I.P.N.

U.P.I.I.C.S.A.

SEGURIDAD INFORMTICA

Adrin Palma,CISSP,CISA,CISM,CRISC,BSA adrian.palma@integridata.com.mx adrian palma@integridata com mx

Agosto, 2012

Contenido

1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

INTRODUCCION A LA SEGURIDAD INFORMATICA SEGURIDAD DE PERSONAL SEGURIDAD FISICA SEGURIDAD DE DATOS SEGURIDAD DEL SW DE APLICACIONES SEGURIDAD DEL SW DEL SISTEMA SEGURIDAD EN TELECOMUNICACIONES SEGURIDAD EN PC`s y LANs SEGURIDAD DEL CENTRO DE COMPUTO SEGURIDAD EN INTERNET

1. INTRODUCCION A LA SEGURIDAD INFORMTICA

Conceptos p

SEGURIDAD
Es la proteccin de los activos: - Personas - Instalaciones - Informacin - Equipo q p - Software - Accesorios - Medios de Comunicacin - Capacidades de Cmputo - Dinero

Conceptos p

Definicin de Seguridad Seguridad Informtica Informtica

Es la Proteccin de la informacin y los activos relacionados con su captacin, p , almacenamiento, transmisin, proceso, distribucin y uso uso

Situaciones q que afectan la Seguridad g Informtica 1/2 /

1. No existe una funcin formal de Seguridad Informtica en la organizacin organizacin. 2. Las debilidades en la Seguridad Informtica se ven como problemas tcnicos y no como riesgos del negocio. 3. Problemas de comunicacin entre el personal de seguridad informtica y el personal Gerencial de la organizacin. 4. La Seguridad Informtica es considerada un requerimiento de menor prioridad en comparacin con los requerimientos financieros y operacionales. 5. Falta de un programa de motivacin y entrenamiento al personal para llevar a cabo buenas prcticas de seguridad. 6. El personal no est consciente de las polticas, procedimientos, guas, estndares y sanciones relacionados con la seguridad informtica de la organizacin.

Situaciones que afectan la Seguridad Informtica 2/2

7. La propiedad y responsabilidad sobre los datos y/o aplicaciones no est t establecida t bl id claramente. l t 8. El procedimiento de contratacin de empleados no incluye un adecuado proceso de Investigacin previa sobre ellos. 9. El proceso de terminacin de la relacin laboral de un empleado, no es llevado a cabo en forma adecuada y completa. 10 Los incidentes de fraude, 10. fraude robo y desfalco relacionados con TI no son reportados a las instancias legales. 11. La seguridad, auditabilidad, control, mantenibilidad y facilidad de uso no son consideradas con la importancia debida, uso, debida durante el desarrollo y mantenimiento de las aplicaciones. 9. No se tienen establecidos objetivos y estndares para el desarrollo, mantenimiento y operacin de las aplicaciones.

Objetivos de la Seguridad Informtica

1 1.

Asegurar la confidencialidad, confidencialidad integridad y disponibilidad de los datos.

2.

Proveer el ambiente que asegure el manejo adecuado de datos y aplicaciones.

3.

Proteger y conservar los activos de la organizacin de riesgos de desastres naturales o actos mal intencionados.

Poltica de Proteccin de Informacin

Una Poltica tpica debe incluir los siguientes puntos: * La proteccin L t i de d la l informacin i f i relativa l ti al l negocio i es una responsabilidad bsica de la Alta Direccin Los Gerentes son responsables de identificar y proteger todos los activos de informacin dentro de su rea asignada de control gerencial p de certificar que q todos sus empleados p Los Gerentes son responsables entienden su obligacin de proteger los activos de informacin de la empresa p de implantar p procedimientos p de Los Gerentes son responsables seguridad y recuperacin en caso de desastre que sean consistentes con la poltica de la empresa y el valor de los activos. Los Gerentes son responsables de vigilar las desviaciones de lo establecido en las prcticas de seguridad y de iniciar las acciones correctivas

Responsabilidades sobre la Seguridad de la Informacin

Dueo de los datos Custodio U Usuarios i

Responsabilidades p en la Seguridad g Informtica 1/4 /

Responsabilidades de la Alta Direccin 1. Establecer objetivos de seguridad y emitir polticas de seguridad. 2. Establecer formalmente la funcin de Seguridad Informtica. 3. Establecer un Comit de Seguridad Informtica. 4. Monitorear la l funcin f de d Seguridad d d Informtica f

Responsabilidades p en la Seguridad g Informtica 2/4 /

Responsabilidades de la Direccin de Informtica ( si no existe la funcin de Seguridad ). 1. Llevar a cabo un anlisis y evaluacin de riesgos e implantar las proteccin adecuadas medidas de p 2. Emitir estndares, procedimientos y guas sobre seguridad informtica. 3 Establecer un Programa para la Clasificacin y proteccin de datos, 3. datos programas y aplicaciones de acuerdo a su sensitividad e importancia. 4. Emitir boletines y publicaciones relacionadas con la seguridad. 5. Asegurar que las Aplicaciones sean controladas y auditables. 6. Monitorear continuamente la seguridad.

Responsabilidades p en la Seguridad g Informtica 3/4 /

Responsabilidades de las Direcciones Usuarias. 1 Consultar al personal de seguridad sobre mtodos de proteccin adecuados. 1. adecuados 2. Incluir la participacin del personal de seguridad en el desarrollo y mantenimiento de aplicaciones. 1. Calendarizar continuos programas de entrenamiento sobre seguridad. 2. Notificar al rea de seguridad sobre la terminacin de la relacin laboral de cada empleado que est en esta situacin. 1. Estimular a los empleados a respetar la confidencialidad de los datos y la informacin. 1. Desarrollar un Programa de Retencin de Registros Vitales. 2. Desarrollar Planes alternos para continuar trabajando en caso de falla del equipo de cmputo o cualquier otro malfuncionamiento del sistema. 1 Entender el rol del usuario en la administracin y 1. confidencialidad de las Passwords.

Responsabilidades p en la Seguridad g Informtica 4/4 /

Responsabilidades del Auditor Interno.

1. Efectuar auditoras peridicas a la seguridad informtica. 2. Participar en el anlisis de riesgos. 3. Participar en el proceso de desarrollo y mantenimiento interno de software de aplicaciones as como en el proceso de evaluacin, adquisicin q e instalacin de p paquetes q de software de aplicacin. p 1. Participar en el proceso de seleccin de Hardware y Software de sistemas de seguridad.

Responsabilidades en la Seguridad Informtica

LA PROTECCION DE LOS ACTIVOS DE INFORMACION ES RESPONSABILIDAD DE TODOS !!!!

reas de la Seguridad Informtica

1 Seguridad relacionada con el personal 1. 2. Seguridad Fsica 3 Seguridad de Datos 3. 4. Seguridad del Software de Aplicaciones 5. Seguridad del Software del Sistema 6. Seguridad en Telecomunicaciones g en PCs y LANs. 7. Seguridad
8.

Seguridad del Centro de Cmputo

9 Seguridad en INternet 9.

2 2.

SEGURIDAD RELACIONADA CON EL PERSONAL

Seguridad g relacionada con el p personal

Al Alcance. Polticas, procedimientos y prcticas para la contratacin de empleados y terminacin de la relacin laboral. laboral Programas de concientizacin de los empleados sobre la seguridad.

Seguridad g relacionada con el p personal

Objetivos. Asegurar el establecimiento de polticas, estndares, procedimientos y guas para que el personal desempee sus funciones y actividades adecuadamente, de tal manera que se reduzcan los riesgos (ejem.robo, (ejem robo fraude, fraude desfalco) que resultan de contratar personal no calificado, deshonesto o con antecedentes cuestionables. Asegurar la observancia continua del personal en las buenas prcticas de seguridad informtica. Asegurar el establecimiento de un sistema de registro de las actividades del personal sobre el sistema y recursos de cmputo y que permita conocer las consecuencias de acciones impropias. Asegurar el acceso controlado, de agentes de riesgo, al sistema de cmputo equipo perifrico, cmputo, perifrico datos, datos programas, programas archivos y bases de datos para minimizar la vulnerabilidad.

Seguridad g relacionada con el p personal

Guas y Tcnicas de control 1/2 1. Efectuar una completa verificacin de los antecedentes de los candidatos a contratar. 1. Establecer unas claras polticas y procedimientos para el proceso de terminacin de la relacin laboral con empleados. 1. Establecer un adecuado programa de administracin de passwords e identificaciones de usuarios. 1. Entrenar al personal de TI en aspectos de seguridad informtica. 2. Rotar a los empleados clave involucrados en el manejo de entrada y salida de datos de aplicaciones. 1. Mantener una adecuada separacin fsica de responsabilidades entre funciones incompatibles tales como: operaciones del centro de cmputo, desarrollo, mantenimiento, control de entradas y salidas, control de la red, base de datos, programacin de sistemas, control de la produccin. Asimismo, separar responsabilidades en las reas funcionales usuarias.

Seguridad g relacionada con el p personal

Guas y Tcnicas de control 2/2 7. Si la separacin fsica de responsabilidades no es prctica, establecer una separacin electrnica de responsabilidades mediante el uso de passwords para el acceso a las funciones del sistema o mediante revisiones g p gerenciales. 8. Asegurar que no existan relaciones familiares entre empleados que trabajan en reas sensitivas de la organizacin. 9 Di 9. Distribuir t ib i a cada d empleado l d su descripcin d i i de d puesto, t donde d d se defina d fi claramente sus responsabilidades, la forma en que ser evaluado as como su nivel de autoridad. 7 Asegurar 7. A que los l empleados l d tomen t sus vacaciones i cuando d les l corresponda. d 8. Promover entre los empleados el desarrollo de una conciencia sobre la seguridad informtica.

3. Seguridad Fsica

Seguridad g Fsica

Alcance
Controles de acceso fsico. Control de condiciones ambientales. Proteccin contra incendios, inundaciones y desastres naturales. Procedimientos de emergencia.

Objetivos
1. Asegurar el establecimiento de polticas, estndares, procedimientos y guas de seguridad fsica, que reduzcan los riesgos potenciales de dao y destruccin que resultan del acceso no autorizado a edificios, equipo e instalaciones informticas. 2. Asegurar que slo al personal autorizado se le permita el acceso al centro de cmputo y que todos los visitantes sean acompaados por un empleado responsable de ellos durante su visita. 3. Asegurar que existan controles adecuados para las condiciones ambientales (calor, polvo, humedad, aire acondicionado), que reduzcan el riesgo por fallas o malfuncionamiento del equipo, del SW, de los datos y de los medios de almacenamiento. Controlar el acceso, acceso de agentes de riesgo, riesgo al equipo y sistema de cmputo para minimizar la vulnerabilidad.

4 4.

Seguridad g Fsica
Guas y Tcnicas de Control 1 Requerir que todos los empleados usen su gafete de identificacin 1. identificacin. 2. Establecer una adecuada seguridad fsica sobre el centro de cmputo, terminales, PCs, Notebooks, Servidores y la documentacin. 3 Controlar 3. C t l entrada t d al l centro t de d cmputo. t 4. Instalar detectores de metal en las diferentes entradas a las instalaciones. 5. Instalar dispositivos p para p la deteccin y extincin de fuego. g 6. Mantener un inventario del equipo y accesorios de cmputo y realizar verificaciones peridicas. 7. Instalar mecanismos o dispositivos para la vigilancia continua de reas. 8. Instalar controles de respaldo tales como generadores de electricidad que usan diesel. 9 Mantener apropiados controles ambientales para la humedad y el aire 9. acondicionado.

4. Seguridad de Datos

Seguridad g de Datos

Alcance.
Evaluacin de la funcin de seguridad de datos. Administracin de passwords. Clasificacin y proteccin de datos acorde a su grado de sensitividad y criticidad. Definicin y administracin de perfiles de usuario con propsitos de definir sus niveles de acceso. Reportes de integridad de archivos y bases de datos. Manejo almacenamiento y disposicin de datos sensitivos o confidenciales almacenados en Manejo, registros de papel, mecnico o electrnicos.

Objetivos.
1. Asegurar g el establecimiento de p polticas, estndares, p procedimientos y g guas de seguridad g de datos, que reduzcan los riesgos de modificacin, destruccin o revelacin de datos que resultan del acceso no autorizado a archivos y bases de datos. Asegurar la existencia de un sistema de asignacin de privilegios para el acceso a los datos acorde con la sensitividad de los mismos y las responsabilidades y nivel de autoridad de cada empleado. Asegurar que la creacin y mantenimiento de archivos y bases de datos se realice en forma apropiada y que sea revisada peridicamente. Controlar el acceso, de agentes de riesgo, a las entradas al sistema tales como documentos fuente formatos, fuente, formatos archivos y salidas del sistema tales como reportes y microfichas, microfichas para minimizar la vulnerabilidad.

1. 1. 1.

Seguridad g de Datos
Guas y Tcnicas de Control 1/4 1 Adquirir o desarrollar software de seguridad de control automatizado de 1. acceso. 2. Implantar adecuadas tcnicas de identificacin y autenticacin de usuarios. 3 Establecer los principios de seguridad de menor 3. menor privilegio privilegio y requiere requiere saber. 4. Restringir los privilegios para procesar transacciones desde terminales (agregar, cambiar, borrar, consultar, dar override). 5. Emitir guas para el manejo, almacenamiento y destruccin de registros usados, ya sean registros en papel (cartas, memoranda, documentos y reportes), registros mecnicos (microfichas y microfilms), o registros electrnicos (cintas, (cintas cartuchos, cartuchos discos, discos CDs, s DVDs, s USB USBS S, Smarts Phones, Tabletas etc.). 6. Implantar un sistema que registre la fecha de la ltima actividad o el ltimo sign-on de un usuario sobre el sistema. 7. Revisar los logs de actividad del sistema, los journals, y reportes de excepcin para detectar violaciones a la seguridad.

Seguridad g de Datos
Guas y Tcnicas de Control 2/4 9 Insertar nombres dummy y direcciones conocidas como trampas en listas de 9. correo relacionadas con sistemas financieros para detectar su uso no autorizado. 10. Instalar controles para el manejo apropiado de datos a travs de todas las f fases d operacin de i del d l sistema. i t 11. Donde sea apropiado y se justifique, aplicar tcnicas criptogrficas para proteger datos confidenciales. 12. Instalar el log-off automtico de las terminales, despus de un perodo de inactividad. 13. Establecer un sistema de convenciones para el etiquetado standard de archivos. 14. Implantar adecuadas tcnicas para el diseo de documentos de entrada y diseo de pantallas. 15. Instalar controles en el log-on / sign-on para prevenir o detectar intentos de log-on impropios o no vlidos.

Seguridad g de Datos
Guas y Tcnicas de Control 3/4 Di Disear e incluir i l i rutinas ti d control de t l para la l validacin lid i y edicin di i de d datos d t en el l software para asegurar la integridad y seguridad de los datos. Producir reportes de imagen anterior y posterior para corregir errores durante el mantenimiento de archivos. archivos Disear reportes de auditora, reportes de control, reportes de antigedad de registros y reportes de excepcin para que sean revisados y analizados por usuarios y auditores. auditores Proveer a los usuarios, para su revisin, reportes de error generados por la aplicacin. Establecer guas para el reinicio y recuperacin de la aplicacin.

Disear controles de checkpoint dentro del software de la aplicacin.

Establecer un sistema de catalogacin de data-sets, s archivos y procedimientos.

Seguridad g de Datos
Guas y Tcnicas de Control 4/4 Establecer guas respecto a la proteccin de derechos de autor de todo el software f yl la documentacin. d Informar al usuario de cualquier intento no autorizado para adivinar su password. Mantener una adecuada separacin fsica de responsabilidades entre funciones incompatibles tales como: operaciones del centro de cmputo, desarrollo, mantenimiento, control de entradas y salidas, control de la red, base de datos, programacin de sistemas, control de la produccin. Asimismo separar responsabilidades en las reas funcionales usuarias. Asimismo, usuarias Si la separacin fsica de responsabilidades no es prctica, establecer una separacin electrnica de responsabilidades mediante el uso de passwords para el acceso a las funciones del sistema o mediante revisiones gerenciales. Asegurar que no existan relaciones familiares entre empleados que trabajan en reas sensitivas de la organizacin. Distribuir a cada empleado su descripcin de puesto, donde se defina claramente sus responsabilidades, la forma en que ser evaluado as como su nivel de autoridad.

5.

SEGURIDAD DEL SW DE APLICACIONES

SEGURIDAD DEL SW DE APLICACIONES

ALCANCE: Aplicaciones en desarrollo. Administracin del proyecto de desarrollo. Aplicaciones en produccin. Controles de acceso sobre cambios a programas.

OBJETIVOS: (1/2) 1. Asegurar el establecimiento de polticas, estndares, procedimientos y guas de seguridad para el software de aplicaciones que reduzcan los riesgos de modificacin, destruccin o revelacin de que resultan del acceso no autorizado a aplicaciones. 2. Asegurar que el diseo del sistema incluya controles, componentes de auditabilidad y seguridad, as como facilidades para su uso y mantenimiento. (Ejemplo: uso de tcnicas estructuradas en el diseo, programacin y prueba del sistema para proveer una razonable certeza de que el software ser fcil de usar, fcil de mantener, controlado, auditable, flexible, legible y entendible).

SEGURIDAD DEL SW DE APLICACIONES

OBJETIVOS: (2/2) 3. Asegurar que toda d nueva aplicacin li i sea probada b d completamente. l 4. Asegurar que toda nueva aplicacin seaprobada completamente, se le apliquen pruebas de aceptacin y/o pruebas de paralelo/piloto, donde los usuarios preparen los datos de prueba y verifiquen los resultados. 5. Asegurar que a los empleados se les restrinja el acceso, a las aplicaciones en produccin, de acuerdo a sus descripciones de puesto puesto, o sea sea, de acuerdo a sus responsabilidades y nivel de autoridad establecidos. 6. Asegurar que el mantenimiento a las aplicaciones incluya y revisiones y pruebas p apropiadas p p realizadas p por los usuarios funcionales. 7. Controlar el acceso, de agentes de riesgo, a los productos de la aplicacin tales como listados de programas fuente, especificaciones de programas y diseos, diseos documentacin y formatos de la aplicacin, archivos y bibliotecas de programas fuente y ejecutables, con el fin de minimizar la vulnerabilidad.

SEGURIDAD DEL SW DE APLICACIONES

GUIAS Y TECNICAS DE CONTROL. (1/5) 1. Adquirir o desarrollar software de seguridad de control automatizado de acceso. 2. Implantar adecuadas tcnicas de identificacin y autenticacin de usuarios. 3. Establecer los principios de seguridad de menor privilegio y requiere saber. 4. Restringir los privilegios para procesar transacciones desde terminales o Pcs (Por ejemplo: capacidad para leer, grabar, ejecutar, copiar, modificar, dar overrides o desplegar programas). 5. Restringir el proceso de programas y el uso de terminales. 6. Instalar controles para el manejo apropiado de datos a travs de todas las fases de operacin del sistema. 7. Disear aplicaciones que requieran la mnima intervencin de los operadores del centro de cmputo. 8. Proveer proteccin criptogrfica apropiada a los programas durante el almacenamiento y transmisin de los mismos. 9. Implantar adecuadas tcnicas para el diseo de documentos de entrada y diseo 9 de pantallas.

SEGURIDAD DEL SW DE APLICACIONES

GUIAS Y TECNICAS DE CONTROL. (2/5) 10. Construir programas modulares estructurados durante el desarrollo y mantenimiento de las aplicaciones. 11 Desarrollar y promover estndares de programacin para el desarrollo y 11. mantenimiento de las aplicaciones. 12. Establecer la funcin de aseguramiento de calidad la cual pruebe e inspeccione independientemente los programas y aplicaciones durante su desarrollo. 13 Simular transacciones sensitivas mediante el reproceso para detectar cambios 13. e impropiedades. 14. Utilizar peridicamente utileras de comparacin de cdigo fuente para detectar cambios e impropiedades. 15 A 15. Asegurar que en produccin d i se usen las l versiones i correctas t de d programas. 16. Probar peridicamente las aplicaciones en produccin para asegurar la integridad de datos. 17. Controlar los cambios a programas para asegurar que slo se hagan cambios autorizados. 18. Comparar peridicamente el uso de los recursos de produccin.

SEGURIDAD DEL SW DE APLICACIONES

GUIAS Y TECNICAS DE CONTROL. (3/5) 19. Disear e incluir rutinas de control para la validacin y edicin de datos en el software de aplicaciones para asegurar la integridad y seguridad de los datos. 20. Aplicar tcnicas de debugging de software (deteccin e implantacin deliberada de ) durante la etapa p de p pruebas. errores) 21. Llevar a cabo revisiones del sistema (Revisiones Estructuradas (Walkthroughs), Inspecciones, Revisiones de fase, peer reviews, etc.). 22. Donde sea aplicable, usar Diccionario de Datos para estandarizar el uso y nombres de los data data items items. . 23. Disear e incluir dentro de la aplicacin, componentes de correccin automtica de errores. 24. Utilizar tcnicas y herramientas de rastreo (tracing) de programas. 25 Aplicar tcnicas de validacin y verificacin de software. 25. software 26. Disear controles de checkpoint dentro del software de la aplicacin. 27. Disear reportes de auditora, reportes de control, reportes de antigedad de registros y reportes de excepcin para que sean revisados y analizados por usuarios y auditores. auditores

SEGURIDAD DEL SW DE APLICACIONES

GUIAS Y TECNICAS DE CONTROL. (4/5) 28. Utilizar ili monitores i de d software f de d terminacin i i anormal l (ABEND) ( ) para el l debugging de programas. 29. Utilizar herramientas de debugging para programas interactivos. 30 Utilizar herramientas de debugging para dumps de memoria. 30. memoria 31. Desarrollar y actualizar la documentacin 32. Proveer a los usuarios reportes de error generados por la aplicacin para su revisin. 33. Establecer guas para el reinicio y recuperacin de la aplicacin. 34. Establecer guas respecto a la proteccin de derechos de autor de todo el software y la documentacin. 35. Catalogar 35 C t l todos t d los l datasets, d t t archivos, hi procedimientos di i t y programas. 36. Informar al usuario de cualquier intento no autorizado para adivinar su password.

SEGURIDAD DEL SW DE APLICACIONES

GUIAS Y TECNICAS DE CONTROL. (5/5) 37. Mantener una adecuada separacin fsica de responsabilidades entre funciones incompatibles tales como: operaciones del centro de cmputo, desarrollo, mantenimiento, control de entradas y salidas, control de la red, base de datos, programacin de sistemas, control de la produccin. Asimismo, separar responsabilidades en las reas funcionales usuarias. Si la separacin fsica de responsabilidades no es prctica, establecer una separacin electrnica de responsabilidades mediante el uso de passwords para el acceso a las funciones del sistema o mediante revisiones gerenciales. 38. Asegurar que no existan relaciones familiares entre empleados que trabajan en reas sensitivas de la organizacin. 39. Distribuir a cada empleado su descripcin de puesto, donde se defina claramente sus responsabilidades, la forma en que ser evaluado as como su nivel de autoridad. autoridad

6. SEGURIDAD DEL SW DEL SISTEMA

SEGURIDAD DEL SW DEL SISTEMA

ALCANCE:

Sistemas de Base de Datos. Diccionario de Datos. Sistema operativo. Programas de Utilera. Control de acceso al sistema de cmputo. Control de actividades de System Programmers.

OBJETIVOS: 1. Asegurar el establecimiento de polticas, estndares, procedimientos y guas de seguridad del software del sistema que reduzcan los riesgos de modificacin, destruccin o revelacin de programas que resultan del acceso no autorizado a archivos de programas. 2. Asegurar que todas los cambios y actualizaciones al software del sistema sean probados ampliamente por los programadores antes de que se les ponga en produccin. 3. Asegurar que se restrinja a los empleados, el acceso a los archivos y programas del sistema, de acuerdo a sus descripciones de puesto, o sea, de acuerdo a sus responsabilidades y nivel de autoridad establecidos. 4. Controlar el acceso, de agentes de riesgo, a listados de programas fuente, programas fuente y ejecutables, archivos del sistema, y bibliotecas de programas fuente y ejecutables, con el fin de minimizar la vulnerabilidad.

SEGURIDAD DEL SW DEL SISTEMA

GUIAS Y TECNICAS DE CONTROL. 1 Proveer proteccin criptogrfica apropiada a los datos y programas confidenciales 1. confidenciales. 2. Proteger del uso no autorizado, a los programas de utilera que desempeen funciones poderosas. q o desarrollar software de seguridad g de control automatizado de acceso. 3. Adquirir 4. Implantar adecuadas tcnicas de identificacin y autenticacin de usuarios. 5. Establecer los principios de seguridad de menor privilegio y requiere saber. 6 Restringir 6. R t i i los l privilegios i il i para accesar el l software ft del d l sistema i t desde d d cualquier l i terminal. t i l 7. Establecer guas para el reinicio y recuperacin del software del sistema. 8. Llevar a cabo auditoras peridicas del software del sistema (sistema operativo, software de interfase, monitores) para determinar su integridad y seguridad. 9. Establecer seguridad en las bases de datos a nivel de segmento o elemento de dato. 10. Establecer guas respecto a la proteccin de derechos de autor de todo el software y la documentacin. 11. Catalogar todos los datasets, archivos, procedimientos y programas.

SEGURIDAD DEL SW DEL SISTEMA

GUIAS Y TECNICAS DE CONTROL. 12. Asegurar que todas las opciones y parmetros de los productos de software del sistema sean instalados apropiadamente. apropiadamente 13. Adquirir o desarrollar un paquete de software que contabilice y monitoree el uso de los recursos de cmputo en forma automatizada (Job Accounting, SMF, HP Open View, Tivoli, etc.). 14. Informar al usuario de cualquier intento no autorizado para adivinar su password. 15. Asegurar que los empleados tomen sus vacaciones cuando les corresponda. 16. Controlar el acceso al sistema por parte del personal de servicio de mantenimiento de Hardware y/o Software. 17. Mantener una adecuada separacin fsica de responsabilidades entre funciones incompatibles tales como: operaciones del centro de cmputo, desarrollo, mantenimiento, control de entradas y salidas, control de la red, base de datos, programacin de sistemas, control de la produccin. Asimismo, separar responsabilidades en las reas funcionales usuarias. Si la separacin fsica de responsabilidades no es prctica, establecer una separacin electrnica de responsabilidades mediante el uso de passwords para el acceso a las funciones del sistema o mediante revisiones gerenciales. 18. Asegurar que no existan relaciones familiares entre empleados que trabajan en reas sensitivas de la organizacin. 19. Distribuir a cada empleado su descripcin de puesto, donde se defina claramente sus responsabilidades, la forma en que ser evaluado as como su nivel de autoridad.

7.

SEGURIDAD EN TELECOMUNICACIONES

SEGURIDAD EN TELECOMUNICACIONES

ALCANCE: Proteccin del HW de Telecomunicaciones. Proteccin de circuitos de la red. Proteccin del Software de comunicaciones. Seguridad fsica. Control y monitoreo en lnea.

OBJETIVOS: (1/2) 1. Asegurar el establecimiento de polticas, estndares, procedimientos y guas de seguridad en Telecomunicaciones que reduzcan los riesgos potenciales de modificacin, destruccin o revelacin de programas de telecomunicaciones, o destruccin del equipo de la Red, que resultan del acceso no autorizado a equipo, archivos y programas. p g 2. Asegurar que se restrinja el acceso, tanto de localidades remotas como locales de acuerdo con las descripciones de puesto de cada empleado, o sea, de acuerdo a sus responsabilidades y nivel de autoridad.

SEGURIDAD EN TELECOMUNICACIONES

OBJETIVOS: (2/2) 3. Asegurar que todos los cambios y actualizaciones al software de telecomunicaciones sean probadas ampliamente por analistas y programadores de la Red con asistencia de los System Programmers. 4. Asegurar que los todos los usuarios remotos sean positivamente identificados y verificados mediante una combinacin de dispositivos protectores de HW y SW, antes de que se les conecte a los recursos del sistema. 5 Asegurar 5. A que los l datos, d t archivos hi y programas sensitivos iti y crticos ti estn protegidos durante su transmisin de una localidad a otra, mediante una combinacin de mecanismos de HW y SW. 6. Controlar el acceso, de agentes de riesgo, al equipo de la red y a los programas y archivos archivos, y que estos sean controlados para minimizar la vulnerabilidad a intromisiones e interferencias.

SEGURIDAD EN TELECOMUNICACIONES

GUIAS Y TECNICAS DE CONTROL. (1/2) 1. Establecer un grupo de control de la Red Centralizado y separado. 2. Proveer proteccin criptogrfica apropiada a los datos y programas confidenciales. Tener mucho cuidado en la proteccin de las claves usadas en la encripcin. 3. Proteger del uso no autorizado, a los programas de utilera que desempeen funciones poderosas. 4. Administrar un buen programa de User-IDs y Passwords. 5. Establecer guas para el reinicio y recuperacin del software de telecomunicaciones. 6. Considerar el segmentar archivos y bases de datos durante su transmisin, de tal manera que si es recibida por personas no autorizadas,carezca de significado. 7 Donde sea necesa 7. necesario io y se j justifique, stifiq e utilizar tili a lneas dedicadas en lugar l ga de lneas pblicas. pblicas 8. Solicitar que un nmero de identificacin de cada terminal remota sea transmitido al Host o al FEP de comunicaciones con la intensin de que sea validado positivamente. 9. Emplear la tcnica de protocolo call call-back back para la identificacin positiva de un usuario remoto conectado a una lnea de comunicacin conmutada.

SEGURIDAD EN TELECOMUNICACIONES

GUIAS Y TECNICAS DE CONTROL. (2/2) 10. Cambiar frecuentemente el el nmero telefnico, incluyendo el nmero local que da el acceso directo al sistema de cmputo. 11. Monitorear las lneas de telecomunicaciones para detectar condiciones anormales, tales como problemas de balanceo de la carga y volmenes pico de transacciones. 12. Fsicamente proteja el equipo de acceso no autorizado. 13. Mantener una adecuada separacin fsica de responsabilidades entre funciones incompatibles tales como: operaciones del centro de cmputo, desarrollo, mantenimiento, control de entradas y salidas, control de la red, base de datos, programacin de sistemas, control de la produccin. produccin Asimismo, Asimismo separar responsabilidades en las reas funcionales usuarias. Si la separacin fsica de responsabilidades no es prctica, establecer una separacin electrnica de responsabilidades mediante el uso de passwords para el acceso a las funciones del sistema o mediante revisiones gerenciales. g 14. Asegurar que no existan relaciones familiares entre empleados que trabajan en reas sensitivas de la organizacin. 15. Distribuir a cada empleado su descripcin de puesto, donde se defina claramente sus responsabilidades, bilid d l forma la f en que ser evaluado l d as como su nivel i l de d autoridad. id d 16. Establecer guas respecto a la proteccin de derechos de autor de todo el software y la documentacin.

8. SEGURIDAD EN PC`S, NOTEBOOKS

SEGURIDAD EN PC`S

ALCANCE: Controles Administrativos. Controles de Sistema. Controles Fsicos.

OBJETIVOS: (1/2) 1. Asegurar que existen adecuados componentes de seguridad y control, tanto en el HW como en el Sw de PCs y que funcionan de acuerdo a lo especificado. 2 Asegurar que existan controles razonables de integridad de datos en el SW 2. para asegurar que los datos en las PCs estn protegidos y libres de error. 3. Asegurar que exista un adecuado sistema de seguridad en las PCs para prevenir y/ p y/o detectar a usuarios y transacciones no autorizados.

SEGURIDAD EN PC`S

OBJETIVOS: (2/2) 4. Asegurar que los controles de respaldo y recuperacin permitan la continuidad de las operaciones del negocio y del servicio al cliente. 5. Controlar el acceso, de agentes de riesgo, al equipo, a los programas y archivos, para minimizar la vulnerabilidad potencial. 6. Asegurar que los 5 tipos de controles (Directivos, Preventivos, Detectivos, Correctivos y de Recuperacin) as como las 3 clases de controles (Administrativos, de Sistema y Fsicos) se aplican adecuadamente al ambiente de PCs PC s, de tal manera que se reduzcan los riesgos potenciales. potenciales 7. Asegurar que no existan reas sobrecontroladas ni fuera de control en relacin con la seguridad de PCs en trminos de conveniencia, control y costo. 8. Asegurar que el ambiente de seguridad y control sobre las PCs PC s sea razonable y costo-efectivo y que el proceso de control se lleve a cabo de acuerdo a las polticas y procedimientos, estndares y guas sobre seguridad en PCs publicadas en la organizacin.

SEGURIDAD EN PC`S

GUIAS Y TECNICAS DE CONTROL. Controles Administrativos. (1/3) 1. Establecer y supervisar el cumplimiento de polticas, estndares, procedimientos y guas para el correcto uso de la informacin en PCs, en los cules se identifiquen los tipos de informacin que requieren ser protegidos as como las medidas de seguridad y control recomendables. recomendables 2. Promover que las gerencias funcionales usuarias lleven a cabo revisiones de autoevaluacin de controles y seguridad sobre el uso de las PCs de su departamento o funcin. 3. Establecer un programa continuo de entrenamiento sobre el uso de las PCs y el SW de PC, asegurando que cada usuario sea entrenado oportunamente. 4. Colocar anuncios en las diversas reas que prohiban el fumar, beber y comer alimentos junto a las PC`s y promuevan la limpieza en las reas de trabajo as como las prcticas de escritorio limpio. 5. Promover prcticas adecuadas para el manejo de diskettes y otros medios de almacenamiento para evitar su dao. mal manejo o uso inapropiado.

SEGURIDAD EN PC`S

GUIAS Y TECNICAS DE CONTROL. Controles Administrativos. (2/3) 6. Promover prcticas adecuadas para la proteccin de los recursos de PCS durante las horas no laborables o cuando estos recursos estn desatendidos. 7. Establecer procedimientos para la destruccin de CDs ,DVDs microcassettes, manuales y otros documentos cuando ya no son tiles. Asegurar que los CDs, DVDs sean destruidos totalmente y que manuales y documentos sensitivos sean triturados o quemados para prevenir su uso no autorizado. 8. Establecer procedimientos y guas para la obtencin peridica de respaldos de archivos y programas en disco. Asimismo, establecer procedimientos y g as pa guas para a la recuperacin ec pe acin de archivos a chi os y programas. p og amas 9. Establecer un programa de mantenimiento preventivo y limpieza de las PCs, y sus componentes, tanto internos como externos. (ejem: limpiar peridicamente las cabezas lectoras/grabadoras de drives CD CDs, s, DVD DVDs s, disco para quitar partculas de polvo y basura, las cuales puden daar los datos y los programas).

SEGURIDAD EN PC`S

GUIAS Y TECNICAS DE CONTROL. Controles Administrativos. (3/3) 10. Instalar rutinas que desplieguen en forma peridica la fecha en que se obtuvo el ltimo respaldo, despus del primer sign-on al sistema o despus de bootear el sistema. 11. Prohibir el uso, dentro de las PCs de la organizacin, de SW de dominio pblico el cual es intercamvbiado libremente por usuarios interno y externos, para evitar el contagio de virus. 12. Instalar en todas las PCs, antivirus que detecten y eliminen virus. 13. Concientizar a los empleados de las consecuencias de copiar ilegalmente SW con derechos de autor. 14. Contratar un seguro de proteccin de HW y SW de PC contra daos por negligencia de usuarios, incendios, inundaciones y desastres naturales. Cuando se justifique, incluir en la cobertura el pago de los costos por recuperacin de datos y programas.

SEGURIDAD EN PC`S

GUIAS Y TECNICAS DE CONTROL. Controles de Sistema. (1/2) 1. Establecer un procedimiento para asegurar que la informacin sensitiva y confidencial en discos que se mandan a reparar, haya sido debidamente eliminada. (No es suficiente con borrar los archivos con los comandos del sistema como erase o delete; el procedimeinto debe incluir la sobregrabacin (overwriting) de ceros y unos, unos o por un procedimiento de magnetizacin (degaussing) y ser verificada con algn programa de utilera de debugging de bajo nivel. 2. Instalar candados de encendido para restringir el acceso a la PC. 3. Donde se justifique instalar procedimientos o sistemas de encripcin de HW o SW para proteger datos sensitivos y confidenciales durante su transmisin o almacenamiento. 4. Vigilar la actividad del personal de mantenimiento o reparacin de HW y SW tanto interno como externo a la organizacin.

SEGURIDAD EN PC`S

GUIAS Y TECNICAS DE CONTROL. Controles de Sistema. (2/2) 5. Restringir la salida de tarjetas y componentes electrnicos de PCs removidos por propsitos it de d mantenimiento t i i t o reparacin, i mediante di t la l revisin i i y autorizacin escrita de personal autorizado. 6. Promover el uso y prueba peridica del dispositivo de Proteccin contra Grabacin que traen los diskettes, para evitar o reducir riesgos de daos accidentales o intencionales a los datos y programas. programas 7. Instalar un sistema de control de acceso a la PC, ya sea de HW o de SW, que permita verificar la identificacin y autenticacin del usuario mediante el uso de USER-ID y Passwords como en el ambiente de mainframes, antes de permitir el acceso al sistema, ya sea para entrada de datos, actualizaciones, respaldo de archivos, consultas o impresin de reportes. 8. Instalar un sistema de control de acceso a la red local de PCs donde stas comparten e intercambian datos.(User-IDs, passwords, etc.). 9 Establecer y probar peridicamente los procedimientos de respaldo y 9. recuperacin de datos, programas y archivos en la Red Local (LAN).

SEGURIDAD EN PC`S

GUIAS Y TECNICAS DE CONTROL. Controles Fsicos. 1. Instalar candados o dispositivos que aseguren el equipo y sus perifricos al escritorio o a la mesa de trabajo, trabajo para evitar que sean robados e extrados del rea en la que deben estar instalados. 2. Promover el uso de fundas de plstico para proteger al equipo cuando no sea usado y evitar que sea daado por fugas de agua. 3. Instalar reguladores y sistemas No-Break para proteger al equipo contra altas descargas de voltaje o cadas de corriente elctrica. 4. Instalar extintores de fuego cerca del equipo. 5. Revisar que los cables de conexin del equipo no estn sobre el piso y al paso del personal que puedan tropezarse o provocar corto-circuitos.

9.

SEGURIDAD DEL CENTRO DE COMPUTO

SEGURIDAD DEL CENTRO DE COMPUTO

ALCANCE: - Operacin del equipo de Cmputo. - Programacin de trabajos en produccin. - Facturacin de servicios. - Actividades de operadores. - JCL (Job Control Language). - Servicios externos. - Centro de Informacin. - Administracin de medios de almacenamiento (discos (discos, cintas) y sus respaldos. respaldos - Administracin de bibliotecas. - Control de acceso al centro de cmputo.

SEGURIDAD DEL CENTRO DE COMPUTO

OBJETIVOS: 1. Asegurar el establecimiento de polticas, estndares, procedimientos y guas de seguridad para el Centro de cmputo que reduzcan los riesgos potenciales de modificacin, destruccin o revelacin de datos y programas, o destruccin del equipo, que resultan del acceso no autorizado a equipo, archivos y programas. 2. Asegurar que se restrinja el acceso al HW, datos, archivos y a los programas de utilera en funcin de la responsabilidad y nivel de autoridad del empleado. 3. Asegurar que se prueben y documenten los planes de contingencia, tales como el plan de respaldo, el plan de recuperacin y el plan de emergencia, para permitir que la organizacin contine operando en caso de interrupciones debidas a incendios, inundaciones o malfuncionamiento del sistema. 4. Asegurar la existencia y adecuado funcionamiento de un progarma de retencin de registros vitales as como que exista un seguro que cubra la proteccin de la organizacin en caso de incendios otros desastres naturales. 5. Controlar el acceso, de agentes de riesgo, al equipo, a los programas y archivos, para minimizar la vulnerabilidad.

SEGURIDAD DEL CENTRO DE COMPUTO

GUIAS Y TECNICAS DE CONTROL. (1/4) 1. Promueva la participacin del personal de operaciones del centro de cmputo en el desarrollo de aplicaciones y principales proyectos de mantenimiento. 2. Rotar empleados clave que manejan datos de entrada y salida de los sistemas computarizados. computarizados 3. Llevar a cabo respaldos peridicos de datos y programas y administrar el programa de registros vitales. 4. Mantener un almacn de p papelera, p , formatos y accesorios p para asegurar g una operacin contnua. 5. Desarrollar un Plan de contingencias y probarlo peridicamente para asegurar su efectividad. 6. Documentar procedimientos di i d de emergencia i ( (ejemplo: j l evacuacin, i supresin i de d conatos de incendio), y probarlos peridicamente para asegurar su efectividad. 7. Contratar un cobertura de seguro suficiente para la proteccin contra interrupciones de servicios y prdidas. 8. Implementar un Programa de Retencin de Registros Vitales. 9. Proteger del uso no autorizado, a los programas de utilera que desempeen funciones poderosas.

SEGURIDAD DEL CENTRO DE COMPUTO

GUIAS Y TECNICAS DE CONTROL. (2/4) 10 Mantener un inventario del equipo de cmputo y accesorios y llevar a cabo 10. inspecciones fsicas peridicas. 11. Emitir guas para el manejo, almacenamiento y destruccin de registros usados, ya sean registros en papel (cartas, memoranda, documentos y reportes), registros mecnicos (microfichas y microfilms), o registros electrnicos (cintas, cartuchos,CD cartuchos,CDs, s, DVD DVDs s etc.). 12. restringir el uso de programas de aplicacin y el uso de terminales. 13. Establecer un grupo de control y soporte de software para la administracin automatizada de bibliotecas de programas. 14. Controlar documentos negociables y formatos sensitivos. 15. Establecer controles para el manejo apropiado de datos atravs de todo el ciclo de operacin del sistema. 16. Disear aplicaciones de tal manera que requieran la mnima intervencin de los operadores. 17. Utilizar un sistema de administracin de cintas para mejorar la securidad en el manejo de las mismas. 18. Establecer un sistema de convenciones para el etiquetado standard de archivos.

SEGURIDAD DEL CENTRO DE COMPUTO

GUIAS Y TECNICAS DE CONTROL. (3/4) 19. Disear e incluir dentro de la aplicacin, componentes de correccin automtica de errores. 20. Disear controles de checkpoint, reinicio y recuperacin, dentro del software de aplicacin y de base de datos. 21. Asegrar que todos los operadores tomen perodos de vacaciones contnuas de al menos una semana de duracin. 22. Asegurar que todos los empleados tomen sus vacaciones cuando les p corresponda. 23. Asegurar que no existan relaciones familiares entre empleados que trabajan en reas sensitivas de la organizacin. 24. Distribuir a cada empleado su descripcin de puesto, donde se defina claramente l sus responsabilidades, bilid d la l forma f en que ser evaluado l d as como su nivel i l de autoridad. 25. Establecer guas respecto a la proteccin de derechos de autor de todo el software y la documentacin. 26. Catalogar todos los datasets, archivos, procedimientos y programas.

SEGURIDAD DEL CENTRO DE COMPUTO

GUIAS Y TECNICAS DE CONTROL. (4/4) 27. Mantener una adecuada separacin fsica de responsabilidades entre funciones incompatibles tales como: operaciones del centro de cmputo, desarrollo, mantenimiento, control de entradas y salidas, control de la red, base de datos, programacin de sistemas, control de la produccin. Asimismo, separar responsabilidades en las reas funcionales usuarias. 27. Si la separacin fsica de responsabilidades no es prctica, establecer una separacin electrnica de responsabilidades mediante el uso de passwords para el acceso a las funciones del sistema o mediante revisiones gerenciales. 28. Asegurar que todas las opciones y parmetros de los productos de software del sistema sean instalados apropiadamente. 29. Adquirir o desarrollar un paquete de software que contabilice el uso de los recursos de cmputo en forma automatizada (Job Accounting, SMF, etc.). 30. Informar al usuario de cualquier intento no autorizado para adivinar su password. 31. Controlar el acceso al sistema por parte del personal de servicio de mantenimiento de Hardware y/o Software.