas se dirigen, que hacen, o detectar de alguna manera actividades institucin. Lo que tambin podramos mejorar sera el sistema de identificacin para ingresar a la institucin ya que actualmente se realiza por una cartilla donde se marca la hora, el riesgo es que esa cartilla podra ser robada y manipulada negativamente en beneficio de un posible atacante. Lo que se recomendara es implementar un sistema mas sofisticado como lo que vivimos actualmente, que son los sistemas de identificacin biomtricos. Con respecto al rea de sistemas nos parece muy curioso que no se tenga cmaras de seguridad para monitorear a las personas que entran y salen del rea, lo primero que recomendaramos es instalar cmaras donde se encuentran los rack de comunicaciones y cerca de ellos extintores en caso de algn peligro de incendio y sumndole a ello un buen sistema de refrigeracin para evitar el sobrecalentamiento de los equipos electrnicos. Con respecto a que solo el administrador de red tiene acceso al equipo es un riesgo, ya que en caso de no estar el administrador de red en momentos crticos, sospechosas que serian un riesgo para la

Informe Final

Seguridad Informtica
podra generar perdidas significativas para la institucin, por lo que se propone establecer una poltica de seguridad, como por ejemplo elaborar un informe de las fallas ms comunes en el rea y lo que se debera hacer en estos casos. Otro punto que debera evaluarse es establecer

convenios con otras instituciones especializadas para cuando el administrador de red est de vacaciones o indisponible por casos X, dicha institucin se encargue del manejo de los equipos de computo, ya que no podemos disponer de una sola persona en momentos cruciales. Con respecto a la poltica de ingresos a la sala de computo me parece muy bien que halla un registro del personal y mejor an si todava es autorizado solo por el administrador de redes. Por lo descrito en la situacin actual observamos que la mayor debilidad es en el departamento de tesorera ya que no existe ni las medidas ni las polticas necesarias para minimizar el riesgo de una prdida de activo. Lo que podramos hacer es primero concientizar a las personas que no dejen en el escritorio del rea de tesorera objetos valiosos que pueden significar perdidas para la organizacin as como tambin a las personas Debido a que el rea de tesorera se encuentra en una zona muy transitada seria conveniente asignar a un guardia de seguridad para custodiar la zona. 3.2 Sobre el acceso a los Sistemas

En ocasiones, cuando se deja de usar el computador, este queda encendido y puede quedar sin vigilancia dando posibilidad a que alguien no autorizado pueda acceder a informacin privada. Una

Informe Final

Seguridad Informtica
alternativa econmica para reducir esta vulnerabilidad sera poner en uso protectores de pantalla protegidos por contrasea, de esta forma si por ejemplo se deja de usar el computador por ejemplo durante la hora de almuerzo, podra bloquear a algn usuario no autorizado a hacer uso del computador. 3.3 Sobre los medios de Contingencia

Al carecer completamente

de

alarmas

contra

incendios, la

deteccin de estos depende exclusivamente a las personas que se encuentren en el lugar donde se inicia el siniestro. Se recomienda encarecidamente instalar detectores contra incendios en cada uno de los ambientes de trabajo: rea de Desarrollo, Tesorera, etc.

La vigilancia puede ver fcilmente quien entra a que rea desde su puesto. Los invitados siempre entran acompaados, pero si se da el caso de dejarlos solos en el ambiente, no habra forma de saber que hacen dentro de las instalaciones. Sera recomendable agregar vigilancia por webcams en las reas ms importantes de la empresa, por ejemplo en Tesorera y en el rea de Sistemas.

3.4 Sobre la seguridad de los activos

Las medidas actuales que toman para proteger los activos ms importantes son buenas, las personas cumplen con las polticas establecidas.

Informe Final

10

Seguridad Informtica
NECESIDADES DE SEGURIDAD A continuacin se describe la condicin actual de CONCYTEC, en particular CENDYCT sobre lo que a Seguridad de Informacin se refiere: Responsabilidad sobre los Activos Por lo general cada rea de la institucin es responsable de ciertos activos de la institucin, pero la mayor responsabilidad de la documentacin fsica y digital, lo tienen en CENDYCT, el rea de sistemas de CONCYTEC.

Sistemas de Seguridad y Controles Actuales Actualmente no se cuenta con una sistema de seguridad propiamente dicho, pero en si todo se valida con la red, es decir, si no se es un usuario registrado dentro de la red no se puede acceder a ninguna mquina as de simple. Tampoco se puede acceder desde afuera a las redes internas de seguridad de la institucin, solo el personal calificado y registrado tiene acceso a los recursos de acceso de informacin, como servidores de bases de datos, servidores de desarrollo, servidores ftp, servidores. Sobre el tratamiento de las Copias de Seguridad, estas se las dan a un socio que guarda la informacin de respaldo.

Amenazas y Ataques Dentro de las amenazas y ataques que actualmente se pueden dar se encuentran: Amenazas:

Informe Final

11

Seguridad Informtica
Existen amenazas del tipo tecnolgico, para los cuales tiene monitoreada la red constantemente. se

Usuarios internos por falta de informacin puedan dejar libre su informacin o extraer informacin privada de los recursos internos de la institucin.

Ataques:

En algunas maquina se ha tenido problema con virus, ms que todo por el descuido del usuario al traer informacin externa a la institucin.

Necesidades Presentado el estado actual de la seguridad en CONCYTEC, se muestra la necesidad de un Sistema de Seguridad de la Informacin

Polticas de Seguridad. Controles de Acceso. Sistemas para salvaguardar los activos. Plan de Contingencia

Informe Final

12

Seguridad Informtica

MAPEO DE PROCESOS CONCYTEC

Fig. Macro Proceso Subvencin

Informe Final

13

Seguridad Informtica

Informe Final

14

Seguridad Informtica

Informe Final

15

Seguridad Informtica

Informe Final

16

Seguridad Informtica

Informe Final

17

Seguridad Informtica
IDENTIFICACION Y VALORACION DE ACTIVOS

IDENTIFICACION DE ACTIVOS

Informe Final

18

Seguridad Informtica

Informe Final

19

Seguridad Informtica

Informe Final

20

Seguridad Informtica

Informe Final

21

Seguridad Informtica

INFORME DE ANALISIS DE RIESGOS

Informe Final

22

ASPECTO

SITUACION ACTUAL

RECOMENDACIONES Con respecto a la vigilancia no se tendra mucho inconveniente ya que estos asisten las 24 horas del da a la institucin, lo que podramos hacer para mejorar la seguridad sera la implementacin de cmaras de vigilancia para que los guardias tengan un mejor control de las personas que estn en el permetro de las instalaciones y tambin tener mayor control de las personas que ingresan a las instalaciones, donde es que estas se dirigen, que hacen, o detectar de alguna manera actividades sospechosas que serian un riesgo para la institucin. Lo que tambin podramos mejorar sera el sistema de identificacin para ingresar a la institucin ya que actualmente se realiza por una cartilla donde se marca la hora, el riesgo es que esa cartilla podra ser robada y manipulada negativamente en beneficio de un posible atacante. Lo que se recomendara es implementar un sistema mas sofisticado como lo que vivimos actualmente, que son los sistemas de identificacin biomtricos. Con respecto al rea de sistemas nos parece muy curioso que no se tenga cmaras de seguridad para monitorear a las personas que entran y salen del rea, lo primero que recomendaramos es instalar cmaras donde se encuentran los rack de comunicaciones y cerca de ellos extintores en caso de algn peligro de incendio y sumndole a ello un buen sistema de refrigeracin para evitar el sobrecalentamiento de los equipos electrnicos.

Seguridad Informtica
Esta resguardado por un servicio de vigilancia de 24 horas, con turnos rotativos, mediante el cual se tiene el registro de las personas ajenas a la institucin que deseen ingresar, asimismo se tiene un tarjetero el cual registra el horario de entrada y salida del trabajador interno.

Acceso Fsico a la Institucin

| Acceso al rea de Sistemas

Especficamente al rea donde se encuentran los servidores, y las redes de la institucin vienen a estar protegidas por rieles de fierro acerado, pero no se cuenta con vigilancia de cmaras para tener un control de quienes ingresan al rack de computo, -Con respecto a que solo el administrador de red tiene acceso al equipo es un riesgo, ya a continuacin las polticas de seguridad: que en caso de no estar el administrador de red en momentos crticos, podra generar perdidas significativas para la institucin, por lo que se propone establecer una poltica de -Solo el administrador de red, tiene acceso directo seguridad, como por ejemplo elaborar un informe de las fallas ms comunes en el rea y lo a las configuraciones y mantenimiento directo de que se debera hacer en estos casos. los servidores donde se alojan los sistemas de la institucin. -Otro punto que debera evaluarse es establecer convenios con otras instituciones especializadas para cuando el administrador de red est de vacaciones o indisponible por -Solo los invitados del administrador de red casos X, dicha institucin se encargue del manejo de los equipos de computo, ya que no pueden acceder de visita a las instalaciones podemos disponer de una sola persona en momentos cruciales. interna del rack, previo registro en el historial de visitas al mismo. -Con respecto a la poltica de ingresos a la sala de computo me parece muy bien que halla un registro del personal y mejor an si todava es autorizado solo por el administrador de redes.

cceso al rea de Tesorera

Es actualmente un punto dbil con respecto a la seguridad de la economa de la institucin, esto debido principalmente a la ubicacin no estratgica o descuidada en la que actualmente se encuentra, especficamente en la ubicacin, pues esta es el lugar mas cercano a la puerta de entrada/salida de la institucin, adems de no contar con sistemas de vigilancia permanente.

Por lo descrito en la situacin actual observamos que la mayor debilidad es en el departamento de tesorera ya que no existe ni las medidas ni las polticas necesarias para minimizar el riesgo de una prdida de activo. Lo que podramos hacer es primero concientizar a las personas que no dejen en el escritorio del rea de tesorera objetos valiosos que pueden significar perdidas para la organizacin as como tambin a las personas Debido a que el rea de tesorera se encuentra en una zona muy transitada seria conveniente asignar a un guardia de seguridad para custodiar la zona.

Informe Final

Los principales sistemas de la institucin son tratados en el ambiente intranet, para esto se cuenta con la proteccin de la red privada, con 23 firewall y restricciones que permiten que solo el usuario autenticado en una base de datos pueda acceder, desde el punto de vista fsico, el acceso a los sistemas estn divididos en 2 secciones : En ocasiones, cuando se deja de usar el computador, este queda encendido y puede

Seguridad Informtica

Informe Final

24

Seguridad Informtica
POLTICAS DE SEGURIDAD DE LA INFORMACIN: CONCYTEC 1. EVALUACIN DE RIESGOS. Objetivo. Los requerimientos de seguridad de la informacin se identifican mediante la evaluacin de la exposicin al riesgo de CONCYTEC. El costo de las contramedidas o controles para enfrentar los riesgos de seguridad deben balancearse contra el impacto a la organizacin y su probabilidad de materializacin. Los resultados del anlisis de riesgos ayudan a determinar las prioridades de atencin en la implementacin de los controles correspondientes.

1.1 Poltica de Evaluacin de Riesgos. CONCYTEC desarrolla, difunde y actualiza peridicamente el documento en el que se define la poltica de evaluacin de riesgos que define el propsito, alcance, roles, responsabilidades, criterios de cumplimiento, as como los procedimientos para facilitar la implementacin de la poltica.

1.2 Evaluacin de riesgos. Se deben identificar y analizar los riesgos en materia de Seguridad de la Informacin que puedan comprometer el logro de los objetivos institucionales. La evaluacin de riesgos debe ser realizada peridicamente. La evaluacin de riesgos de la seguridad de la informacin debe tener un alcance bien definido para ser efectiva y debe contemplar su interrelacin con evaluaciones de riesgos de otras reas.

2. POLTICA DE SEGURIDAD. Objetivo. Establecer desde el ms alto nivel de la Administracin en las dependencias, delegaciones, rganos desconcentrados y entidades, la relevancia, el soporte y el compromiso en relacin a la seguridad de la informacin, considerando los requerimientos institucionales y el marco normativo aplicable.

Informe Final

25

Seguridad Informtica
2.1 Definicin y documentacin de la poltica de seguridad de la informacin. CONCYTEC debe definir la poltica de seguridad que contenga la declaracin del compromiso que asume CONCYTEC en torno al tema, debiendo ser aprobado por la Administracin en las dependencias, delegaciones, rganos desconcentrados empleados y y entidades, con publicado que y comunicado (otras a todos los terceros los interacta instituciones,

contratistas, proveedores, etc.). Debe revisarse y actualizarse peridicamente o en funcin de cambios relevantes, para mantener su efectividad.

3. ADMINISTRACIN DE RECURSOS. Objetivo. Garantizar que los activos de informacin reciban un apropiado nivel de proteccin. Clasificar la informacin para sealar su sensibilidad y criticidad. Definir niveles de proteccin y medidas de tratamiento especial acordes a su clasificacin.

3.1 Responsabilidad de los recursos. Objetivo. Mantener una adecuada proteccin de los activos de la organizacin. Se debe rendir cuentas por todos los recursos de informacin importantes y se debe designar un propietario de la informacin para cada uno de ellos.

La rendicin de cuentas en los recursos ayuda a garantizar que se mantenga una adecuada proteccin. Se deben identificar a los propietarios de la informacin para todos los recursos importantes. En ltimo trmino, el responsable designado del recurso debe rendir cuentas por el mismo.

Informe Final

26

Seguridad Informtica
3.1.1 Inventario de recursos. Todos los recursos de informacin deben estar inventariados, actualizarse peridicamente ante cualquier modificacin de la informacin registrada, clasificarse segn su importancia y estar soportados por un resguardo.

3.1.2 Clasificacin de la informacin. La informacin debe ser clasificada de acuerdo a su valor, criticidad y sensibilidad, as como conforme a los requerimientos legales u operativos de CONCYTEC. Los propietarios de la informacin son los responsables de clasificarla.

4. SEGURIDAD DE LA INFORMACIN Y EL PERSONAL. Objetivo. Reducir los riesgos de error humano, comisin de ilcitos, uso inadecuado de instalaciones y recursos, y manejo no autorizado de la informacin. Explicitar las responsabilidades en materia de seguridad en la etapa de reclutamiento de personal e incluirlas en los acuerdos a firmarse y verificar su cumplimiento durante el desempeo del individuo como empleado. Garantizar que los usuarios estn al corriente de las amenazas en materia de seguridad de la informacin, y se encuentren capacitados para respaldar la Poltica de Seguridad de CONCYTEC en el transcurso de sus tareas normales.

Establecer acuerdos o convenios de confidencialidad con todo el personal y usuarios externos de las instalaciones de procesamiento de informacin. Establecer las herramientas y mecanismos necesarios para promover la comunicacin de debilidades existentes en materia de seguridad, as como de los incidentes ocurridos, con el objeto de minimizar sus efectos y prevenir su reincidencia.

Informe Final

27

Seguridad Informtica
4.1 Antes del empleo. Objetivo. Asegurar que los empleados y las terceras partes entiendan y asuman sus responsabilidades para reducir los riesgos de robo, fraude y mal uso de los recursos y servicios.

4.1.1 Investigacin del personal y terceros. Los antecedentes de todos los candidatos a un empleo en CONCYTEC, as como de los consultores, contratistas y terceros en general que estn por iniciar una relacin laboral con CONCYTEC que participen en un proceso de licitacin, deben investigarse de acuerdo a la normatividad vigente, a las polticas o marcos de conducta y/o ticos establecidos para tal efecto y deben ser proporcionales al tipo de informacin a la que tendrn acceso y al riesgo que pueden representar para CONCYTEC.

4.2 Durante el empleo. Objetivo. Asegurar que los empleados, contratistas, usuarios y terceros en general sean conscientes de las amenazas de seguridad de la informacin, conozcan sus responsabilidades, participen en apoyar la poltica de seguridad en el curso de su trabajo normal y reducir as, el riesgo de error humano. El personal que ingrese a CONCYTEC debe recibir un documento, que indique el comportamiento esperado en lo que respecta a la seguridad de la informacin y al uso adecuado de los recursos de TI, antes de serle otorgados sus privilegios de acceso a dichos recursos.

4.2.1 Sensibilizacin, entrenamiento y educacin de la seguridad de la informacin. Todos los usuarios de CONCYTEC incluyendo empleados, consultores, contratistas y terceros, deben recibir la sensibilizacin, entrenamiento o educacin, en relacin a la seguridad de la informacin, que est especficamente dirigida a su rol y funcin dentro de CONCYTEC. Esto comprende los requerimientos de seguridad y legales, as como la

Informe Final

28

Seguridad Informtica
capacitacin referida al uso correcto de los recursos de T.I.

4.2.2 Acciones disciplinarias. Se deben definir, publicar y difundir las acciones disciplinarias o disuasivas que debern aplicarse a empleados que no cumplan con la poltica de seguridad de la informacin o hagan mal uso de los recursos de TI. La Administracin en las dependencias, delegaciones, rganos desconcentrados y entidades, deber incluir este tpico como parte del proceso de sensibilizacin que realice al personal de CONCYTEC.

4.3 Terminacin o cambio de empleo. Objetivo. Asegurar que a los empleados, contratistas y terceros que salgan de CONCYTEC cambien su situacin contractual, les sean retirados los bienes y derechos de accesos por completo. CONCYTEC tiene la facultad de reasignar responsabilidades a los empleados una vez que tengan nuevos roles funciones dentro de la misma.

4.3.1 Remocin de los derechos de acceso. Los derechos de acceso del personal y terceros a los recursos de TI (datos, sistemas de aplicacin, instalaciones, tecnologa) deben ser inhabilitados y/o removidos inmediatamente despus de que se formalice la terminacin de la relacin laboral con CONCYTEC, o bien, ser actualizados en funcin del cambio de su situacin laboral contractual.

5. SEGURIDAD FSICA Y DEL ENTORNO. Objetivo. Prevenir e impedir accesos no autorizados, daos e interferencia a las sedes, instalaciones e informacin de CONCYTEC. Proteger el equipamiento de procesamiento de informacin crtica de CONCYTEC ubicndolo en reas protegidas y resguardadas por un permetro

Informe Final

29

Seguridad Informtica
de seguridad definido, con medidas de seguridad y controles de acceso apropiados. As mismo, contemplar la proteccin del mismo en su traslado y permanencia fuera de las reas protegidas, por motivos de mantenimiento u otros. Controlar los factores ambientales que podran perjudicar el correcto funcionamiento del equipamiento informtico que alberga la informacin de CONCYTEC. Implementar medidas para proteger la informacin manejada por el personal en las oficinas, en el marco normal de sus labores habituales. Proporcionar proteccin proporcional a los riesgos identificados.

5.1 reas seguras. Objetivo. Prevenir el acceso fsico no autorizado, daos e intromisiones a los recursos de TI de CONCYTEC.

5.1.1 Proteccin contra amenazas internas y externas. CONCYTEC debe protegerse contra desastres tales como fuego,

inundaciones, explosiones, incluyendo eventos naturales, as como los originados por personas de forma intencional o no intencional. Los controles fsicos deben ser evaluados, diseados, implementados y monitoreados para asegurar que stos sean efectivos y suficientes.

Todos los equipos de respaldo y recuperacin deben ser almacenados y asegurados tan lejos como sea posible del sitio principal, siempre que sea posible.

5.1.2 Permetro de seguridad fsico. El permetro de seguridad debe estar delimitado por una barrera fsica, como por ejemplo una pared, una puerta de acceso controlada por dispositivos de autenticacin, circuito cerrado de TV, un escritorio u oficina de recepcin, los cuales deben ser usados para proteger las instalaciones de

Informe Final

30

Seguridad Informtica
procesamiento de informacin.

5.2 Seguridad del equipamiento. Objetivo. Prevenir daos, prdidas, robo de equipo y cualquier

interrupcin en las actividades de CONCYTEC.

5.2.1 Baja de los equipos reutilizacin en forma segura. Antes de dar de baja o reasignar un equipo que integre un medio de almacenamiento, se debe asegurar que toda informacin sensible y licencias de software hayan sido eliminadas de forma segura, usando herramientas especializadas para tal efecto.

6. CONTROL DE ACCESO. Objetivo. - Impedir el acceso no autorizado a los sistemas de informacin, bases de datos y servicios de informacin. - Implementar seguridad en los accesos de usuarios por medio de tcnicas de autenticacin y autorizacin.

- Controlar la seguridad en la conexin entre la red del Organismo y otras redes pblicas o privadas. - Registrar y revisar eventos y actividades crticas llevadas a cabo por los usuarios en los sistemas. - Concientizar a los usuarios respecto de su responsabilidad frente a la utilizacin de contraseas y equipos. El acceso por medio de un sistema de restricciones y excepciones a la informacin es la base de todo sistema de seguridad informtica. Para impedir el acceso no autorizado a los sistemas de informacin se deben implementar procedimientos formales para controlar la asignacin de derechos de acceso a los sistemas de informacin, bases de datos y

Informe Final

31

Seguridad Informtica
servicios de informacin, y stos deben estar claramente documentados, comunicados y controlados en cuanto a su cumplimiento. Los procedimientos comprenden todas las etapas del ciclo de vida de los accesos de los usuarios de todos los niveles, desde el registro inicial de nuevos usuarios hasta la privacin final de derechos de los usuarios que ya no requieren el acceso.

La cooperacin de los usuarios es esencial para la eficacia de la seguridad, por lo tanto es necesario concientizar a los mismos acerca de sus responsabilidades para el mantenimiento de controles de acceso eficaces, en particular aquellos relacionados con el uso de contraseas y la seguridad del equipamiento. 6.1 Requerimientos para el control de acceso. Objetivo. Controlar el acceso a la informacin. El acceso a la informacin y a los procesos sustantivos de CONCYTEC deben controlarse sobre la base de los requerimientos operativos y de seguridad.

6.1.1 Poltica de control de acceso. Se debe definir, documentar, implementar y difundir la poltica para controlar el acceso a los recursos de TI, debiendo cumplir con la normatividad vigente.

La poltica definida se aplica a todas las formas de acceso de aquellos a quienes se les haya otorgado permisos sobre los sistemas de informacin, bases de datos o servicios de informacin de CONCYTEC, cualquiera que sea la funcin que desempee. As mismo se aplica al personal tcnico que define, instala, administra y mantiene los permisos de acceso y las conexiones de red, y a los que administran su seguridad.

6.2 Administracin de acceso a usuarios.

Informe Final

32

Seguridad Informtica
Objetivo. Garantizar el acceso a los usuarios autorizados y prevenir el acceso no autorizado a los sistemas de informacin y dems recursos de TI. Para tal fin, se deben implementar procedimientos formales para controlar la asignacin de derechos de acceso a los sistemas y servicios de informacin.

6.2.1 Registro de usuarios y control de privilegios. Deben existir los procedimientos necesarios para registrar o crear usuarios, modificarlos y darlos de baja respecto de sus aplicaciones y dems recursos de TI. Para los usuarios registrados, se deben controlar los privilegios a los recursos de acuerdo a la poltica y lineamientos definidos.

6.3 Responsabilidad de usuarios. Objetivo. Prevenir el acceso de usuarios no autorizados y evitar el robo y uso inadecuado de los recursos de TI. El comportamiento de la gente puede ser una de los mejores elementos para preservar la seguridad de la informacin. Los usuarios autorizados a acceder a los recursos de TI, deben estar conscientes y capacitados en sus respectivas responsabilidades para contribuir a prevenir los accesos no autorizados.

6.3.1 Uso de contrasea (password). Las contraseas constituyen un medio de validacin y autenticacin de la identidad de un usuario, y consecuentemente un medio para establecer los derechos y privilegios de acceso a las instalaciones o servicios de procesamiento de informacin.

Se debe establecer una poltica interna para la estructura y uso de las contraseas para acceder los recursos de TI, la cual debern conocer y respetar los usuarios. A todos los usuarios se les comunicarn las prcticas para su buen uso y manejo.

Informe Final

33

Seguridad Informtica

6.3.2 Escritorio limpio y pantalla limpia. Cuando el personal no se encuentre en su rea de trabajo o se aleje por un tiempo considerable, no debe dejar al alcance informacin sensible confidencial en cualquier forma (papel, dispositivos de memoria removibles, monitores de computadoras, entre otros.).

Se debe establecer una poltica de escritorio y monitor limpios para reducir el riesgo de accesos y divulgacin no autorizados, prdida y dao de informacin.

6.4 Control de acceso a la informacin y a las aplicaciones. Objetivo. Impedir el acceso no autorizado a la informacin contenida en los sistemas de informacin.

6.4.1 Restricciones de acceso a la informacin. El acceso a la informacin institucional debe restringirse de acuerdo a las polticas de control de acceso definidas por CONCYTEC, as como por cualquier requerimiento de operacin de la aplicacin.

6.4.2 Proteccin de los sistemas sensibles. Los sistemas altamente sensibles deben ejecutarse, en la medida de lo posible, en un medio dedicado y no compartir recursos con otros sistemas, ya que puede representar riesgos de alto impacto; deben estar aislados, controlados y monitoreados. El nivel de sensibilidad de la aplicacin, lo debe definir y documentar el propietario de la informacin que es administrada por dicha aplicacin. Si el sistema tuviera que compartir sus recursos, se debern asumir los riesgos inherentes de nueva cuenta por el dueo de la aplicacin. 7. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS.

Informe Final

34

Seguridad Informtica
Objetivo. Asegurar la inclusin de controles de seguridad y validacin de datos en el desarrollo de los sistemas de informacin. Definir y documentar las normas y procedimientos que se aplicarn durante el ciclo de vida de los aplicativos y en la infraestructura de base en la cual se apoyan.

Definir los mtodos de proteccin de la informacin crtica o sensible. El desarrollo y mantenimiento de las aplicaciones es un punto crtico de la seguridad. Durante el anlisis y diseo de los procesos que soportan estas aplicaciones se deben identificar, documentar y aprobar los requerimientos de seguridad a incorporar durante las etapas de desarrollo e implementacin. Adicionalmente, se debern disear controles de validacin de datos de entrada, procesamiento interno y salida de datos.

Dado que los analistas y programadores tienen el conocimiento total de la lgica de los procesos en los sistemas, se deben implementar controles que eviten maniobras dolosas por parte de estas personas u otras que puedan operar sobre los sistemas, bases de datos y plataformas de software de base (por ejemplo, operadores que puedan manipular los datos y/o atacantes que puedan comprometer / alterar la integridad de las bases de datos) y en el caso de que se lleven a cabo, identificar rpidamente al responsable.

Asimismo, es necesaria una adecuada administracin de la infraestructura de base, sistemas operativos y software de base, en las distintas plataformas, para asegurar una correcta implementacin de la seguridad, ya que en general los aplicativos se asientan sobre este tipo de software.

7.1 Requerimientos de seguridad de los sistemas de informacin.

Informe Final

35

Seguridad Informtica
Objetivo. Garantizar que la seguridad sea una parte integral de los sistemas de informacin. Sistemas de informacin incluyen aplicaciones comerciales y aplicaciones desarrolladas en la propia Institucin. Los requerimientos de seguridad deben ser identificados en la fase de anlisis del proyecto, y justificados, acordados y documentados como parte de la solucin integral del proyecto.

7.1.1 Anlisis y especificacin de los requerimientos de seguridad. Al planear un nuevo sistema de informacin como parte del proceso de actualizacin de uno ya existente, se deben identificar y especificar desde un inicio los requerimientos y controles de seguridad de la informacin.

7.2. Controles de aplicacin. Objetivo. Prevenir errores, prdida, modificaciones no autorizadas o mal uso de la informacin en las aplicaciones.

7.2.1 Validacin de datos de entrada. Los sistemas de informacin deben validar los datos de entrada ingresados de forma manual o automatizada, con base en las reglas de operacin definidas por CONCYTEC, para asegurar la validez de los datos ingresados.

7.2.2 Validacin del procesamiento de datos. Los sistemas de informacin deben efectuar validaciones para encontrar errores durante el procesamiento de la informacin, para asegurar que los riesgos de fallas de procesamiento sean minimizados.

7.2.3 Validacin de datos de salida. El sistema debe ser capaz de generar validaciones de salida, con el fin de identificar inconsistencias en la entrega de resultados, ya sea en papel, pantalla medio electrnico.

Informe Final

36

Seguridad Informtica

7.3. Seguridad de los archivos del sistema. Objetivo. Se debe controlar el acceso a los archivos del sistema y cdigo fuente de los aplicativos para asegurar la integridad del sistema, de las aplicaciones y datos asociados.

7.3.1 Proteccin de datos de prueba. Los datos de prueba deben ser seleccionados cuidadosamente, controlados e inspeccionados para asegurar que estn alineados con la poltica de seguridad desarrollada por la Administracin en las dependencias, delegaciones, rganos desconcentrados y entidades.

Se debe evitar el uso de bases de datos operacionales conteniendo informacin personal o cualquier otra informacin sensible para propsitos de prueba, en caso contrario, se deben modificar o borrar todos los detalles considerados como sensibles antes de hacer las pruebas.

7.3.2 Control de acceso al cdigo fuente de los aplicativos. Se debe proteger el cdigo fuente de los aplicativos de accesos no autorizados para prevenir la introduccin de funcionalidad no autorizada o evitar cambios no intencionales.

7.3.3 Propiedad y resguardo de cdigo fuente y documentacin. La documentacin y cdigo fuente, en su totalidad, de los aplicativos desarrollados por CONCYTEC, deben resguardarse en un lugar seguro con base en la poltica definida por CONCYTEC, as como registrar los derechos de autor ante las instancias que correspondan, a fin de prevenir su prdida o mal uso.

7.3.4 Instalacin de software operacional.

Informe Final

37

Seguridad Informtica
nicamente se debe permitir la instalacin de software y aplicaciones que estn autorizadas con base a la poltica de seguridad de la informacin.

7.4 Seguridad de los procesos de desarrollo y soporte. Objetivo. Mantener la seguridad del software y de la informacin. Se debe asegurar que todos los cambios propuestos para el sistema sean revisados, a fin de garantizar que los mismos no comprometan la seguridad del sistema o del ambiente operativo.

7.4.1 Procedimiento de control de cambios. Los cambios a sistemas, aplicaciones y datos, deben ser controlados a travs de un proceso formal de control de cambios, a fin de minimizar los riesgos de alteracin de los sistemas de informacin.

7.4.2 Revisin y prueba de aplicativos crticos despus de actualizar o cambiar el sistema operativo. Se deben revisar y probar las aplicaciones consideradas como crticas cuando se realice una actualizacin o cambio del sistema operativo, para asegurar que no hay un impacto adverso sobre las operaciones de CONCYTEC o sobre la seguridad.

7.4.3 Desarrollo de software por terceros. CONCYTEC debe definir, documentar, implementar y difundir polticas y procedimientos que sirvan como mejores prcticas para el desarrollo de software realizado por terceros, considerando actividades de supervisin y monitoreo por parte de CONCYTEC, as como la definicin de los criterios de aceptacin del proyecto.

7.4.4 Propiedad y resguardo de cdigo fuente y documentacin de

Informe Final

38

Seguridad Informtica
software desarrollado por terceros. La documentacin y cdigo fuente, en su totalidad, de los aplicativos desarrollados por terceros para CONCYTEC, deben resguardarse en un lugar seguro con base en la poltica definida por CONCYTEC, as como registrar los derechos de autor ante las instancias que correspondan, a fin de prevenir su prdida o mal uso.

7.5. Administracin de vulnerabilidades tcnicas. Objetivo. Reducir riesgos asociados a la explotacin de vulnerabilidades tcnicas publicadas en medios especializados.

7.5.1. Control de vulnerabilidades tcnicas. CONCYTEC debe suscribirse a los sistemas especializados de notificacin de vulnerabilidades y evaluar oportunamente la exposicin de CONCYTEC a dichas vulnerabilidades.

8. ADMINISTRACIN DE INCIDENTES DE LA SEGURIDAD DE LA INFORMACIN. Objetivo. Reconocer y reaccionar ante eventos que comprometan y afecten la seguridad de la informacin y de los dems recursos de Tecnologas de la Informacin. Definir, documentar, implementar y difundir un mecanismo formal para reportar y administrar los incidentes y debilidades de la seguridad de la informacin.

8.1. Reporte de eventos de seguridad de la informacin. Objetivo. Asegurar que los empleados, contratistas y usuarios externos estn enterados de los procedimientos para comunicar los diversos tipos de acontecimientos y debilidades que puedan tener un impacto en la seguridad

Informe Final

39

Seguridad Informtica
de la informacin de la organizacin, y contar con la capacidad de reportar cualquier acontecimiento que se presente.

8.1.1. Reporte de eventos de seguridad de la informacin. Los eventos de seguridad de la informacin deben ser reportados tan pronto como sea posible, a travs de los canales apropiados definidos por la Administracin en las dependencias, delegaciones, rganos desconcentrados y entidades.

8.2. Administracin de incidentes de seguridad de la informacin y mejoras. Objetivo. Asegurar la aplicacin de un proceso de mejora continua aplicado a la respuesta a, monitoreo, evaluacin y administracin de incidentes de seguridad de la informacin. De igual manera, se deber asegurar la recopilacin adecuada de evidencia a fin de tener el soporte necesario en caso de que el incidente tenga implicaciones legales.

8.2.1. Aprender de incidentes de seguridad de la informacin. CONCYTEC debe definir, documentar e implementar procedimientos para asegurarse que la informacin generada durante un incidente de seguridad de la informacin, sea propiamente recopilada y almacenada, a fin de que sta pueda ser analizada y usada posteriormente para identificar incidentes recurrentes o de alto impacto que puedan requerir de controles adicionales o mejoras a los existentes.

8.2.2. Recopilacin de evidencia. CONCYTEC debe definir, documentar e implementar procedimientos para la recopilacin de evidencia generada durante un incidente de seguridad de la informacin, a fin de tener el soporte necesario en caso de que el incidente tenga implicaciones legales. PLAN DE CONTINGENCIA

Informe Final

40

Seguridad Informtica

1 Descripcin El Plan de Contingencias es el instrumento de gestin para el buen manejo de las Tecnologas de la Informacin y las Comunicaciones. Dicho plan contiene las medidas tcnicas, humanas y organizativas necesarias para garantizar la continuidad de las operaciones de la institucin. El plan de contingencias deber ser revisado semestralmente. As mismo, es revisado/evaluado cuando se materializa una amenaza. El plan de contingencias comprende las siguientes partes. a) Plan de respaldo. Contempla las medidas preventivas antes de que se materialice una amenaza. Su finalidad es evitar dicha materializacin. b) Plan de Respuesta a Incidentes. Contempla las medidas necesarias durante la materializacin de una amenaza, o inmediatamente despus. Su finalidad es contrarrestar los efectos adversos de la misma. c) Plan de Recuperacin de Desastre. Contempla las medidas necesarias despus de materializada y controlada la amenaza. Su finalidad es restaurar el estado de las cosas tal y como se encontraban antes de la materializacin de la amenaza.

2 Propsito El propsito de este plan es mantener la continua ejecucin de los procesos de misin crtica y sistemas de informacin tecnolgica de la UADY en el caso extraordinario que un evento pudiera ocasionar que los sistemas fallen en el mnimo de su produccin. El Plan de Contingencia de la UADY contiene las necesidades y requerimientos de tal forma que la institucin pueda estar preparada para responder a un evento y, en su caso, hacer eficiente la restauracin de los sistemas que hayan estado inoperables por el evento.

Informe Final

41

Seguridad Informtica
3 Objetivos Proporcionar a CONCYTEC una herramienta que le permita garantizar el funcionamiento de la tecnologa informtica y la recuperacin en el menor tiempo posible de cualquier falla que interrumpa el servicio, as como salvaguardar la integridad fsica del personal. El plan busca los siguientes objetivos:

Minimizar el nmero de decisiones que deben ser tomadas durante una contingencia. Identificar los recursos necesarios para ejecutar las acciones definidas por este plan. Identificar las acciones a ser tomadas por equipos pre-diseados. Identificar informacin critica, as como el responsable de

recuperarla en las operaciones de restauracin. Definir el proceso para probar y mantener este plan y

entrenamiento para equipos de contingencia de la organizacin.

4 Incidentes y Desastres A continuacin se mencionan los incidentes y desastres considerados para el presente plan de contingencia.

4.1 Incidentes Son los ms frecuentes y que no son considerados de gravedad como para afectar sustancialmente a las operaciones de la empresa. A continuacin se detallan los incidentes considerados:

Amenaza Ataque de virus Corte de Energa Elctrica Fallas o Errores Tcnicos de HW

Probabilidad de Ocurrencia Alta Media Baja X X X

Informe Final

42

Seguridad Informtica
4.2 Desastres Son los que ms dao ocasionaran, a pesar que su probabilidad de ocurrencia es baja. A continuacin se detallan los desastres considerados:

Amenaza Incendio Terremoto

Probabilidad de Ocurrencia Alta Media Baja X X

5 Incidentes 5.1 Ataque de Virus Los ataques de virus son los incidentes que ms se han presentado en CONCYTEC. 5.1.1 Acciones Preventivas

Verificar

que

los

antivirus

funcionan

adecuadamente

la

proteccin en tiempo real se encuentra activada. Revisar diariamente que los antivirus mantienen su registro de virus actualizado. Siempre que se introduzca una unidad de almacenamiento extrable a algn computador, escanear dicha unidad con el antivirus.

Realizar 2 veces por semana copias de seguridad de los archivos ms importantes.

5.1.2 Acciones Durante el Ataque 1. Verificar la presencia de virus. 2. Determinar el alcance del virus. 3. De ser necesario, apagar el computador para evitar el contagio por red. 4. Notificar al administrador sobre el ataque de virus.

Informe Final

43

Seguridad Informtica
5.1.3 Acciones Despus del Ataque 1. Aislar de la red el o los computadores que hayan sido vctima del ataque. 2. Determinar todos los posibles daos que haya recibido el computador despus del ataque. 3. Desinfectar el o los discos que se encuentren infectados 4. Analizar los computadores para encontrar el o los registros u objetos electrnicos ms importantes que hayan sido alterados o eliminados. 5. Si se encuentra que archivos importantes han sido daados, restaurarlos de la copia de seguridad.

5.2 Corte de Energa Elctrica Este tipo de incidentes no son frecuentes, y el dao que podra causar no es considerado por la empresa como desastre debido al impacto que podra generar.

5.2.1 Acciones Preventivas

Revisar el funcionamiento normal de los dispositivos UPS. Realizar chequeos de mantenimiento sobre las instalaciones elctricas, a fin de evitar cortocircuitos.

5.2.2 Acciones durante el Incidente Si el equipo est conectado a un dispositivo UPS: 1. Asegurarse de guardar y hacer copias de seguridad de los archivos que son ms crticos. 2. Apagar los computadores con normalidad, a fin de evitar posibles daos sobre el hardware. Si el equipo no est conectado aun dispositivo UPS: 1. Apagar estabilizadores, supresores de picos.

Informe Final

44

Seguridad Informtica
2. Desconectar todo equipo que este directamente conectado a los

tomacorrientes, a fin de evitar daos en el hardware ante un posible regreso abrupto de la energa elctrica.

5.2.3 Acciones Despus del Incidente 1. Se debe esperar a que vuelva la corriente elctrica. 2. Una vez se haya estabilizado la situacin, proceder a conectar y encender los equipos para continuar con las operaciones.

5.3 Fallas o Errores Tcnicos de Hardware Este tipo de errores actualmente son controlados, sin embargo nunca falta la ocurrencia alguna vez. Ante un incidente de este tipo se proponen las siguientes medidas. 5.3.1 Acciones Preventivas

Realizar chequeos preventivos mensuales a los equipos de cmputo, limpieza de los mismos.

5.3.2 Acciones durante el Incidente 1. Ante cualquier falla notificar a los administradores sobre desperfecto. el

6 Desastres 6.1 Incendio Los incendios son los desastres ms temidos por la empresa, aunque su probabilidad de ocurrencia es baja.

6.1.1 Acciones Preventivas

Verificar que lo extinguidores funcionan bien, son fcilmente accesibles y que el personal est capacitado para utilizarlos correctamente.

Informe Final

45

Seguridad Informtica
Verificar las comunicaciones para notificar a la municipalidad ante cualquier indicio de incendio.

6.1.2 Acciones Durante el Desastre 1. Al mnimo indicio de incendio el personal presente debe actuar enseguida utilizando un extinguidor contra incendios, para reducir la llama. 2. Notificar al responsable sobre el incidente. Si no se puede detener el fuego: 3. Comunicar a la municipalidad sobre el siniestro para que enven a los bomberos. 4. El personal que se encuentre en el ambiente donde se encuentra el fuego debe evacuar inmediatamente.

6.2 Terremoto Este tipo de siniestros son los menos probables de ocurrir, sin embargo el personal debe estar perfectamente capacitado para evitar en lo que se pueda las perdidas humanas.

6.2.1 Acciones Preventivas

Realizar simulacros 2 veces por ao. Mantener el orden en los pasillos, procurando que no hayan objetos contundentes que impidiesen la salida.

6.2.1 Acciones Durante el Desastre Si se observa que un sismo tiene una duracin de ms de 10 segundos: 1. El personal debe dejar de hacer lo que est haciendo y salir de los ambientes tal cual como se hayan practicado en los simulacros. 2. El personal debe esperar en las zonas seguras a que el siniestro pase.

Informe Final

46