Académique Documents
Professionnel Documents
Culture Documents
SENA 2014
Pgina Pgina 1
Introduccin
En toda organizacin, la informacin es un activo que, al igual que sus instalaciones, capital humano y recursos financieros, debe protegerse mediante un conjunto coherente de procesos y sistemas diseados, administrados y mantenidos por la propia organizacin. De esta manera, la gestin de la seguridad de la informacin, como parte de un sistema administrativo ms amplio, busca establecer, implementar, operar, monitorear y mejorar los procesos y sistemas relativos a la confidencialidad, integridad y disponibilidad de la informacin, aplicando un enfoque basado en los riesgos que la organizacin afronta. Para lograr lo anterior, es necesario llevar a cabo una correcta administracin de riesgos a fin de que stos puedan ser asumidos, mitigados, transferidos o evitados de manera eficiente, sistemtica y estructurada, que se adapte a los cambios que se produzcan en el entorno y en la informacin. Es por ello que no resulta conveniente escatimar recursos y esfuerzos en el establecimiento de controles para la proteccin de la informacin frente a acciones o situaciones no deseadas, pues de esa manera, adems de garantizar la continuidad de la operacin de los sujetos obligados, se protege a los individuos a los que se refiere dicha informacin. Establece la obligacin de que las dependencias y entidades expidan un documento de seguridad que contenga las medidas de seguridad administrativa, fsica y tcnica aplicables a la proteccin de sistemas de datos personales, ya que dejar constancia por escrito de dichas medidas de seguridad permite identificar los roles, actividades y responsabilidades de los empleados contratados que dan tratamiento a informacin personal, as como una gil verificacin de los controles implementados para el aseguramiento de sta. Para hablar de controles de seguridad es indispensable tomar como referente la norma ISO27001- Sistema de Gestin de Seguridad de la Informacin. La norma ISO 27001 define cmo organizar la seguridad de la informacin en cualquier tipo de organizacin, con o sin fines de lucro, privada o pblica, pequea o grande. Es posible afirmar que esta norma constituye la base para la gestin de la seguridad de la informacin
Pgina Pgina 2
Terminologa
Confidencialidad: se garantiza que la informacin sea accesible slo a aquellas personas autorizadas a tener acceso a la misma. Integridad: se salvaguarda la exactitud y totalidad de la informacin y los mtodos de procesamiento. Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la informacin y a los recursos relacionados con la misma, toda vez que lo requieran. Autenticidad: busca asegurar la validez de la informacin en tiempo, forma y distribucin. Asimismo, se garantiza el origen de la informacin, validando el emisor para evitar suplantacin de identidades. Auditabilidad: define que todos los eventos de un sistema deben poder ser registrados para su control posterior. Proteccin a la duplicacin: consiste en asegurar que una transaccin slo se realiza una vez, a menos que se especifique lo contrario. Impedir que se grabe una transaccin para luego reproducirla, con el objeto de simular mltiples peticiones del mismo remitente original. No repudio: se refiere a evitar que una entidad que haya enviado o recibido informacin alegue ante terceros que no la envi o recibi. Legalidad: referido al cumplimiento de las leyes, normas, reglamentaciones o imposiciones a las que est sujeto el Organismo. Confiabilidad de la Informacin: es decir, que la informacin generada sea adecuada para sustentar la toma de decisiones y la ejecucin de las misiones y funciones. Informacin: Se refiere a toda comunicacin o representacin de conocimiento como datos, en cualquier forma, con inclusin de formas textuales, numricas, grficas, cartogrficas, narrativas o audiovisuales, y en cualquier medio, ya sea magntico, en papel, en pantallas de computadoras, audiovisual u otro.
Pgina Pgina 3
Sistema de Informacin: Se refiere a un conjunto independiente de recursos de informacin organizados para la recopilacin, procesamiento, mantenimiento, transmisin y difusin de informacin segn determinados procedimientos, tanto automatizados como manuales. Tecnologa de la Informacin: Se refiere al hardware y software operados por el Organismo o por un tercero que procese informacin en su nombre, para llevar a cabo una funcin propia del Organismo, sin tener en cuenta la tecnologa utilizada, ya se trate de computacin de datos, telecomunicaciones u otro tipo. Evaluacin de Riesgos: Se entiende por evaluacin de riesgos a la evaluacin de las amenazas y vulnerabilidades relativas a la informacin y a las instalaciones de procesamiento de la misma, la probabilidad de que ocurran y su potencial impacto en la operatoria del Organismo. Tratamiento de Riesgos: Proceso de seleccin e implementacin de medidas para modificar el riesgo. Gestin de Riesgos: Actividades coordinadas para dirigir y controlar una organizacin en lo que concierne al riesgo.
NOTA. La gestin de riesgos usualmente incluye la evaluacin de riesgos, el tratamiento de riesgos, la aceptacin de riesgos y la comunicacin de riesgos. Responsable de Seguridad de la Informacin: Es la persona que cumple la funcin de supervisar el cumplimiento de la presente Poltica y de asesorar en materia de seguridad de la informacin a los integrantes del Organismo que as lo requieran. Incidente de Seguridad: Un incidente de seguridad es un evento adverso en un sistema de computadoras, o red de computadoras, que puede comprometer o compromete la confidencialidad, integridad y/o disponibilidad de la informacin. Puede ser causado mediante la explotacin de alguna vulnerabilidad o un intento o amenaza de romper los mecanismos de seguridad existentes. Riesgo: Combinacin de la probabilidad de ocurrencia de un evento y sus consecuencias o impacto. Amenaza: Una causa potencial de un incidente no deseado, el cual puede ocasionar daos a un sistema u organizacin. Vulnerabilidad: Una debilidad de un activo o grupo de activos que puede ser aprovechada por una amenaza. Control: Medio para gestionar el riesgo, incluyendo polticas, procedimientos, directrices, prcticas o estructuras organizacionales, las cuales pueden ser de naturaleza administrativa, tcnica, de gestin, o legal.
Pgina Pgina 4
Objetivo
Asegurar la inclusin de controles de seguridad y validacin de datos en la adquisicin y el desarrollo de los sistemas de informacin. Definir y documentar las normas y procedimientos que se aplicarn durante el ciclo de vida de los aplicativos y en la infraestructura de base en la cual se apoyan. Definir los mtodos de proteccin de la informacin crtica o sensible.
Alcance
Pgina Pgina 5
Esta Poltica se aplica a todos los sistemas informticos, tanto desarrollos propios o de terceros, y a todos los Sistemas Operativos y/o Software de Base que integren cualquiera de los ambientes administrados por el Organismo en donde residan los desarrollos mencionados.
Responsabilidad
El Responsable de Seguridad de la Informacin junto con el Propietario de la Informacin y la Unidad de Auditora Interna, definirn los controles a ser implementados en los sistemas desarrollados internamente o por terceros, en funcin de una evaluacin previa de riesgos. El Responsable de Seguridad de la Informacin, junto con el Propietario de la Informacin, definir en funcin a la criticidad de la informacin, los requerimientos de proteccin mediante mtodos criptogrficos. Luego, el Responsable de Seguridad de la Informacin definir junto con el Responsable del rea de Sistemas, los mtodos de encripcin a ser utilizados. Asimismo, el Responsable de Seguridad de la Informacin cumplir las siguientes funciones: - Definir los procedimientos de administracin de claves. - Verificar el cumplimiento de los controles establecidos para el desarrollo y mantenimiento de sistemas. Garantizar el cumplimiento de los requerimientos de seguridad para el software. - Definir procedimientos para: el control de cambios a los sistemas; la verificacin de la seguridad de las plataformas y bases de datos que soportan e interactan con los sistemas; el control de cdigo malicioso; y la definicin de las funciones del personal involucrado en el proceso de entrada de datos. El Responsable del rea Informtica, propondr para su aprobacin por parte del superior jerrquico que corresponda, la asignacin de funciones de implementador y administrador de programas fuentes al person al de su rea que considere adecuado, cuyas responsabilidades se detallan en el presente captulo. Asimismo, verificar el cumplimiento de las definiciones establecidas sobre los controles y las medidas de seguridad a ser incorporadas a los sistemas. El rea de Sistemas propondr quines realizarn la administracin de las tcnicas criptogrficas y claves. El Responsable del rea de Administracin incorporar aspectos relacionados con el licenciamiento, la calidad del software y la seguridad de la informacin en los contratos con terceros por el desarrollo de software. El Responsable del rea Jurdica participar en dicha tarea. Garantizar que la seguridad sea una parte integral de los sistemas de informacin. Los sistemas de informacin incluyen sistemas de operacin, infraestructura, aplicaciones operativas, productos de venta masiva, servicios y aplicaciones desarrolladas por el usuario. El diseo e implementacin del sistema de informacin que soporta el proceso operativo puede ser crucial para la seguridad. Se deben identificar y acordar los requerimientos de seguridad antes del desarrollo y/o implementacin de los sistemas de informacin.
ANLISIS Y DESARROLLO DE SISTEMAS DE INFORMACIN (413066) Mauricio Antonio Taborda Yepes
Pgina Pgina 6
Control: Anlisis y Especificaciones de los Requerimientos de seguridad Esta Poltica se implementa para incorporar seguridad a los sistemas de informacin (propios o de terceros) y a las mejoras o actualizaciones que se les incorporen. Los requerimientos para nuevos sistemas o mejoras a los existentes especificarn la necesidad de controles. Estas especificaciones deben considerar los controles automticos a incorporar al sistema, como as tambin controles manuales de apoyo. Se deben tener en cuenta las siguientes consideraciones: a) Definir un procedimiento para que durante las etapas de anlisis y diseo del sistema, se incorporen a los requerimientos, los correspondientes controles de seguridad. Este procedimiento debe incluir una etapa de evaluacin de riesgos previa al diseo, para definir los requerimientos de seguridad e identificar los controles apropiados. En esta tarea deben participar las reas usuarias, de sistemas, de seguridad informtica y auditora, especificando y aprobando los controles automticos a incorporar al sistema y las necesidades de controles manuales complementarios. Las reas involucradas podrn solicitar certificaciones y evaluaciones independientes para los productos a utilizar. b) Evaluar los requerimientos de seguridad y los controles requeridos, teniendo en cuenta que stos deben ser proporcionales en costo y esfuerzo al valor del bien que se quiere proteger y al dao potencial que pudiera ocasionar a las actividades realizadas. c) Considerar que los controles introducidos en la etapa de diseo, son significativamente menos costosos de implementar y mantener que aquellos incluidos durante o despus de la implementacin. Para evitar la prdida, modificacin o uso inadecuado de los datos pertenecientes a los sistemas de informacin, se establecern controles y registros de auditora, verificando: a) b) c) d) La validacin efectiva de datos de entrada. b) El procesamiento interno. c) La autenticacin de mensajes (interfases entre sistemas) d) La validacin de datos de salida.
Validacin de Datos de Entrada Se definir un procedimiento que durante la etapa de diseo, especifique controles que aseguren la validez de los datos ingresados, tan cerca del punto de origen como sea posible, controlando tambin datos permanentes y tablas de parmetros. Este procedimiento considerar los siguientes controles: a) Control de secuencia. b) Control de monto lmite por operacin y tipo de usuario.
ANLISIS Y DESARROLLO DE SISTEMAS DE INFORMACIN (413066) Mauricio Antonio Taborda Yepes
Pgina Pgina 7
c) Control del rango de valores posibles y de su validez, de acuerdo a criterios predeterminados. d) Control de paridad. e) Control contra valores cargados en las tablas de datos. f) Controles por oposicin, de forma tal que quien ingrese un dato no pueda autorizarlo y viceversa. Por otra parte, se llevarn a cabo las siguientes acciones: a) Se definir un procedimiento para realizar revisiones peridicas de contenidos de campos claves o archivos de datos, definiendo quin lo realizar, en qu forma, con qu mtodo, quines deben ser informados del resultado, etc. b) Se definir un procedimiento que explicite las alternativas a seguir para responder a errores de validacin en un aplicativo. c) Se definir un procedimiento que permita determinar las responsabilidades de todo el personal involucrado en el proceso de entrada de datos. 12.2.2 Control: Controles de Procesamiento Interno Se definir un procedimiento para que durante la etapa de diseo, se incorporen controles de validacin a fin de eliminar o minimizar los riesgos de fallas de procesamiento y/o vicios por procesos de errores. Para ello se implementarn: a) Procedimientos que permitan identificar el uso y localizacin en los aplicativos, de funciones de incorporacin y eliminacin que realizan cambios en los datos. b) Procedimientos que establezcan los controles y verificaciones necesarios para prevenir la ejecucin de programas fuera de secuencia o cuando falle el procesamiento previo. c) Procedimientos que establezcan la revisin peridica de los registros de auditora o alertas de forma de detectar cualquier anomala en la ejecucin de las transacciones. d) Procedimientos que realicen la validacin de los datos generados por el sistema. e) Procedimientos que verifiquen la integridad de los datos y del software cargado o descargado entre computadoras. f) Procedimientos que controlen la integridad de registros y archivos. g) Procedimientos que verifiquen la ejecucin de los aplicativos en el momento adecuado. h) Procedimientos que aseguren el orden correcto de ejecucin de los aplicativos, la finalizacin programada en caso de falla, y la detencin de las actividades de procesamiento hasta que el problema sea resuelto. Control: Validacin de Datos de Salidas Se establecern procedimientos para validar la salida de los datos de las aplicaciones, incluyendo:
Pgina Pgina 8
a) Comprobaciones de la razonabilidad para probar si los datos de salida son plausibles. b) Control de conciliacin de cuentas para asegurar el procesamiento de todos los datos. c) Provisin de informacin suficiente, para que el lector o sistema de procesamiento subsiguiente determine la exactitud, totalidad, precisin y clasificacin de la informacin. d) Procedimientos para responder a las pruebas de validacin de salidas. e) Definicin de las responsabilidades de todo el personal involucrado en el proceso de salida de datos. Categora: Controles Criptogrficos Se utilizarn sistemas y tcnicas criptogrficas para la proteccin de la informacin en base a un anlisis de riesgo efectuado, con el fin de asegurar una adecuada proteccin de su confidencialidad e integridad. Se debe desarrollar una poltica sobre el uso de controles criptogrficos. Se debe establecer una gestin clave para sostener el uso de tcnicas criptogrficas. Poltica de Utilizacin de Controles Criptogrficos El Organismo establece la presente Poltica de uso de controles criptogrficos, a fin de determinar su correcto uso. Para ello se indica que: a) Se utilizarn controles criptogrficos en los siguientes casos: Para la proteccin de claves de acceso a sistemas, datos y servicios. Para la transmisin de informacin clasificada, fuera del mbito del Organismo. Para el resguardo de informacin, cuando as surja de la evaluacin de riesgos realizada por el Propietario de la Informacin y el Responsable de Seguridad de la Informacin.
b) Se desarrollarn procedimientos respecto de la administracin de claves, de la recuperacin de informacin cifrada en caso de prdida, compromiso o dao de las claves y en cuanto al reemplazo de las claves de cifrado. c) El Responsable del rea Informtica propondr la siguiente asignacin de funciones: Funcin Cargo Implementacin de la Poltica de Controles Criptogrficos Administracin de Claves
Pgina Pgina 9
Casos de Utilizacin Algoritmo Longitud de Clave Para certificados utilizados en servicios relacionados a la firma digital (sellado de tiempo, almacenamiento seguro de documentos electrnicos, etc.) Los algoritmos y longitudes de clave mencionados son los que a la fecha se consideran seguros. Se recomienda verificar esta condicin peridicamente con el objeto de efectuar las actualizaciones correspondientes.
Control: Cifrado
Mediante la evaluacin de riesgos que llevar a cabo el Propietario de la Informacin y el Responsable de Seguridad de la Informacin, se identificar el nivel requerido de proteccin, tomando en cuenta el tipo y la calidad del algoritmo de cifrado utilizado y la longitud de las claves criptogrficas a utilizar. Al implementar la Poltica del Organismo en materia criptogrfica, se considerarn los controles aplicables a la exportacin e importacin de tecnologa criptogrfica.
Pgina Pgina 10
a) Tcnicas de clave secreta (criptografa simtrica), cuando dos o ms actores comparten la misma clave y sta se utiliza tanto para cifrar informacin como para descifrarla. b) Tcnicas de clave pblica (criptografa asimtrica), cuando cada usuario tiene un par de claves: una clave pblica (que puede ser revelada a cualquier persona) utilizada para cifrar y una clave privada (que debe mantenerse en secreto) utilizada para descifrar. Las claves asimtricas utilizadas para cifrado no deben ser las mismas que se utilizan para firmar digitalmente. Todas las claves sern protegidas contra modificacin y destruccin, y las claves secretas y privadas sern protegidas contra copia o divulgacin no autorizada. Se proporcionar una proteccin adecuada al equipamiento utilizado para generar, almacenar y archivar claves, considerndolo crtico o de alto riesgo. Control: Proteccin de Claves criptogrficas Normas y procedimientos Se redactarn las normas y procedimientos necesarios para: a) Generar claves para diferentes sistemas criptogrficos y diferentes aplicaciones. b) Generar y obtener certificados de clave pblica de manera segura. c) Distribuir claves de forma segura a los usuarios que corresponda, incluyendo informacin sobre cmo deben activarse cuando se reciban. d) Almacenar claves, incluyendo la forma de acceso a las mismas por parte de los usuarios autorizados. e) Cambiar o actualizar claves, incluyendo reglas sobre cundo y cmo deben cambiarse las claves. f) Revocar claves, incluyendo cmo deben retirarse o desactivarse las mismas, por ejemplo cuando las claves estn comprometidas o cuando un usuario se desvincula del Organismo (en cuyo caso las claves tambin deben archivarse). g) Recuperar claves prdidas o alteradas como parte de la administracin de la continuidad de las actividades del Organismo, por ejemplo para la recuperacin de la informacin cifrada. h) Archivar claves, por ejemplo, para la informacin archivada o resguardada. i) Destruir claves. j) Registrar y auditar las actividades relativas a la administracin de claves. A fin de reducir la probabilidad de compromiso, las claves tendrn fechas de inicio y caducidad de vigencia, definidas de manera que slo puedan ser utilizadas por el lapso de......... (Indicar lapso no mayor a 12 meses). Adems de la administracin segura de las claves secretas y privadas, debe tenerse en cuenta la proteccin de las claves pblicas. Este problema es abordado mediante el uso de un certificado de clave pblica. Este certificado se generar de forma que vincule de manera nica la informacin relativa al propietario del par de claves pblica/privada con la clave pblica.
ANLISIS Y DESARROLLO DE SISTEMAS DE INFORMACIN (413066) Mauricio Antonio Taborda Yepes
Pgina Pgina 11
En consecuencia es importante que el proceso de administracin de los certificados de clave pblica sea absolutamente confiable. Este proceso es llevado a cabo por una entidad denominada Autoridad de Certificacin (AC) o Certificador. Control: Acceso a las Bibliotecas de Programas fuentes Para reducir la probabilidad de alteracin de programas fuentes, se aplicarn los siguientes controles: a) El Responsable del rea Informtica, propondr para su aprobacin por parte del superior jerrquico que corresponda la funcin de administrador de programas fuentes al personal de su rea que considere adecuado, quien tendr en custodia los programas fuentes y debe: Proveer al rea de Desarrollo los programas fuentes solicitados para su modificacin, manteniendo en todo momento la correlacin programa fuente / ejecutable. Llevar un registro actualizado de todos los programas fuentes en uso, indicando nombre del programa, programador, Analista Responsable que autoriz, versin, fecha de ltima modificacin y fecha / hora de compilacin y estado (en modificacin, en produccin). Verificar que el Analista Responsable que autoriza la solicitud de un programa fuente sea el designado para la aplicacin, rechazando el pedido en caso contrario. Registrar cada solicitud aprobada. Administrar las distintas versiones de una aplicacin. Asegurar que un mismo programa fuente simultneamente por ms de un desarrollador. no sea modificado
b) Denegar al administrador de programas fuentes permisos de modificacin sobre los programas fuentes bajo su custodia. c) Establecer que todo programa objeto o ejecutable en produccin tenga un nico programa fuente asociado que garantice su origen. d) Establecer que el implementador de produccin efectuar la generacin del programa objeto o ejecutable que estar en produccin (compilacin), a fin de garantizar tal correspondencia. e) Desarrollar un procedimiento que garantice que toda vez que se migre a produccin el mdulo fuente, se cree el cdigo ejecutable correspondiente en forma automtica. f) Evitar que la funcin de administrador de programas fuentes sea ejercida por personal que pertenezca al sector de desarrollo y/o mantenimiento.
Pgina Pgina 12
g) Prohibir la guarda de programas fuentes histricos (que no sean los correspondientes a los programas operativos) en el ambiente de produccin. h) Prohibir el acceso a todo operador y/o usuario de aplicaciones a los ambientes y a las herramientas que permitan la generacin y/o manipulacin de los programas fuentes. i) Realizar las copias de respaldo de los programas fuentes cumpliendo los requisitos de seguridad establecidos por el Organismo en los procedimientos que surgen de la presente poltica. Seguridad de los Procesos de Desarrollo y Soporte Esta Poltica provee seguridad al software y a la informacin del sistema de aplicacin, por lo tanto se controlarn los entornos y el soporte dado a los mismos. Seguimiento y control Detectar las actividades de procesamiento de informacin no autorizadas. Se deben monitorear los sistemas y se deben reportar los eventos de seguridad de la informacin. Se deben utilizar bitcoras de operador y se deben registrar las fallas para asegurar que se identifiquen los problemas en los sistemas de informacin. Una organizacin debe cumplir con todos los requerimientos legales relevantes aplicables a sus actividades de monitoreo y registro. Se debe utilizar el monitoreo del sistema para chequear la efectividad de los controles adoptados y para verificar la conformidad con un modelo de poltica de acceso.
Pgina Pgina 13