Vous êtes sur la page 1sur 235

UNIVERSIDAD DE BUENOS AIRES

FACULTAD DE INGENIERA
Ingeniera en informtica

Tesis de grado:

Metodologa para el
Aseguramiento de Entornos
Informatizados MAEI.

Alumna: Mara Victoria Bisogno


Padrn: 74.784
E-mail: vickybisogno@hotmail.com; vbisogno@fi.uba.ar
Tutor: Prof. Lic. Sergio Villagra
Co-tutores: Andrea Morales, Saverio Locane, y Hctor Dinamarca
12 de octubre de 2004

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

I.

NDICE:
I.

ndice:..................................................................................................... 1

II.

Prefacio...................................................................................... 6

1. Propsito de la tesis.................................................................................. 6
2. Estado del Arte de la Seguridad Informtica. ................................................ 8
3. Motivacin para la realizacin de este trabajo ............................................. 10
4. Alcance de la tesis .................................................................................. 11
5. Organizacin del documento .................................................................... 12
III.

Introduccin. ............................................................................ 13

1. La metodologa. ..................................................................................... 13
1.1 El estudio del entorno......................................................................... 13
1.2 La implantacin de la solucin. ............................................................ 13
2. Descripcin de las fases. ......................................................................... 15
IV.

Desarrollo de la metodologa AEI ................................................. 23

1 Definicin del Alcance ................................................................................. 25


Contenido: ............................................................................................. 25
1.1 Anlisis de Requerimientos de Usuario ..................................................... 26
1.1.1 Documento de Requerimientos de Usuario .......................................... 26
1.1.2 Ejemplo - Requerimientos de Usuario ................................................. 27
1.2 Elaboracin del Alcance ......................................................................... 27
1.2.1 Alcance.......................................................................................... 28
1.2.2 Ejemplo - Alcance ........................................................................... 30
1.3 Aprobacin del Alcance.......................................................................... 33
1.4 Estimacin de tiempos y costos. ............................................................. 33
1.4.1 Costos capitales .............................................................................. 34
1.4.2 Costos recurrentes .......................................................................... 35
1.4.3 Costos No recurrentes...................................................................... 37
1.5 Elaboracin del Plan de Trabajo .............................................................. 37
2 Relevamiento ............................................................................................ 40
Contenido: ............................................................................................. 40
2.1 Elaboracin del Relevamiento General. .................................................... 41
2.1.1 Relevamiento General ...................................................................... 43
2.2 Elaboracin del Relevamiento de Usuario ................................................. 45
2.2.1 Relevamiento de Usuario .................................................................. 48
2.2.2 Asignacin de puntaje...................................................................... 49
2.2.3 Aclaracin sobre las preguntas .......................................................... 51

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

2.2.4 Resultados de la evaluacin .............................................................. 55


2.2.5 Evaluacin del entorno..................................................................... 56
2.2.5.1 Referencias al puntaje obtenido en el test por nivel: .......................... 56
2.2.5.2 Configuraciones de resultados: ....................................................... 56
2.3 Anlisis de vulnerabilidades.................................................................... 57
2.3.1 Conocer al enemigo ......................................................................... 57
2.3.2 Ejemplo Atacantes ........................................................................ 58
2.3.3 Las amenazas................................................................................. 59
2.3.4 Anlisis de Vulnerabilidades .............................................................. 61
2.3.4.1 Aspectos funcionales ..................................................................... 61
2.3.4.2 Anlisis de la documentacin.......................................................... 65
2.3.4.3 Anlisis de las aplicaciones y equipos .............................................. 66
2.3.4.3.1 Intento de Penetracin ............................................................... 69
2.3.4.3.2 Herramientas de anlisis de vulnerabilidades ................................. 70
2.3.5 Mapa de Vulnerabilidades ................................................................. 70
2.3.5.1 Vulnerabilidades a nivel fsico ......................................................... 71
2.3.5.2 Vulnerabilidades a nivel lgico ........................................................ 75
2.3.5.3 Vulnerabilidades a nivel de la organizacin. ...................................... 82
2.4 Anlisis de Riesgos ............................................................................... 83
2.4.1 Informe de Riesgos ......................................................................... 85
2.4.2 Ejemplo Informe de Riesgos........................................................... 86
3 Planificacin .............................................................................................. 89
Contenido: ............................................................................................. 89
3.1 Elaboracin del Plan de Aseguramiento....................................................... 90
3.1.1 Proteccin fsica .............................................................................. 90
3.1.1.1 Proteccin de las Instalaciones ....................................................... 91
3.1.1.2 Proteccin de los equipos............................................................... 94
3.1.2 Proteccin lgica ........................................................................... 100
3.1.2.1 Proteccin de la informacin ........................................................ 100
3.1.2.2 Proteccin del Sistema Operativo. ................................................. 104
3.1.2.3 Proteccin de los datos................................................................ 115
3.1.3 Proteccin a nivel de la organizacin. ............................................... 122
3.2 Aprobacin del Plan de Aseguramiento ..................................................... 130
4 Implantacin ........................................................................................... 132
Contenido: ........................................................................................... 132
4.1 Elaboracin del Relevamiento de Activos. ............................................... 135
4.1.1 Inventario de Activos ..................................................................... 135
2

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

4.1.2 Ejemplo Inventario de Activos ...................................................... 139


4.1.3 Rotulacin de activos ..................................................................... 140
4.1.4 Anlisis de Criticidades................................................................... 140
4.2 Clasificacin de la Informacin.............................................................. 142
4.2.1 Identificacin de la informacin ....................................................... 142
4.2.2 Tipos de informacin...................................................................... 143
4.2.3 Beneficios de la clasificacin de la informacin................................... 144
4.2.4 Riesgos de la informacin ............................................................... 144
4.3 Elaboracin/ adaptacin de la Normativa de Seguridad............................. 144
4.3.1 Interiorizacin del experto con la poltica y negocio de la organizacin .. 144
4.3.2 Elaboracin/adaptacin de la Normativa de Seguridad ........................ 145
4.3.2.1 Poltica de Seguridad................................................................... 147
4.3.2.1.1 Definicin ............................................................................... 147
4.3.2.1.2 mbitos de aplicacin y personal afectado ................................... 149
4.3.2.2 Normas y Procedimientos ............................................................ 149
4.3.2.2.1 Definicin ............................................................................... 149
4.3.2.2.2 Espectro de las Normas y los Procedimientos ............................... 150
4.3.2.2.3 Ejemplo Normas y Procedimientos ........................................... 152
4.3.2.3 Estndares, Esquemas y Manuales de usuarios ............................... 156
4.3.2.3.1 Definicin ............................................................................... 156
4.3.2.4 Implantacin y uso de la Normativa de Seguridad ........................... 156
4.3.2.5 Convenio de Confidencialidad ....................................................... 157
4.3.3 Aprobacin de la Poltica de Seguridad ............................................. 157
4.4 Publicacin de la Normativa de Seguridad .............................................. 158
4.4.1 Implantacin de una campaa de concientizacin .............................. 158
4.4.2 Capacitacin de los usuarios ........................................................... 159
4.5 Implantacin del Plan de Aseguramiento ................................................ 159
4.5.1 Implantacin a nivel fsico .............................................................. 160
4.5.2 Implantacin a nivel lgico ............................................................. 160
4.5.3 Implantacin a nivel de la organizacin ............................................ 161
4.6 Elaboracin del Plan de Recuperacin del Entorno ante Desastres (PRED) ... 161
4.6.1 Determinacin del escenario considerado.......................................... 163
4.6.2 Determinacin de los tipos de operacin en una contingencia .............. 163
4.6.3 Establecimiento de criticidades ........................................................ 164
4.6.3.1 Tabla de Criticidades por Equipo. .................................................. 165
4.6.3.2 Ejemplo - Tabla de Criticidades por Equipo. .................................... 165
4.6.3.3 Tabla de Criticidades por Servicios. ............................................... 165
3

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

4.6.3.4 Ejemplo - Tabla de Criticidades por Servicios. ................................. 166


4.6.3.5 Tabla de Criticidades por Aplicaciones............................................ 167
4.6.3.6 Ejemplo - Tabla de Criticidades por Aplicaciones. ............................ 167
4.6.4 Determinacin de las prestaciones mnimas ...................................... 168
4.6.5 Anlisis de riesgos......................................................................... 168
4.6.5.1 Probabilidad de ocurrencia de desastres......................................... 168
4.6.5.2 Determinacin de los niveles de desastre ....................................... 168
4.6.6 Presentacin de las distintas estrategias posibles de recuperacin ........ 169
4.6.7 Seleccin de la estrategia de recuperacin ........................................ 169
4.6.8 Elaboracin de la estrategia de recuperacin ..................................... 169
4.6.8.1 Mitigacin de riesgos Medidas preventivas ................................... 169
4.6.8.2 Descripcin de la estrategia ......................................................... 170
4.6.8.3 Requerimientos para llevar a cabo el Plan ...................................... 170
4.6.8.4 Esquemas tcnicos ..................................................................... 171
4.6.8.5 Formacin del Equipo de Recuperacin del Entorno ante Desastres
(ERED) ................................................................................................ 171
4.6.8.5.1 Roles y responsabilidades ......................................................... 172
4.6.8.5.2 Asignacin de roles .................................................................. 174
4.6.8.6 Establecimiento de los procedimientos........................................... 175
4.6.8.6.1 Declaracin de la emergencia .................................................... 175
4.6.8.6.2 Recuperacin de las prestaciones ............................................... 175
4.6.8.6.3 Reestablecimiento de las condiciones normales ............................ 176
5 Estabilizacin........................................................................................... 177
Contenido: ........................................................................................... 177
5.1 Anlisis de resultados.......................................................................... 178
5.2 Ajuste ............................................................................................... 179
5.3 Cierre de la implantacin. .................................................................... 179
5.4 Capacitacin de usuarios. .................................................................... 180
5.4.1 Tcnicas para la capacitacin de usuarios: ........................................ 180
6 Mantenimiento......................................................................................... 183
Contenido: ........................................................................................... 183
6.1 Control de incidencias. ........................................................................ 184
6.1.1 Incidencias de seguridad ................................................................ 184
6.1.2 Notificacin de incidencias .............................................................. 185
6.1.3 Documentacin ............................................................................. 188
6.1.4 Reporte de Incidencias................................................................... 188
6.1.4.1 Manual de Procedimientos sobre Reporte de Incidencias.................. 191

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

6.1.5 Respuesta a incidencias ................................................................. 191


6.1.6 Recoleccin de incidencias .............................................................. 192
6.1.7 Registro de incidencias................................................................... 192
6.1.8 Investigacin ................................................................................ 194
6.1.9 Seguimiento de incidencias............................................................. 194
6.1.10 Prevencin de incidencias ............................................................. 194
6.2 Control de cambios ............................................................................. 195
6.2.1 Procedimiento de Control de Cambios .............................................. 197
6.2 2 Diagrama de flujo.......................................................................... 204
6.2.3 Formulario de Control de cambios.................................................... 205
6.2.4 ABM Activos ................................................................................. 210
6.2.5 Ejemplo - AMB Activos ................................................................... 211
6.2.6 Actualizaciones de Software............................................................ 212
6.2.6.1 Documento de Actualizaciones de Software .................................... 213
V.

Conclusin.............................................................................. 214

VI.

Bibliografa ............................................................................. 219

VII.

Anexo I. MAEI Resumen de Fases y Tareas............................... 222

VIII.

Anexo II. Estndares Internacionales. Resea introductoria. .......... 223

ISO/IEC estndar 17799 ........................................................................ 223


Cobit ................................................................................................... 224
MAGERIT.............................................................................................. 226
IX.

Anexo III. Glosario de trminos. ................................................ 228

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

II.

PREFACIO

1. Propsito de la tesis
La Seguridad Informtica es una disciplina cuya importancia crece da a da.
Aunque la seguridad es un concepto difcil de medir, su influencia afecta
directamente a todas las actividades de cualquier entorno informatizado en los que
interviene el Ingeniero en Informtica, por lo que es considerada de vital
importancia.
[Huerta2000] define la seguridad como una caracterstica de cualquier sistema
(informtico o no) que nos indica que ese sistema est libre de todo peligro, dao o
riesgo, y que es, en cierta manera, infalible... para el caso de sistemas
informticos, es muy difcil de conseguir (segn la mayora de los expertos,
imposible) por lo que se pasa a hablar de confiabilidad.
[IRAM/ISO/IEC17799] sostiene que la seguridad de la informacin protege a sta de
una amplia gama de amenazas, a fin de garantizar la continuidad comercial,
minimizar el dao al negocio y maximizar el retorno sobre las inversiones y las
oportunidades.
En cualquier entorno informatizado es necesario estar protegido de las mltiples (y
hasta desconocidas) amenazas, garantizando, fundamentalmente, la preservacin de
tres caractersticas:

Integridad: que se proteja la exactitud y totalidad de los datos y los mtodos


de procesamiento;

Confidencialidad: que la informacin sea accesible slo a las personas


autorizadas;

Disponibilidad: que los usuarios autorizados tengan acceso a la informacin y a


los recursos cuando los necesiten;

[IRAM/ISO/IEC17799] tambin agrega La seguridad de la informacin se logra


implementando un conjunto adecuado de controles, que abarca polticas, prcticas,
procedimientos, estructuras organizacionales y funciones del software.
Para la realizacin de este trabajo se han estudiado diversas metodologas de
seguridad citadas en el Anexo I, que cubren distintos aspectos, pero ninguna tiene
un enfoque estructural similar al que un Ingeniero en Informtica le da a los
problemas, segn la visin que se adquiere con la formacin en la Universidad.

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Adems, la bibliografa relacionada ofrece soluciones puntuales para problemas


especficos de seguridad, pero no da una solucin integral al problema.
La motivacin de este trabajo es la falta de una herramienta que les permita a los
profesionales de Informtica analizar e implementar tcnicas de seguridad en
entornos informatizados bajo la visin del Ingeniero.
El propsito del presente proyecto es formalizar una metodologa prctica, y factible
para convertir entornos informatizados inseguros en entornos protegidos, y lograr
una clara evaluacin de los mismos, teniendo en cuenta el objetivo y los procesos del
negocio.
El principal objetivo, entonces, es proveer a los Ingenieros en Informtica y
Licenciados en Anlisis de Sistemas de una herramienta con modelos estructurados
para que, de forma ordenada y efectiva, les facilite y les gue en la tarea de dar
informe de las vulnerabilidades presentes en el entorno en que trabajan y las
posibles soluciones, para luego implementarlas con xito y as lograr una efectiva
proteccin y documentacin del entorno objetivo.
Esta metodologa estar compuesta por una serie de fases en las que se aplicarn
procedimientos y se buscar el conocimiento de los procesos, y a su vez, una
completa documentacin que avale y acompae al proyecto y que sirva de referente
a lo largo de la vida operativa del entorno.
Se pretende que esta metodologa cree un cambio cultural en el ambiente donde se
implementa (una empresa informatizada, un sector informatizado de un negocio,
etc.), al aplicar polticas que afecten al personal, al uso de los recursos y a la forma
de trabajo, adems de una conciencia integral de la importancia de la seguridad en
entornos informatizados y las implicancias de las falencias en este tema.
Este proyecto est destinado a aplicarse en entornos en los que nunca se han
realizado controles de seguridad, como en los que estn bajo un rgimen de
seguridad controlado, sobre el que se desea evaluar su efectividad, o comprobar su
completitud.
Al hablar de sistema inseguro se hace referencia a un sistema no confiable, no
auditado, no controlado o mal administrado con respecto a la seguridad.
NOTA: De ahora en ms se har referencia al experto en seguridad, actor
protagonista del proceso de aseguramiento aqu presentado, como ES.

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

2. Estado del Arte de la Seguridad Informtica.


Bsicamente, los problemas de Seguridad Informtica son sucesos que no deseamos
que ocurran. La mayora son inesperados, aunque en muchos casos se pueden
prevenir.
Cuando hablamos de incidentes de Seguridad, o problemas de Seguridad Informtica
nos referimos a:

Acceso no autorizado a la informacin;

Descubrimiento de informacin;

Modificacin no autorizada de datos;

Invasin a la privacidad;

Denegacin de servicios;

Etc.

Cada entorno informatizado es diferente, y maneja distintos tipos de informacin, y


por ende, es distinta la forma en que se tratan los datos.
Los componentes de los entornos informatizados son distintos, por lo que las
especificaciones de seguridad asociadas a cada uno vara notablemente dependiendo
de la tecnologa utilizada a nivel de plataforma, software base y dispositivos fsicos.
La funcionalidad y caractersticas tcnicas de los componentes de los entornos varan
notablemente segn la marca, en particular en los aspectos concernientes a la
seguridad.
Hoy en da la amenaza ms comn en los ambientes informatizados se centra en la
eliminacin o disminucin de la disponibilidad de los recursos y servicios que utiliza el
usuario.
El crecimiento de las telecomunicaciones y la estricta dependencia que existe entre el
negocio de las empresas y la tecnologa informtica hace crtica la inversin en
seguridad. Cada vez ms los procesos comerciales se ven estrechamente ligados a
procesos informticos.
Prcticamente toda la informacin vital para el negocio de una compaa comercial se
encuentra informatizada, no slo almacenada en dispositivos electrnicos, sino que,
en la mayor parte de los casos, se encuentra distribuida fsicamente y viaja
constantemente a travs de medios pblicos como redes de telefona e Internet.
Es por eso que se pone nfasis en el crecimiento de soluciones para el problema de la
Seguridad Informtica, por lo que el conocimiento en esta rea ha crecido
8

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

enormemente en los ltimos aos, al punto en que somos capaces de afirmar que es
posible lograr una completa enumeracin de las fallas de seguridad de los sistemas y
los entornos en los que viven.
Estas fallas de seguridad son las que se convierten en amenazas susceptibles de ser
aprovechadas por usuarios malintencionados para causar dao o algn tipo de
invasin a la confidencialidad.
Protegerse contra accesos no autorizados es el problema ms sencillo a resolver, ya
que durante aos se han desarrollado y perfeccionado algoritmos matemticos para
la encripcin de datos, para el intercambio seguro de informacin, para garantizar el
correcto funcionamiento del software, que se ha traducido en herramientas capaces
de proporcionar soluciones rpidas y sencillas a problemas tcnicos de seguridad.
Desafortunadamente, no es suficiente simplemente arreglar los errores o eliminar las
fallas tcnicas de seguridad. El problema va mucho ms all.
La Seguridad Informtica es un problema cultural, en el que el usuario juega un rol
protagnico.
La responsabilidad sobre la seguridad de los datos y equipos ya no recae solamente
en el personal tcnico especializado encargado de resguardar los bienes y servicios
brindados por el entorno, sino que es el usuario el que debe velar por la seguridad de
los bienes fsicos y lgicos que maneja.
Para ello debe existir una conciencia de trabajo seguro, de resguardo de la
confidencialidad y de proteccin de los activos utilizados a diario en el trabajo de
cada individuo.
Por esta razn la seguridad Informtica debe estar incorporada desde el principio de
todo proceso, desde el diseo para garantizar la evaluacin de todos los factores
funcionales (y no solamente los tcnicos) a tener en cuenta para el uso seguro del
entorno. Si esto sucede, el objetivo inicial de la seguridad habr sido logrado.
La seguridad, entonces, debe nacer en el diseo seguro de los sistemas, de la
correcta formacin de la estructura de la organizacin, de la adecuada distribucin de
tareas y contraposicin de intereses en los roles de control y ejecucin de tareas.
Luego de lograr eso se deben implantar medidas de ndole tcnica que garanticen el
adecuado uso de los recursos y servicios solamente a los usuarios autorizados, y la
disponibilidad de los mismos.
Pero lo importante es ver que la Seguridad Informtica ya no es un problema de la
gente especializada en sistemas, sino que ha salido de los laboratorios y los centros
de cmputo para instalarse en el escritorio del usuario, en donde nacen los
problemas de Seguridad.

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

3. Motivacin para la realizacin de este trabajo


Este trabajo es la culminacin de muchos aos de estudio, en los que incursion en
tcnicas, modelos, formas de trabajo, teoras, estudios y descubrimientos y a travs
de ellos me empap de conocimientos en las distintas formas en que los presenta la
ciencia.
Durante los aos transcurridos en la facultad, mi forma de pensar se fue modelando,
puliendo, transformando, de modo de lograr una visin distinta de la vida, no solo de
los problemas de la ingeniera.
Luego, al ingresar en el mundo laboral, descubr que los aspectos del negocio tienen
una influencia crucial en la toma de decisiones en todos los aspectos, incluido el de
las soluciones informticas.
En el tiempo que llevo tratando clientes, observando distintas realidades, y
conociendo su negocio, como el de la industria petrolera, el de la industria del maz,
el de los laboratorios qumicos, el de entidades estatales, el de los bancos, el de las
lneas areas, entre otros, aprend que es fundamental tener en cuenta los procesos
del negocio al evaluar los procesos informticos.
Es por eso que en este trabajo pretendo traducir el conocimiento en seguridad
informtica disperso por el mundo en sus distintas formas, ya sea de conocimiento
pblico o el privado al que pueda acceder, para crear una herramienta de trabajo
que siga la lnea de pensamiento del Ingeniero de la UBA, agregando a esta lnea de
pensamiento la incursin en los procesos de negocio del cliente con que se trabaje,
para ofrecerle la mejor solucin.
Particularmente como alumna, el tema me fue atrapando luego de cursar la materia
Introduccin a los sistemas distribuidos en la que se vieron tcnicas de seguridad
en el contexto del modelo TCP/IP.
En esa oportunidad la seguridad informtica fue presentada con seriedad, aunque de
forma escueta, pero especialmente logr despertar mi inters personal, por lo que
comenc a investigar sobre el tema.
Un tiempo despus descubr de la existencia de la asignatura Criptografa y
Seguridad Informtica dictada como materia optativa en la carrera Ingeniera
Electrnica. Inmediatamente me interes en la misma y realic los trmites
correspondientes para lograr la autorizacin para cursarla y la aceptacin de los
crditos como materia optativa.

10

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Pude cursarla efectivamente y aprobarla en el segundo cuatrimestre del ao 2002, lo


cual dej una marca importante en mi formacin profesional ya desde mi condicin
de alumna.
Luego continu investigando sobre el tema, pero not que la informacin se
encontraba dispersa y desordenada; sin embargo tambin not que la bibliografa era
en general muy especfica.
Considero muy importante para la formacin de los Ingenieros en Informtica la
educacin en Seguridad Informtica.
Cualquier profesional de esta carrera debera poseer un mnimo conocimiento sobre
el tema que le permita profundizar en el aspecto que considere necesario.
Es por esto que decid realizar este trabajo con la idea de que sirva de gua para los
colegas en el trabajo de detectar fallas de seguridad y recomendar soluciones en el
aspecto del entorno en que se est trabajando, que a fin de cuentas este es el
trabajo del ingeniero: dar soluciones.

4. Alcance de la tesis
En esta tesis se desarrollar una metodologa de trabajo.
Se describirn las tareas y subtareas a realizar para obtener resultados especficos,
se indicar un orden para realizarlas, se servir de documentacin a desarrollar para
completar informes y relevamientos, se dar un marco general para el desarrollo del
proyecto de aseguramiento del entorno en estudio, pero no se entrar en detalle en
los siguientes temas:

Administracin del proyecto:


No se entrar en detalles en la formalizacin del Alcance, ni en la estimacin de
tiempos y costos del proyecto, ya que son tareas puramente administrativas que
no hacen al problema de aseguramiento del entorno informatizado.

Vulnerabilidades conocidas en sistemas operativos y aplicaciones:


No se enumerarn las vulnerabilidades conocidas en software base ni en
aplicativos, ya que stas cambian y se incrementan da a da, lo que restara
escalabilidad y vigencia en el tiempo a la tesis.

Implantacin de las soluciones en plataformas tecnolgicas especficas:

11

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

No se entrar en detalle en configuraciones ni ejecucin de procesos especficos


para solucionar problemas de seguridad en sistemas operativos ni software
aplicativo pues se pretende hacer una metodologa portable, independiente de la
plataforma tecnolgica.

5. Organizacin del documento


El trabajo ha sido desarrollado en seis partes:
I.

ndice

II.

Prefacio

III.

Introduccin

IV.

Desarrollo de la Metodologa AEI

V.

Conclusin

VI.

Bibliografa

VII.

Anexo I. MAEI Resumen de Fases y Tareas

VIII.

Anexo II. Estndares Internacionales. Resea introductoria.

IX.

Anexo III. Glosario de trminos.

A su vez, la parte IV, Desarrollo de la Metodologa AEI, est organizada en seis


captulos correspondientes a cada una de las fases de la metodologa que aqu se
presenta. Los captulos son los siguientes:
1.

Definicin del Alcance.

2.

Relevamiento.

3.

Planificacin.

4.

Implantacin.

5.

Estabilizacin.

6.

Mantenimiento.

12

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

III. INTRODUCCIN.

1. La metodologa.
La metodologa propuesta se compone de seis fases que agrupan etapas. Estas fases,
a su vez, desde un aspecto macroscpico se pueden generalizar en dos grandes
grupos: el estudio del entorno y la implantacin de la solucin.

1.1 El estudio del entorno.


En este primer grupo de fases se encuentran:

La definicin del Alcance;

El Relevamiento;

La Planificacin.

Aqu se fija como objetivo conocer al entorno informatizado donde se implementar


la metodologa, a fin de asegurarlo.
Este conocimiento implica la intervencin del usuario, que aportar el conocimiento
personal desde su perspectiva, tambin aportar inquietudes y necesidades que
ayudarn al ES a dar la solucin ms satisfactoria para el cliente.
Cliente es toda entidad, empresa, organismo o persona que presente su entorno
informatizado con el fin de que el ES lo analice y lo asegure.
En este estudio, el ES investiga, observa, documenta. Investiga cmo se trabaja,
cmo est formada la empresa, qu tecnologa posee, cmo sta es utilizada.
Observa cmo se manejan los empleados, cules son las polticas implcitas en el
entorno con respecto al trabajo, al manejo de la informacin y de los bienes.
Documenta en un formato comprensible el conocimiento que l adquiere, para el
intercambio con el usuario, y como fuente para el desarrollo de la solucin de la
prxima etapa de la metodologa.

1.2 La implantacin de la solucin.


Este segundo grupo de fases comprende:

13

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

La Implantacin de la solucin;

La Estabilizacin del entorno;

El Mantenimiento de la solucin, para guardar el entorno en condiciones


confiables de seguridad.

En esta parte el ES ya conoce el entorno objetivo, por lo que se dedica a hallar la


solucin que mejor se adapte al mismo.
Vuelca la planificacin a la prctica, a travs de la implantacin de las tcnicas que se
eligieron en la etapa anterior, genera y desarrolla los modelos de anlisis que forman
parte del Plan de Aseguramiento y que le servirn de ah en adelante, durante toda la
vida del ambiente.
Luego de la ejecucin del Plan de Aseguramiento, el entorno objetivo se estabiliza
determinando una adecuada capacitacin de los usuarios, y verificando los beneficios
logrados como resultado.
La implantacin se cierra, aunque siempre queda latente una extensin de la misma
que se ocupar del registro de incidencias, de cambios en los bienes fsicos y lgicos,
entre los que se considerarn las peridicas actualizaciones de software antivirus y
otras tcnicas a aplicarse con regularidad para mantener el nivel de seguridad a
medida que el entorno cambia.
A continuacin se exhibe un diagrama que muestra las fases:

14

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Plan de
aseguramiento
aprobado?

No

Implantacin de
la solucin

Planificacin

Relevamiento

Definicin del
Alcance

Implantacin

Estabilizacin

Estudio del
Entorno

Entorno
inseguro

Entorno
protegido

Mantenimiento

2. Descripcin de las fases.


Las siguientes son las fases de la metodologa AEI, con las principales etapas que las
constituyen. Las mismas se desarrollarn en detalle en la parte IV de este trabajo,
Desarrollo de la metodologa AEI.

1. Definicin del Alcance


En esta fase se determinan qu aspectos, sectores, reas y recursos se van a
proteger.
Se desarrolla en cinco subfases:
1.1

Anlisis de requerimientos de usuario


En esta etapa se realiza la negociacin con el cliente sobre los niveles,
sectores, servicios y activos a proteger en funcin de los requerimientos
que hace el usuario.

1.2

Elaboracin del Alcance


Se confecciona un documento detallando objetivos claros y puntuales que se
debern cumplir en el proceso de aseguramiento.

1.3

Aprobacin del Alcance

15

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

En esta etapa el cliente determina la aprobacin o el rechazo del Alcance, de


manera de continuar o no con el proyecto, o ver las modificaciones que l
propone.
1.4

Estimacin de tiempos y costos


Parte destinada a la determinacin aproximada de la duracin del proyecto y
de los costos asociados: recursos financieros, recursos humanos, recursos
recurrentes y no recurrentes, etc.

1.5

Elaboracin del Plan de Trabajo


Luego del anlisis anterior, y con el objetivo bien claro, el ES confecciona el
plan a seguir estimando perodos de trabajo, asignacin de recursos y
fechas de presentacin de los entregables.

2. Relevamiento
En esta etapa el ES comienza a familiarizarse con el entorno a proteger, mediante
la identificacin de los elementos que lo componen.
Comprende las siguientes etapas:
2.1

Elaboracin del Relevamiento General


El ES realiza una inspeccin general sobre los aspectos de la organizacin,
de su negocio y de los bienes.

2.2

Elaboracin del Relevamiento de Usuario


Consiste en obtener informacin del usuario respecto de las costumbres y
usos del sistema, el manejo de la informacin, y el nivel de conciencia del
usuario respecto a las potenciales amenazas existentes en su entorno.
Se elabora el Relevamiento de Usuario.

2.3

Anlisis de vulnerabilidades
Determinacin de las amenazas presentes en la organizacin respecto de la
seguridad.

2.4

Anlisis de riesgos
Se analiza el impacto y la probabilidad de ocurrencia de las vulnerabilidades
detectadas en la etapa anterior, el riesgo que implican y los potenciales
nuevos riesgos a los que est expuesto el entorno.

3. Planificacin
Esta fase comprende el anlisis detallado de los puntos a proteger estudiando el
entorno en distintos aspectos: el fsico, el lgico y el de la organizacin.
3.1

Elaboracin del Plan de Aseguramiento


16

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

El Plan de Aseguramiento es el documento que describe las medidas que se


tomarn para asegurar el sistema, segn los objetivos planteados en el
Alcance.
3.2

Aprobacin del Plan de Aseguramiento


El Plan de Aseguramiento debe ser consensuado por el cliente para
comenzar su implantacin. Por motivos de presupuesto, de poltica, u otras
causas el responsable del proyecto por parte del cliente puede solicitar
recortes o ampliaciones del Plan, que sern analizadas por el ES quien
deber exigir una justificacin por todos los cambios solicitados, y presentar
los riesgos que estos generen en el entorno.

4. Implantacin
En esta fase se llevar a cabo el Plan de Aseguramiento antes propuesto (y
aprobado) y las etapas de ajuste poltico y organizativo que el ES considere
necesarias.
Vemos a continuacin las etapas de esta fase:
4.1

Elaboracin del Relevamiento de Activos


Es una enumeracin detallada de los bienes fsicos y lgicos de la empresa,
junto con una asignacin de responsabilidades sobre cada activo, y la
valoracin de su criticidad a nivel de la seguridad, y la clasificacin de la
informacin en cuanto a su criticidad.
En esta etapa se elabora el Inventario de Activos

4.2

Clasificacin de la Informacin
A partir del anlisis de criticidad de los activos, se procede a clasificar la
informacin segn su grado de criticidad en cuanto a la disponibilidad,
confidencialidad e integridad. Esto permitir determinar las medidas
necesarias de seguridad a fijar en el marco normativo de la empresa.

4.3

Elaboracin/adaptacin de la Normativa de Seguridad


Esta etapa de la implantacin consiste en el punto de partida del proceso de
aseguramiento de un entorno. Pretende establecer las pautas, los requisitos
legales, normativos, reglamentarios y contractuales que deben cumplir
todos los miembros de la organizacin, sus socios comerciales, los
contratistas y los prestadores de servicios.

4.4

Publicacin de la Normativa de Seguridad


Una vez elaborada, se debe dar a conocer el Manual de Seguridad de la
organizacin, haciendo firmar los convenios de confidencialidad existentes y
la confirmacin de lectura y conocimiento de las Normas por parte de los
usuarios.

17

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

4.5

Implantacin del Plan de Aseguramiento


En esta etapa se implantarn todas las medidas planificadas especialmente
para el entorno objetivo, en cada nivel analizado: fsico, lgico y de la
organizacin.

4.6

Elaboracin del Plan de Recuperacin del Entorno ante Desastres


El Plan de Recuperacin del Entorno ante Desastres consiste en un plan para
garantizar la continuidad del negocio cuando ocurran eventuales catstrofes
de distinta ndole.
Para la elaboracin de este plan se deber tener en cuenta la criticidad de
las aplicaciones y de los equipos, y el riesgo al que estn expuestos, segn
lo estudiado en la etapa 2.2 de la fase de Alcance.
Los desastres pueden ser naturales (inundaciones, cadas de rayos,
tormentas elctricas), provocados intencionalmente (sabotaje, hurto,
negacin de servicio), por error humano (incendios, destruccin accidental
de informacin) o, fallas mecnicas o elctricas inherentes a los equipos
(rotura de discos, placas de red quemadas).
En todos los casos habr que prever cierto nmero de accidentes, su
probabilidad de ocurrencia, identificar los equipos y aplicaciones crticas para
el funcionamiento del negocio, y crear un plan de contingencia que garantice
la continuidad del negocio y la recuperacin del entorno informatizado en un
tiempo adecuado.

5. Estabilizacin
En este perodo se pretende estabilizar el entorno ya que a esta altura del
proyecto, seguramente ha sufrido numerosos cambios.
Se hace una observacin y evaluacin de la implantacin en las siguientes
etapas:
5.1

Anlisis de resultados
En esta etapa se cotejan los resultados obtenidos con el Alcance planteado
en la fase 1 de esta metodologa y se evalan los resultados obtenidos: los
objetivos logrados y los puntos postergados o descartados con su respectiva
justificacin.

5.2

Ajuste
Esta subfase de estabilizacin est dedicada a realizar ajustes sobre el Plan
de Aseguramiento segn los resultados obtenidos y analizados en la etapa
anterior de esta misma fase y los inconvenientes o nuevos requerimientos
que pudieran surgir en la etapa de implantacin.

18

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Los puntos de control que necesiten cambios, mejoras o los que surjan
durante el proyecto se tomarn en cuenta para completar y adaptar el Plan
de aseguramiento para una segunda implementacin, delimitando
nuevamente su Alcance, que podr reducirse a aplicar solamente los
cambios surgidos en esta etapa para lograr un completo aseguramiento del
entorno.
5.3

Cierre de la implantacin
El cierre de la implantacin se realiza cuando se concluyeron los ltimos
controles que constituyen el Plan de Aseguramiento y concluidas las etapas
de concientizacin y capacitacin de usuarios de la fase 4 de esta
metodologa.

5.4

Capacitacin de usuarios
Se les explica a los usuarios los cambios efectuados, los nuevos procesos y
formas de proceder ante incidencias, y la manera en que deben administrar
la seguridad para mantener el entorno protegido.

6. Mantenimiento
Esta fase comienza posteriormente a la implantacin del Plan de Aseguramiento,
luego de la estabilizacin del entorno y se mantiene durante toda su vida.
Durante la vida del entorno ocurrirn incidencias y cambios que debern ser
analizados y documentados, as como tambin se debern llevar a cabo controles
peridicos y aplicar las correspondientes actualizaciones para mantener un nivel
confiable de seguridad en el entorno, en las siguientes subfases:
6.1

Control de incidencias
Esta fase se ocupa de analizar y documentar las incidencias ocurridas del
uso diario de los recursos, tales como:

Mal funcionamiento de elementos de hardware;

Ruptura de elementos de hardware;

Anomalas en productos de software;

Fallas en procesos;

Deteccin de virus malignos;

Avero de documentacin;

Prdida de bienes;

Etc.

Todo incidente, incluso los no especificados en este trabajo, deber ser


reportado a quien corresponda, segn lo especificado en la Normativa de
seguridad, mediante un Reporte de Incidencias, y asentado en el Registro de
Incidencias por el responsable a cargo. El Registro de Incidencias es un
documento destinado para tal fin.

19

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

[IRAM/ISO/IEC17799] hace referencia a este importante punto:


Los incidencias que afectan la seguridad deben ser comunicados mediante
canales gerenciales adecuados tan pronto como sea posible. Se debe
concientizar a todos los empleados y contratistas acerca de los
procedimientos de comunicacin de los diferentes tipos de incidencias
(violaciones, amenazas, debilidades o anomalas en materia de seguridad)
que podran producir un impacto en la seguridad de los activos de la
organizacin.
6.2

Control de cambios
Durante la vida del sistema se producirn cambios en el aspecto lgico como
fsico, que debern ser detalladamente registrados. Se deber documentar
cada Alta, Baja o Modificacin de activos en un archivo especfico que
llamaremos ABM Activos, y que est directamente relacionado con el
Inventario de Activos.
Esta etapa incluye la peridica actualizacin de software antivirus y de
deteccin de intrusos, la revisin peridica del archivo de los registros de log
del sistema, el mantenimiento de las dems herramientas de las que se
hace uso durante la implantacin, etc.
El ES establecer los perodos con que se realizan los controles establecidos
en el plan de aseguramiento, segn l lo crea conveniente para el caso en
estudio.

A continuacin se muestra una tabla con las fases y etapas de esta metodologa y la
documentacin propuesta para su implantacin:

FASE / ETAPA

ACTOR

ENTREGABLE

1 Definicin del Alcance


1.1 Anlisis de requerimientos de usuario

ES, cliente

Documento
Usuario

1.2 Elaboracin del Alcance

ES, cliente

Alcance

1.3. Aprobacin del Alcance

cliente

1.4 Estimacin de tiempos y costos

de

Requerimientos

de

ES

1.4.1 Costos capitales


1.4.2 Costos recurrentes
1.4.3 Costos no recurrentes
1.5 Elaboracin del Plan de Trabajo

ES

Plan de Trabajo

2 Relevamiento
2.1 Elaboracin del Relevamiento General
2.2 Elaboracin del Relevamiento de Usuario

ES,
usuarios
ES

Relevamiento General
Relevamiento de Usuario

20

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

FASE / ETAPA

ACTOR

ENTREGABLE

2.3 Anlisis de vulnerabilidades

ES

Mapa de Vulnerabilidades

2.4 Anlisis de riesgos

ES

Informe de Riesgos

3 Planificacin

ES

3.1 Elaboracin del Plan de Aseguramiento

ES

Plan de Aseguramiento

3.1.1 Proteccin fsica

ES

Plan de Aseguramiento,
Elementos de Red

3.1.1.1 Proteccin de las instalaciones

ES

Plan de Aseguramiento

3.1.1.2 Proteccin de los equipos

ES

Plan de Aseguramiento,
Elementos de Red

3.1.2 Proteccin lgica

ES

Plan de Aseguramiento, Mapa de


Usuarios, Inventario de Backups,
Documento
de
Actualizacin
de
Software, Tabla de Permisos sobre
Activos Lgicos

3.1.2.1 Proteccin de la informacin

ES

Plan de Aseguramiento

3.1.2.2
Proteccin
Operativos

de

los

Sistemas

Mapa

de

Mapa

de

Plan de Aseguramiento, Mapa de


Usuarios, Registros y archivos de Log

3.1.2.3 Proteccin de los datos

ES

Plan de Aseguramiento, Tabla de


Permisos sobre Activos Lgicos,
Documento
de
actualizacin
de
Software, Inventario de backups,

3.1.2.4 Proteccin a nivel de la organizacin

ES

Plan de Aseguramiento

3.2 Aprobacin del Plan de aseguramiento

cliente

4 Implantacin
4.1 Elaboracin del Relevamiento de Activos

ES

4.1.1 Inventario de activos

Inventario de Activos, ABM Activos


Inventario
de
Activos
Fsicos,
Inventario de Activos Lgicos

4.1.2 Rotulacin de activos

ES

Inventario de Activos

4.1.3 Anlisis de criticidades

ES

Inventario de Activos

4.2 Clasificacin de la informacin

ES

4.3 Elaboracin/adaptacin de la Normativa


de Seguridad

ES

4.3.1 Interiorizacin del experto con la


poltica y negocio de la organizacin

cliente

4.3.2
Elaboracin/adaptacin
Normativa de Seguridad

de

la

ES

Manual de Seguridad
Organigrama,
documentacin
proceso comercial, etc.

del

Manual de Seguridad

4.3.3 Aprobacin de la Poltica de Seguridad


4.4 Publicacin
Seguridad

de

la

Normativa

de

4.4.1 Implantacin de una campaa de


concientizacin

Comunicados,
Documentacin,

Presentaciones,

4.4.2 Capacitacin de usuarios

Presentaciones,
Documentacin,
Manual de Seguridad

4.5 Implantacin del Plan de Aseguramiento


4.5.1 Implantacin a nivel fsico

ES

Inventario de Activos, ABM Activos

4.5.2 Implantacin a nivel lgico

ES

Inventario de Activos, ABM Activos

4.5.3

Implantacin

nivel

de

la

21

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

FASE / ETAPA

ACTOR

ENTREGABLE

organizacin
4.6 Elaboracin del Plan de Recuperacin
del Entorno ante Desastres

Tabla de Criticidades por Equipo,


Tabla de Criticidades por Servicio,
Tabla de Criticidades por Aplicacin,
PRED, Procedimiento de Declaracin
de la emergencia, Procedimiento de
Recuperacin de las prestaciones,
Procedimiento de Reestablecimiento
de las Condiciones Normales

5 Estabilizacin
5.1 Anlisis de resultados

ES

Informe de Implantacin

5.3 Cierre de la implantacin

ES

Informe de Cierre de la Implantacin

5.4 Capacitacin de usuarios

ES

Manual de Seguridad, Manual de


Procedimientos sobre Reporte de
Incidencias,
presentaciones,
Manuales,
Folletos,
Cursos,
Comunicados

6.1 Control de incidencias

ES, cliente

Reportes de Incidencias, Registro de


Incidencias

6.2 Control de cambios

ES, cliente

Formulario de Control de Cambios,


ABM
Activos,
Documento
de
Actualizaciones de software

5.2 Ajuste

6 Mantenimiento

22

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

IV. DESARROLLO DE LA METODOLOGA AEI


La metodologa de Aseguramiento de Entornos Informatizados (MAEI) de desarrolla
en las siguientes fases:
1.

Definicin del Alcance

2.

Relevamiento

3.

Planificacin

4.

Implantacin

5.

Estabilizacin

6.

Mantenimiento

Estas fases, como vimos en la introduccin, se categorizar formando dos grandes


grupos segn el objetivo que persiguen: el estudio del entorno y la implantacin de
la solucin.
Partiendo de un entorno inseguro o desprotegido, a travs de las primeras tres fases
de la MAEI se logra un estudio del entorno que le aporta el ES el conocimiento
necesario para encarar la solucin de los problemas de seguridad detectados.
Es en esta parte en que el ES delimita el entorno elaborando el Alcance, que abarca
los activos lgicos y fsicos afectados en el anlisis.
Una vez delimitada el rea de trabajo o entorno objetivo, se procede a realizar el
sondeo que conducir al conocimiento funcional y tcnico detallado del entorno, sus
activos, los empleados, los procesos y procedimientos involucrados que se registrar
en los respectivos documentos de Relevamiento.
Para finalizar esta primera parte del trabajo, el ES construye el Plan de
Aseguramiento del Entorno que contendr todos los objetivos de control deseados y
la forma de implantarlos en el entorno para asegurarlo.
Todas las tareas desarrolladas en esta etapa inicial conducen a la familiarizacin del
Experto con el entorno y su conocimiento. Esto le permitir al Experto determinar las
mejores medidas a tomar para asegurar el entorno objetivo.
Esta Tesis se basa en estndares internacionales, Normas y las mejores prcticas
profesionales, por lo que no es necesario poseer un conocimiento especializado en
Seguridad Informtica para utilizar la Metodologa AEI. Sin embargo, se confa en el
buen criterio del Ingeniero o Licenciado en Anlisis de Sistemas que la utilice para
lograr la mejor implementacin de la solucin.

23

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Continuando con la metodologa, la segunda parte del trabajo consiste en llevar a la


prctica los controles planificados antes, en la fase que llamamos Implantacin.
Luego de la implantacin de los controles y las mejoras en los procesos que conducen
a la obtencin de los objetivos fijados en el Plan, el ES deber realizar un balance
ponderando los objetivos fijados al principio del proyecto con los resultados obtenidos
en la ltima etapa. Su trabajo aqu es evaluar la implantacin, su grado de xito y
realizar los ajustes al Plan que sean necesarios para completar el aseguramiento del
entorno. A esta fase la llamamos Estabilizacin.
Finalmente nace una fase que se mantendr a lo largo de toda la vida del entorno: la
fase de Mantenimiento, que acompaa todos los cambios en el entrono persiguiendo
la preservacin de su seguridad.
En esta etapa, la etapa final de la MAEI, el entorno se convierte en seguro y se
mantiene de esa forma hasta que se implanten cambios lo suficientemente grandes
como para que se deba considerar la construccin de un nuevo Plan de
Aseguramiento. En este caso la metodologa EAI permite reiniciar el proceso
haciendo mucho ms cortas las etapas iniciales, saltando tareas de sondeo como la
realizacin del Relevamiento General y el Relevamiento de Usuario, que ya han sido
realizados no requieren mayor detalle.
Como vimos, entonces, partiendo de un entorno inseguro, realizando las tareas que
forman parte de las primeras tres fases de la MAEI, en una primera etapa se logra el
conocimiento del entorno. Siguiendo con la implantacin de la solucin, a travs de
las tres ltimas fases compuestas por tareas de implantacin, control y mejora
continua, se obtiene un entorno seguro, que es el objetivo de este trabajo.

24

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

DEFINICIN DEL ALCANCE

Contenido:
1.1 Anlisis de Requerimientos de Usuario
1.1.1 Documento de Requerimientos de Usuario
1.1.2 Ejemplo - Documento de Requerimientos de Usuario
1.2 Elaboracin del Alcance
1.2.1 Alcance
1.2.2 Ejemplo - Alcance
1.3 Aprobacin del Alcance
1.4 Estimacin de tiempos y costos
1.4.1 Costos capitales
1.4.2 Costos recurrentes
1.4.3 Costos No recurrentes
1.5 Elaboracin del Plan de Trabajo

25

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

1.1 Anlisis de Requerimientos de Usuario


En esta etapa el ES se pone en contacto con el cliente (la persona o entidad
interesada en asegurar el entorno objetivo) y escucha e interpreta lo que el usuario
le pide.
En general el usuario no sabe qu es lo que quiere asegurar, por eso es tarea de ES
orientarlo en el campo mostrndole los distintos aspectos que se deberan asegurar,
para determinar a qu nivel el usuario desea que se realice el proyecto de
aseguramiento.
A partir de esta decisin el ES concentrar su esfuerzo en el Relevamiento General y
en el Relevamiento de usuario, haciendo foco en el o los aspectos que el usuario
seal.
Muy probablemente el usuario no tenga claro siquiera qu nivel desea proteger
(fsico, lgico u organizacional) y dejar la decisin en manos de ES.
El ES puede, entonces, pasar a las etapas siguientes de esta fase de la MAEI para
detectar a grandes rasgos las mayores falencias en cuanto a seguridad por nivel (a
so apunta el Relevamiento de Usuario) y ofrecer los resultados al cliente para que
este decida el camino a seguir.

1.1.1 Documento de Requerimientos de Usuario


De una forma u otra, el ES registrar el pedido del usuario en un documento llamado
Documento de Requerimientos de Usuario, que contendr la voluntad del usuario
respecto de los niveles y elementos a asegurar.
El Documento de Requerimientos de Usuario contendr la siguiente informacin:
Niveles a asegurar:

Nivel fsico;

Nivel lgico;

Nivel de la Organizacin.

Elementos a asegurar por nivel:

26

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Nivel fsico:
o

Nivel lgico:
o

Elementos a asegurar del nivel fsico.

Elementos a asegurar del nivel lgico.

Nivel de la organizacin:
o

Elementos a asegurar del nivel de la organizacin.

1.1.2 Ejemplo - Requerimientos de Usuario

Niveles a asegurar:

Nivel fsico;

Nivel lgico.

Elementos a asegurar por nivel:

Nivel fsico:
o

Proteccin del acceso a los servidores;

Proteccin de los equipos;

Controlar el acceso del personal y determinar a qu usuarios se les puede


permitir el uso de los distintos recursos y a cules se les debe restringir.

Nivel lgico:
o

Poner contraseas para el acceso a los servidores;

Hacer backup de los datos ms importantes;

Ver que nadie (usuarios no autorizados) puedan leer la base de datos de la


nmina de personal.

1.2 Elaboracin del Alcance


A partir de los requerimientos obtenidos del usuario se establece el alcance que
tendr el proyecto de aseguramiento del entorno informatizado objetivo.
27

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

En esta etapa se determinan claramente todos los puntos sobre los que se elaborar
el Plan de Aseguramiento y se registran en un documento elaborado para tal fin. Este
documento se llamar Alcance.
Cabe mencionar que el Alcance es elaborado por el ES con una adecuada
colaboracin del cliente, que deber asumir responsabilidad sobre los temas que se
decida dejar fuera del proyecto. ste deber reflejar objetivos claros y puntuales que
se debern cumplir en el proceso de aseguramiento.

1.2.1 Alcance
El Alcance deber contener la siguiente informacin:
Objetivo
Se define claramente lo que se pretende lograr en el proyecto.
Los objetivos deben responder al acrnimo SMART, que enmarca las prcticas
fundamentales necesarias para alcanzar alta motivacin y mejora para conseguir el
objetivo propuesto:
S : Simple, especfico con un significado preciso.
M: Meaningful (con significado), motivante, mensurable.
A: Aceptable, alcanzable orientado a la accin, acordado, activable, asignable.
R: Realstico, susceptible a revision, relative, compensatorio, razonable, orientado a
resultados, relevante a una misin.
T: Timelines (lneas de tiempo), con registro de fecha, relacionado con el tiempo,
tangible, basado en tiempo, especfico en el tiempo, limitado por el tiempo,
relacionado con el tiempo, verdadero.

Participantes del proyecto

Responsable por la empresa objetivo:


Ejecutivo de nivel gerencial que avala el proyecto.

Experto en Seguridad (ES):


Profesional responsable del diseo y planificacin del Plan de Aseguramiento del
entorno.
28

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Recursos afectados al proyecto:


Son personas que colaborarn durante todo el proyecto liderado por el ES.

Definicin del Entorno


Se debe determinar con precisin cul ser el entorno donde se implementar el
proyecto. El Alcance estar circunscrito a ese entorno y todas las referencias que se
hagan a l sern en relacin a esta definicin.
El entorno puede ser desde un equipo informtico hasta una Corporacin distribuida
en distintas regiones geogrficas; puede definirse como el edificio que alberga a la
empresa objetivo o como el Centro de Cmputos (CC) o Centro de Procesamiento de
Datos (CPD) donde se encuentran los servidores.

Niveles que cubrir el proyecto


Esto es, definir a qu nivel se har al estudio para lograr el aseguramiento.
Como se defini en la introduccin, el estudio se puede enfocar en alguno o todos
estos niveles:

Nivel fsico;

Nivel lgico;

Nivel de la organizacin.

Hitos a cubrir en cada nivel:


Definir a alto nivel qu hitos se debern cumplir a lo largo del proyecto.

Elementos fuera del Alcance


tems que se haya decidido dejar fuera del proyecto por diversos motivos;

Planificacin del trabajo

29

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Definicin de las etapas o fases en que se desarrollar el proyecto, a nivel macro, sin
entrar en detalle.
Entregables de cada etapa
El cliente debe ver el avance del proyecto a medida que transcurre el tiempo. Para
eso se define una serie de documentos o entregables de cada etapa del proyecto que
reflejarn el trabajo hecho.
Consideraciones adicionales
Consideraciones que el ES crea necesarias para el proyecto.

1.2.2 Ejemplo - Alcance


El siguiente ejemplo pretende mostrar los objetivos planteados en un Alcance
genrico, que abarca parte de los elementos susceptibles de ser analizados:
Objetivo
Crear e implementar los controles y medidas necesarias para cumplir con el nivel
medio de seguridad, segn los estndares de la empresa, en el corto plazo.
Participantes del proyecto
Responsable por la empresa objetivo:
Gerente del rea de sistemas, Ing. Francisco Lpez.
Recursos afectados al proyecto:
Project leader: ES
Recursos:
Carina Rodrguez
Pablo Benigno
Santiago Carpenari
Manuel Lopez
Cintia Kers
Definicin del Entorno
Se define como entorno al Centro de Procesamiento de Datos (CPD) de la compaa.
30

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Niveles que cubrir el proyecto


Nivel fsico;
Nivel lgico;
Nivel de la organizacin.

Hitos a cubrir en cada nivel


Alcance a nivel Fsico:
Proteccin del edificio contra el acceso fsico no autorizado;
Proteccin de las oficinas del sector de Cmputos contra el acceso fsico no
autorizado;
Proteccin del hardware e instalaciones del sector de Cmputos y de Ventas
contra el acceso fsico no autorizado;
Proteccin de la red de comunicaciones de toda la empresa contra el acceso
fsico no autorizado;
Proteccin de Cables;
Proteccin de Servidores;
Proteccin de la conexin greles.

Alcance a nivel Lgico:


Proteccin de los datos del sector de Cmputos contra el acceso no
autorizado;
Proteccin de la integridad de los datos del sector de Cmputos;
Proteccin de las aplicaciones de toda la empresa contra el acceso no
autorizado;
Implantacin de restricciones de uso de software
Implantacin de un sistema de administracin de usuarios y contraseas;

Alcance a nivel de la organizacin:


Elaboracin de la Normativa de Seguridad de la empresa;
Revisin de la estructura de la organizacin en el sector de Cmputos;
Proteccin de las marcas de la empresa;
Capacitacin de los empleados.

31

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Elementos fuera del proyecto


Los elementos pendientes que no formarn parte de este proyecto de aseguramiento
del entorno:
Regularizacin de la situacin de las licencias de software;
Proteccin del hardware e instalaciones del sector de Diseo y Manufactura;
Implantacin de medidas de prevencin de catstrofes naturales:
Incendios;
Inundaciones;
Cortocircuitos;
Etc;
Elaboracin de un Plan de Recuperacin del Entorno ante Desastres.

Planificacin del trabajo


El proyecto se llevar a cabo en las siguientes etapas:
Relevamiento;
Planificacin;
Implantacin;
Estabilizacin;
Mantenimiento.

Entregables de cada etapa:


Etapa 1:
Relevamiento general;
Relevamiento de usuario;
Mapa de vulnerabilidades;
Informe de Riesgos.
Etapa 2:
Plan de Aseguramiento;
Documento de Administracin de Backups;
Documento de Actualizacin de Software;
Mapa de Usuarios;
Tabla de Permisos sobre Activos Lgicos;

32

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Test de viabilidad.
Etapa 3:
Polticas

de

Seguridad,

Normas,

Procedimientos,

Estndares

Tcnicos,

Manuales de Procedimiento;
Inventario de Activos;
ABM de Activos;
Presentaciones y comunicados a usuarios como medio de capacitacin.
Etapa 4:
Informe de Implantacin;
Informe de cierre de la implantacin.
Etapa 5:
Registro de Incidencias.

1.3 Aprobacin del Alcance


Como documento inicial del proyecto el Alcance deber ser aprobado por los
responsables del lado del cliente, previo consenso con el ES encargado de la
elaboracin del Plan de Aseguramiento del entorno informatizado objetivo.

1.4 Estimacin de tiempos y costos.


Como en todo proyecto de IT, es necesario realizar una estimacin del tiempo que se
deber invertir y los recursos a asignar para culminar con xito y en un tiempo finito
el proyecto de aseguramiento del entorno.
Para la estimacin de tiempos no existe una frmula que determine el tiempo que
llevar cada tarea. La duracin de las mismas depende de muchos factores:

de la cantidad de recursos asignados;

de la calidad de esos recursos;

de la carga que se les pueda asignar a esos recursos;

de la experiencia de los recursos humanos involucrados;

33

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

del tamao del entorno;

de la complejidad del entorno;

de la estabilidad econmico-financiera de la empresa objetivo (pues el proyecto


puede perder prioridad ante situaciones de crisis);

del apoyo del nivel gerencial y la seriedad con que tomen el proyecto (pues
muchas decisiones surgirn a ese nivel, como la aprobacin de la poltica de
seguridad).

Es por eso que la experiencia le dar al ES la capacidad para medir el tiempo que le
llevar hacer cada tarea segn los parmetros antes mencionados.
La estimacin de costos, por otro lado, es una variable fundamental a determinar, en
la que la experiencia del ES se utiliza para la asignacin de recursos, a partir de la
cual se calculan los costos.
Para ello existen mtodos, pero no es el fin de este trabajo entrar en detalle al
respecto.
En esta seccin mencionaremos los costos que se debern tener en cuenta a nivel
general. Como en todo este trabajo, se deja la responsabilidad al ES de bajar el nivel
de anlisis, para que, siguiendo esta Metodologa para el Aseguramiento de Entornos
Informatizados, llegue al punto de reflejar el caso en el que est trabajando.
Los costos que genera un proyecto de IT como ste se pueden categorizar en 3
clases:

costos capitales;

costos recurrentes;

costos no recurrentes.

1.4.1 Costos capitales


Son los costos para adquirir, desarrollar, o instalar los principales bienes o activos.
Un activo principal es una ventaja palpable que tiene una vida til de ms que un ao
y se pretende continuar su uso con el tiempo.
Activos capitales estndar incluyen hardware de computadora (como computadoras
personales e impresoras) y software comprado como un paquete o desarrollado a
pedido.
Los siguientes son algunos ejemplos de costos capitales:
34

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Equipos de procesamiento de datos:


o

CPUs;

Workstations;

Laptops;

Unidades de almacenamiento externo (Discos rgidos externos);

Monitores;

Impresoras;

Scanners.

Equipos de telecomunicaciones:
o

Routers;

Switches;

Hubs;

Modems;

Servidores;

Cableado de red.

Software:
o

Sistemas operativos;

Aplicaciones;

Software de comunicaciones;

Utilitarios;

Firewalls;

IDSs.

Otros:
o

UPSs o SAIs;

Generadores de energa elctrica;

Mueblera.

1.4.2 Costos recurrentes


Los costos recurrentes son los costos que se presentan con regularidad.

35

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

En contraste con los costos capitales, los costos recurrentes deben ser tratados como
si fueran a ser pagados completamente al ser facturados.
Los costos recurrentes en general son costos operativos, en muchos casos fciles de
definir como alquileres de equipos y salarios. Otros son ms difciles de distinguir de
los costos capitales, como por ejemplo la compra de hardware y software, que
pueden ser tratados como costos capitales o recurrentes.
En el entorno de IT, los costos recurrentes son los siguientes:

Salarios
Incluye los costos por todos los empleados involucrados directa o indirectamente
con el proyecto, encargados del manejo, el soporte y la administracin del
proyecto en todas sus fases.

Contratos
Contratos a ser pagados regularmente durante la vida del entorno, como por
ejemplo:
o Contratos de mantenimiento de hardware;

Contratos de mantenimiento de software;

Contratos de operacin externa de IT (outsourcing).

Hardware:
o

Alquiler de equipos;

Actualizacin de equipos;

Mantenimiento interno.

Software:
o

Actualizacin de software;

Licencias de software;

Mantenimiento interno.

Telecomunicaciones:
o

Alquileres;

Transmisin de datos;

Mantenimiento.

Recursos humanos:
36

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Salarios;

Seguros;

Capacitacin;

Provisiones;

Viajes.

1.4.3 Costos No recurrentes


Los costos no recurrentes son los que se presentan una sola vez durante la vida del
proyecto de seguridad. Aunque aparecen una vez, suelen ser los mayores costos del
proyecto.
Por ejemplo, el costo de los empleados que se contratan para hacer tareas exclusivas
en proyecto, y que luego de terminado se retiran sin participar en ningn otro
proyecto, es un costo no recurrente.

Salarios;

Contratos;

Estudios

Anlisis de requerimientos, diseo, performance, estudios de viabilidad, etc;

Conversin de costos;

Provisin de datos;

Testing;

Auditoras internas;

Acondicionamiento del entorno;

Costos incidentales;

Entrenamiento;

Viajes;

Documentacin.

Una vez estimados los tiempos y los costos a invertir en el proyecto, el ES est en
condiciones de elaborar la propuesta de trabajo que contendr el Plan de trabajo que
especifique las tareas y los recursos necesarios para desarrollarlas.

1.5 Elaboracin del Plan de Trabajo

37

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

El paso siguiente a la elaboracin del Alcance, y una vez aprobado por los
responsables, es la elaboracin del Plan de Trabajo.
Este Plan de Trabajo no es ms que la organizacin de las tareas a desarrollar
durante la duracin estimada del proyecto.
En todo plan se fijan objetivos o hitos a cumplir. Estos hitos estn asociados a una
serie de tareas necesarias para lograr el objetivo, que tendrn un perodo asignado.
Una buena prctica es fijar las fechas de inicio y fin de la tarea para que los perodos
no se extiendan demasiado.
Cada subetapa del proyecto tendr (o no) entregables, documentos o resultados para
los que se trabaja en el perodo asignado.
A su vez, el comienzo de una tarea puede depender del resultado de otras tareas,
por lo que no podr comenzar hasta que todas las tareas de las que depende hayan
finalizado.
Puede haber tareas que se solapen, cuyo resultado alimente otra tarea, etc.
Las posibilidades de dependencia son mltiples, por lo que es importante organizarlas
con anticipacin previendo posibles retrasos o inconvenientes.
El Plan de Trabajo deber incluir, como mnimo:

Nombre del proyecto;

Duracin total del proyecto;

Perodos laborales;

Hitos;

Tareas;

Fases;

Duracin de las tareas;

Fecha de Inicio del proyecto;

Fecha de Inicio de cada tarea;

Fecha de Fin del proyecto;

Fecha de Fin de cada tarea;

Recursos asignados por tarea;

Solapamiento de tareas;

Tareas predecesoras o tareas dependientes de otras;

Entregables por hito;


38

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Entregables por tarea.

Ejemplo
Como ejemplo incluimos una imagen de un Plan de Trabajo de un proyecto de
normativa de seguridad.
Este proyecto se desarrolla en dos semanas, y est compuesto de 17 tareas.
Id Task Name

Duracin
ay '04
23 may '04
30 may '04
M M J V S D L M M J V S D L M M
10 das

MAEI - Manual de Seguridad

Sondeo en sede central

Sondeo General

Poltica general de seguridad

2 das

Responsabilidades de seguridad

2 das

Clasificacin y tratamiento de la informacin

2 das

Comunicaciones de redes de datos

2 das

Administracin de usuarios y recursos

2 das

3 das
1 da

Proteccin ante virus informticos

2 das

10

Proteccin fsica

2 das

11

Copiasde respaldo (backup)

2 das

12

Ambientes de procesamiento

2 das

13

Continuidad de procesamiento

2 das

Generacin de registros de eventos

2 das

14
15

Sondeo en planta

1 da

16

Revisin documentacin

1 da

17

Reunin de presentacin con directores/gerente

1 da

18

Anlisis documentacin con directores/gerentes

3 das

19

Actualizacin de la documentacin

3 das

20

Generacin versin final

1 da

39

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

RELEVAMIENTO

Contenido:
2.1 Elaboracin del Relevamiento General
2.1.1 Relevamiento General
2.2 Elaboracin del Relevamiento de Usuario
2.2.1 Relevamiento de Usuario
2.2.2 Asignacin de puntaje
2.2.3 Aclaracin sobre las preguntas
2.2.4 Resultados de la evaluacin
2.2.5 Evaluacin del entorno
2.2.5.1 Referencias al puntaje obtenido en el test por nivel
2.2.5.2 Configuraciones de resultados
2.3 Anlisis de vulnerabilidades
2.3.1 Conocer al enemigo
2.3.2 Ejemplo Atacantes
2.3.3 Las amenazas
2.3.4 Anlisis de Vulnerabilidades
2.3.4.1 Aspectos funcionales
2.3.4.2 Anlisis de la documentacin
2.3.4.3 Anlisis de las aplicaciones y equipos
2.3.4.3.1 Intento de Penetracin
2.3.4.3.2 Herramientas de anlisis de vulnerabilidades
2.3.5 Mapa de Vulnerabilidades
2.3.5.1 Vulnerabilidades a nivel fsico
2.3.5.2 Vulnerabilidades a nivel lgico
2.3.5.3 Vulnerabilidades a nivel de la organizacin
2.4 Anlisis de Riesgos
2.4.1 Informe de Riesgos
2.4.2 Ejemplo Informe de Riesgos

40

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

2.1 Elaboracin del Relevamiento General.


Para desarrollar un Plan de Aseguramiento, el ES debe conocer la empresa objetivo,
su organizacin y sus procesos de negocio.
Sobre esta informacin se basar una serie de estudios que depender de muchos de
los factores aqu relevados. Por ejemplo, para la correcta administracin de los
usuarios se deber tener en cuenta si la empresa tiene procesos de manufactura o
solamente administrativos, pues en estos dos mbitos suelen ser muy distintos los
circuitos de autorizacin de alta de usuarios, etc.
Es por eso que aqu se propone una serie de puntos de control sobre los que se
deber investigar, cuestionar y observar:

El rubro de la empresa, y conocer sobre su negocio;

La calidad de la sede en cuanto al manejo del negocio (Administrativa,


productiva, comercial, etc);

El tamao de la empresa y su distribucin fsica;

Detalles sobre la infraestructura edilicia (cantidad de edificios, pisos u oficinas) y


su distribucin fsica;

Que exista una definicin de funciones y estructura de comunicacin en la


empresa;

Que exista un rea de Seguridad Informtica;

Que existan roles adecuados para la supervisin de la seguridad de las


aplicaciones y equipos que existen en el entorno, y la realizacin de controles que
garanticen la autorizacin y el adecuado uso de los recursos;

Organizacin de personal jerarquas dentro de la empresa;

Que exista un encargado de soporte para las aplicaciones y equipos tratados;

La arquitectura de la red;

La tecnologa que maneja la empresa (hardware y software);


41

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Las aplicaciones especficas que apoyan al negocio;

Analizar la existencia de documentacin en relacin a:


o

Un marco normativo que defina la poltica de la empresa, y siente las bases


para el desarrollo de procedimientos y estndares tcnicos;

Relaciones formales y conocidas por el personal, referidas a la documentacin


de carcter obligatorio y deseable que debe ser desarrollada y mantenida;

Los requerimientos de tecnologa, de procesamiento, de archivos y de


interfases para los usuarios.

Para verificar estos puntos de control el ES puede realizar las siguientes tareas:

Revisar la documentacin del proceso de negocio de la empresa objetivo con el


fin de conocer su estructura y funcionamiento;

Entrevistar a los responsables del nivel gerencial para obtener informacin sobre
el manejo del negocio y sobre los aspectos crticos del mismo;

Entrevistar a los responsables del nivel gerencial para obtener informacin sobre
el manejo del negocio y los activos de informacin que los soportan;

Obtener de los usuarios, informacin adicional sobre el entorno a relevar, tales


como:
o

Satisfaccin funcional de los requerimientos de informacin de los usuarios;

Confianza de los usuarios en la informacin que manejan estos equipos y


aplicaciones;

Entrevistar al personal del rea de Sistemas a fin de identificar la documentacin


existente y los procedimientos formales e informales relacionados con el
desarrollo, autorizacin y mantenimiento de la misma;

Analizar la documentacin existente en cuanto a estructura, niveles de


aprobacin, vigencia, contenido, publicacin y distribucin entre los involucrados;

Identificar los componentes de hardware presentes en las instalaciones;

Identificar los componentes de software de base;

42

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Entrevistar al personal de comunicaciones para comprender globalmente las


facilidades de acceso a travs de Internet y los mecanismos de seguridad
implantados para prevenir el acceso a dichas facilidades.

2.1.1 Relevamiento General


El sondeo propuesto en el Relevamiento General deber documentarse como parte
de los entregables del proyecto de aseguramiento del entorno. Para esto se propone
el siguiente esquema que resume los puntos de control bsicos a relevar:

Rubro de la empresa

Calidad de la sede
o

Administrativa, productiva, comercial, etc;

Negocio
o

Descripcin;

Procesos de negocio;

Productos;

Servicios;

Actividades rutinarias;

Actividades extraordinarias;

Actividades excepcionales.

Dependencia:
o

Es una empresa con presencia multinacional?

El negocio se ve afectado por la actividad de la empresa en otros pases?

El negocio se ve afectado por la actividad de la empresa en otras provincias?

El negocio se ve afectado por la actividad de la empresa en otras ciudades?

El negocio se ve afectado por la actividad de la empresa en otros edificios?

Si es multinacional:
o

Se trata de una sede o de la corporacin?

Cantidad de pases donde opera;

Listado de pases donde opera.

Informacin edilicia:
43

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Cantidad de edificios;

Cantidad de pisos por edificio;

Cantidad total de pisos;

Cantidad de oficinas por piso;

Cantidad total de oficinas.

Red
o

Arquitectura fsica;

Arquitectura lgica;

Protocolos;

Cableado.

Hardware
o

Tipos de maquinarias (mainframes, terminales, PCs);

Cantidad de equipos por tipo;

Elementos de Red (switches, routers, hubs, etc.);

Cantidad de elementos de red;

Telefona (centrales telefnicas, telfonos);

Cantidad de telfonos;

Otros elementos (UPSs, impresoras, scaners, etc.);

Cantidad de elementos por tipo.

Software
o

Sistemas Operativos;

Utilitarios;

Bases de datos;

Software de gestin;

Otros;

Cantidad de licencias.

Personal
o

Jerarqua;

Cantidad de reas;

Cantidad de sectores;

Personal: Contabilizacin por puesto (gerentes, administrativos, usuarios, no


usuarios, externos).

44

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Administracin
o

Existe un rea de desarrollo de software?

Existe un rea de control de calidad de software?

Existe de un rea de Seguridad Informtica?

De quin es la responsabilidad de la administracin de los equipos (de la


corporacin, del pas, de la sucursal, del sector)?

Cuntas personas abarca?

De quin es la responsabilidad de la operacin de los equipos ((de la


corporacin, del pas, de la sucursal, del sector)?

Cuntas personas abarca?

2.2 Elaboracin del Relevamiento de Usuario


En esta etapa del relevamiento el ES realiza una investigacin sobre el entorno
objetivo con el fin de obtener un panorama de la situacin actual y conocer su forma
de funcionamiento, y detectar, a grandes rasgos, fuentes de debilidades para luego
realizar un estudio profundo enfocado en los puntos hallados, en la etapa llamada
Anlisis de Vulnerabilidades.
En este anlisis, el ES verificar los siguientes objetivos de control:

Que se haya definido y documentado un modelo de administracin de la


seguridad;

Que existan estndares y procedimientos de trabajo definidos para todas las


tareas del rea;

Que el circuito de trabajo responda a criterios de seguridad, eficiencia y


productividad;

Que exista un permetro de seguridad para los equipos de procesamiento crtico;

Que se apliquen medidas de seguridad fsica en el entorno de trabajo de los


usuarios finales;

Que los equipos informticos sean utilizados slo con fines autorizados y
siguiendo los procedimientos establecidos;

Que existan procedimientos de control para la utilizacin de los recursos;

45

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Que exista un encargado de soporte del mantenimiento para las aplicaciones


analizadas;

Que los usuarios tienen conciencia de los problemas de seguridad informtica y


estn informados acerca de los riesgos existentes;

Que existen adecuados procedimientos manuales o automatizados de control de


cambios a los programas y de toma de nuevos requerimientos de usuarios;

Que existen acuerdos de confidencialidad firmados por los usuarios para el


manejo de la informacin que tratan los sistemas;

Que exista un marco normativo que defina la poltica de la empresa, y siente las
bases para el desarrollo de procedimientos y estndares tcnicos;

Que existan relaciones formales y conocidas por el personal, referidas a la


documentacin de carcter obligatorio y deseable que debe ser desarrollada y
mantenida;

Que exista documentacin de usuario que especifique los requerimientos de


tecnologa, de procesamiento, de archivos y de interfases;

Que se encuentre implantado adecuadamente un ambiente general de control de


accesos propio de las aplicaciones y recursos a efectos de prevenir el uso no
autorizado de funciones interactivas, tanto desde conexiones desde la red interna
como desde Internet.

Para verificar estos puntos de control el ES y su equipo de trabajo puede realizar las
siguientes tareas:

Entrevistar a los usuarios a fin de obtener informacin sobre el entorno a relevar,


en los siguientes aspectos:
o

Fsico;

Lgico;

De la organizacin.

Para ello el ES explicar a los usuarios el objetivo de la charla, y dar todo el


detalle necesario para que las respuestas de los mismos sean vlidas.

Entrevistar a ciertos usuarios finales a efectos de verificar:

46

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Cun involucrados estn con la seguridad en el entorno donde trabajan;

Cmo reaccionan ante incidencias de seguridad y cmo realizan solicitudes de


cambios;

Si conocen el marco normativo que define la poltica de la empresa.

En estas entrevistas, se sugiere realizar un test en cada uno de los diferentes


departamentos de la organizacin, y, dentro de estos, en los distintos sectores.
Este test tiene por fin obtener una medida de lo expuesto que se encuentra el
ambiente a vulnerabilidades, fallas en la cultura de trabajo, vicios en la organizacin,
el nivel de informacin que manejan los empleados y su nivel de conciencia respecto
de la seguridad, etc. O sea, una medida general de lo expuesto que se encuentra el
sistema a los ataques informticos por nivel.
Esto servir como introduccin al ES para la construccin del Mapa
Vulnerabilidades y para fijar los objetivos del Plan de Aseguramiento del sistema.

de

El siguiente esquema pretende mostrar las principales puertas de ataques que se


deben proteger, y evaluar, en un entorno informatizado:

Una vez recompilada como mnimo esta informacin, la Metodologa AEI prev la
intervencin del usuario como fuente de conocimiento del ES.
A continuacin se especifica el documento formal que materializa la intervencin
directa del usuario como referente de las caractersticas del entorno en estudio.

47

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

El Relevamiento de Usuario consiste en una serie de preguntas separadas en tres


mdulos por nivel. Los mdulos corresponden a los niveles fsico, lgico y de la
organizacin respectivamente.
El Experto en Seguridad, evaluar la criticidad de cada punto asignando un valor
segn la respuesta obtenida.

2.2.1 Relevamiento de Usuario


AREA:
SECTOR:
CPU:
EMPLEADO:
ANTIGEDAD:

NIVEL

NO

PUNTOS

NIVEL FSICO
1

El espacio es compartido? (oficina propia, box del sector, comn)

Hay otros sectores de la empresa en el mismo piso?

Se accede a esta Workstation con llave propia del sector?

Existe algn circuito de circulacin abierto hasta esta Workstation?

Est cerca de alguna puerta?

Est cerca de algn pasillo?

Est cerca de alguna ventana?

Guarda la documentacin impresa o magntica bajo llave propia?

Guarda la documentacin impresa o magntica bajo llave comn al


sector?

10

Maneja algn tipo de codificacin para la rotulacin de diskettes, cintas,


CDs, etc?

11

Posee conexin fsica a una LAN?

12

Posee conexin fsica a una WAN?

13

Tiene acceso a Internet?

14

Hay cables al descubierto?

15

Usa esta Workstation otro usuario regularmente?

16

Trabaja con servidores de uso exclusivo de su sector o son compartidos


por ms de un sector ( por ejemplo Desarrollo y Prueba)?

48

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

NIVEL

NO

PUNTOS

SUBTOTAL NIVEL FSICO


NIVEL LGICO
17

Posee conexin permanente a Internet?

18

Posee IP fija?

19

Se puede acceder en forma remota a esta Workstation?

20

Tiene acceso solamente a los recursos que necesita para trabajar?

21

Lo ven desde la LAN slo los que lo necesitan ver?

22

Posee documentacin de las aplicaciones que utiliza?

23

Hay ms usuarios configurados de los que realmente usan la workstation?

24

Usa un SO monousuario?

25

Es usuario experto de su SO?

26

Usa la misma contrasea para ms de un sistema?

27

Cambia las contraseas con regularidad?

28

realiza copias de respaldo de su informacin personal sensible?

29

Posee carpetas compartidas en esta PC?

30

Usa el antivirus regularmente para revisar archivos peligrosos?


SUBTOTAL NIVEL LGICO
NIVEL DE LA ORGANIZACIN

31

Existe una persona encargada de administrar la seguridad?

32

Existen Normas o procedimientos de seguridad?

33

Existe algn procedimiento para solicitar nuevos requerimientos?

34

Procesa informacin que es confidencial para gente del mismo


departamento?

35

Intercambia datos/informacin con otros departamentos?

36

Intercambia datos/informacin con otras empresas?

37

Trabajan terceros en su piso?

38

Cuando ocurre un incidente, informa a alguien?

39

Cmo informa los nuevos requerimientos?

40

Ha firmado algn acuerdo de confidencialidad?


SUBTOTAL NIVEL DE LA ORGANIZACIN
TOTAL

2.2.2 Asignacin de puntaje


Para la asignacin del puntaje se sigui el criterio adoptado por la empresa Internet
Security Systems [iss.net], experta en seguridad, considerado adecuado para el
estudio que se lleva a cabo en este Relevamiento.

49

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Se definen los valores posibles y su significado como sigue:

0: No representa amenaza alguna;

1: Amenaza leve;

2: Gran amenaza al sistema.

Para medir la criticidad se utiliza el siguiente criterio:

No representa amenaza alguna:


Si estn presentes elementos que provean informacin que no es del sistema que
pueda ser usada para efectuar ataques estructurados en un objetivo, pero que no
otorgan acceso autorizado directamente.
Por ejemplo:
o Ataques por fuerza bruta;
o Descubrimiento de informacin que no es del sistema (datos sueltos,
informacin pblica).

Amenaza leve:
Si existen eventos que tengan el potencial de otorgar acceso o permitir ejecucin
de cdigo por medio de procedimientos largos o complejos, o elementos de bajo
riesgo aplicados a componentes importantes.
Por ejemplo:
o Ataques de hombre en el medio (ver Man in the middle attack en
[Stallings1999]);
o Negacin de servicio de elementos no crticos;
o Descubrimiento de informacin privada (pero no confidencial, por ejemplo
informacin de uso interno).

Gran amenaza al sistema:


Si existen elementos que permiten acceso local o remoto inmediato, o la
ejecucin de cdigo o comandos con privilegios desautorizados, o la negacin de
servicios.
Por ejemplo:
o Overflow de buffers;
o Scripting a travs de sitios (ejecucin de algoritmos malintencionados a travs
de la web);
o Denegacin de servicios de elementos crticos;

50

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

o Backdors;
o Contraseas por default o contraseas en blanco;
o Salteo de la seguridad en firewalls y otros componentes de red.

2.2.3 Aclaracin sobre las preguntas

2.2.3.1 Nivel Fsico

1- El espacio es compartido (oficina propia, box del sector, comn)?


La pregunta apunta a ver si la Workstation en estudio est aislada fsicamente de
otras, o est ubicada en un sector compartido, como un box de trabajo o un lugar
abierto.
2- Hay otros sectores de la empresa en el mismo piso?
La pregunta apunta a si el espacio fsico es ocupado por personas de distintos
sectores.
3- Se accede a esta Workstation con llave propia del sector?
Se refiere a si la Workstation en estudio est ubicada en un lugar fsico al que se
accede con llave u otro mecanismo de seguridad propio del sector de trabajo, y no da
acceso a otros sectores.
4- Existe algn circuito de circulacin abierto hasta esta Workstation?
Se apunta a verificar si existe un camino inseguro a la Workstation como podra ser
un pasillo que da a una salida no asegurada. Un ejemplo tpico es la PC de trabajo de
una recepcionista que est al alcance del pblico.
5- Est cerca de alguna puerta?
Con CERCA se hace referencia a pocos metros.
6- Est cerca de algn pasillo?
Con CERCA se hace referencia a pocos metros.
7- Est cerca de alguna ventana?
Con CERCA se hace referencia a pocos metros.
8- Guarda la documentacin impresa o magntica bajo llave propia?

51

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Por ejemplo en un armario de uso particular.


9- Guarda la documentacin impresa o magntica bajo llave comn al sector?
Por ejemplo en un armario de uso comn de todo el sector.
10- Maneja algn tipo de codificacin para la rotulacin de diskettes, cintas, CDs,
etc?
La pregunta apunta a verificar si se utiliza alguna tcnica preestablecida para
nomenclar dispositivos de almacenamiento, o simplemente se rotulan con nombres
legtimos.
Un ejemplo de nombre legtimo podra ser: back05122002.tar que indica claramente
que ese dispositivo contiene un archivo de backup del da 5 de diciembre del 2002.
Un ejemplo de codificacin podra ser CDC640 que tiene significado solamente para
las personas concernientes.
11- Posee conexin a una LAN?
Se le debe preguntar al usuario si est conectado a la red local.
12- Posee conexin a una WAN?
Se le pregunta al usuario si en su red existen equipos ubicados fsicamente en otro
edificio.
13- Tiene acceso a Internet?
La pregunta apunta a verificar si el usuario tiene acceso a Internet.
14- Hay cables al descubierto?
La pregunta apunta a verificar si el cableado est protegido, por ejemplo, con tubos
cobertores e se encuentran subterrneos, o simplemente se expanden a la vista.
15- Usa esta Workstation otro usuario regularmente?
Esta pregunta apunta a verificar si la Workstation es compartida por distintos
usuarios. Esto suele darse en situaciones donde los empleados trabajen part-time o
simplemente se requiera de monitorizacin continua durante las 24 hs.
16- Trabaja con servidores de uso exclusivo de su sector o son compartidos por ms
de un sector?
Por ejemplo, si trabajan los sectores de Desarrollo y Prueba con un mismo servidor.

52

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

2.2.3.2 Nivel Lgico


17- Posee conexin permanente a Internet?
Por ejemplo ADSL, Cablemodem, etc.
18- Posee IP fija?
Esta pregunta apunta a conocer cmo se hace la administracin de las direcciones de
red, que afectar en la definicin de un blanco identificable o no. (Algunos ataques
internos tienen como objetivo la penetracin de las barreras de seguridad de ciertos
equipos en particular. La IP fija facilita la identificacin de mquinas para este fin.)
Si el usuario no sabe si su IP es fija o variable, el ES puede solicitarle realizar la
verifiacin.
19- Se puede acceder en forma remota a esta Workstation?
Por ejemplo a travs de conexiones TELNET, o haciendo un REMOTE LOGON.
20- Tiene acceso solamente a los recursos que necesita para trabajar?
La pregunta apunta a verificar si desde la Workstation se puede acceder a sectores
de al LAN que no son necesarios para realizar el trabajo, apuntando al principio de
otorgar solo los privilegios mnimos y necesarios para la realizacin del trabajo
21- Lo ven desde la LAN slo los que lo necesitan ver?
Para verificar si sectores no autorizados tienen acceso a esta terminal.
22- Posee documentacin de las aplicaciones que utiliza?
Esta pregunta apunta a chequear si los usuarios poseen documentacin suficiente (y
adecuada) para el uso de los aplicativos de trabajo (por ejemplo manuales de
usuario, manuales tcnicos de los proveedores, etc.).
23- Hay ms usuarios configurados de los que realmente usan la workstation?
Esta pregunta apunta a verificar si existen configurados usuarios que no son
estrictamente necesarios. Por ejemplo en algunos sistemas operativos como ciertas
distribuciones de Linux se instala el sistema con un conjunto de usuarios por default
de los cuales algunos no son utilizados.
En otros casos puede ocurrir que un empleado deje la organizacin pero quede
configurado el usuario en el sistema.
24- Usa un SO monousuario?
53

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Por ejemplo DOS o Windows 95, Windows 98, Windows Millenium, etc.
25- Es usuario experto de su SO?
Apunta a verificar si el usuario es capaz de realizar tareas de administracin del
sistema, por ejemplo, configurar un firewall, verificar opciones de seguridad, y
manejar el file system en forma adecuada.
26- Usa la misma contrasea para ms de un sistema?
Por ejemplo, si el usuario utiliza la misma contrasea para ingresar al sistema
operativo y para el programa de correo.
27- Cambia las contraseas con regularidad?
REGULARIDAD se podra llegar a considerar hasta un mes.
28- Realiza copias de respaldo de su informacin personal sensible?
La realizacin de las copias de respaldo o backup es responsabilidad del
administrador de la red y del operador responsable. Sin embargo, La informacin
personal guardada localmente en las estaciones de trabajo no es resguardada, siendo
sta responsabilidad del usuario.
29- Posee carpetas compartidas en esta PC?
Se refiere a las carpetas que pueden ser accedidas por otros usuarios desde otras
workstations.
30- Usa el antivirus regularmente para revisar archivos peligrosos?
Se consideran ARCHIVOS PELIGROSOS los de origen incierto, o los transportados en
medios magnticos como diskettes, cintas, etc.
Esta pregunta apunta a ver si el usuario realiza controles especiales en situaciones
particulares, por ejemplo cuando trabaja con dispositivos extrables, en los que no se
realiza un anlisis de antivirus automtico.

2.2.3.3 Nivel De La Organizacin


31- Existe una persona encargada de administrar la seguridad?
32- Existen Normas o procedimientos de seguridad?
La pregunta apunta a descubrir si el usuario est informado de la existencia de un
marco normativo de seguridad.

54

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

33- Existe algn procedimiento para solicitar nuevos requerimientos?


Esta pregunta apunta a verificar si el usuario conoce los procedimientos formales de
solicitud de nuevos requerimientos, y si efectivamente estos procedimientos existen.
34- Procesa informacin que es confidencial para gente del mismo piso?
Esta pregunta pretende verificar si en esta Workstation se procesa informacin que
es confidencial para personas que comparten el mismo espacio fsico.
35- Intercambia datos/informacin con otros departamentos?
Esta pregunta pretende descubrir la interrelacin entre departamentos, y la
existencia de flujo de informacin entre ellos.
36- Intercambia datos/informacin con otras empresas?
Esta pregunta pretende descubrir la interrelacin entre los empleados de la empresa
con externos, y la existencia de flujo de informacin entre ellos.
37- Trabajan terceros en su piso?
Se refiere a si trabajan personas subcontratadas o externas a la empresa en el
mismo sector fsico.
38- Cuando ocurre un incidente, informa a alguien o trata de manejarlo solo?
Por ejemplo: cuando sucede una anomala en el software el usuario llama a un
tcnico de sistemas para que vea lo sucedido?
39- Cmo informa los nuevos requerimientos?
La pregunta apunta a descubrir si existe un procedimiento de control de cambios y
reporte de requerimientos de usuario.
40- Ha firmado algn acuerdo de confidencialidad?
La pregunta apunta a determinar si el usuario tienen conciencia de la criticidad de la
informacin que maneja, y si se ha realizado alguna vez una clasificacin de la
informacin de la organizacin.

2.2.4 Resultados de la evaluacin


Segn la cantidad de puntos obtenidos en cada nivel se establece la calificacin del
entorno en cuanto a seguridad informtica:
Nivel fsico:
55

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

De 0 a 6 puntos: Seguro/protegido;

De 7 a 16 puntos: Medianamente vulnerable;

De 17 a 32 puntos: Altamente vulnerable.

Nivel lgico:

De 0 a 10 puntos: Seguro/protegido;

De 11 a 14 puntos: Medianamente vulnerable;

De 15 a 28 puntos: Altamente vulnerable.

Nivel de la organizacin:

De 0 a 4 puntos: Seguro/protegido;

De 5 a 9 puntos: Medianamente vulnerable;

De 10 a 20 puntos: Altamente vulnerable.

2.2.5 Evaluacin del entorno

2.2.5.1 Referencias al puntaje obtenido en el test por nivel:

0: Seguro/protegido;

1: Medianamente vulnerable;

2: Altamente vulnerable;

x: 0 o 1.

2.2.5.2 Configuraciones de resultados:

000: Entorno seguro.

001, 010, 001, 011, 110, 101, 111: Entorno medianamente vulnerable.
Asegurable a corto plazo;

xx2,x2x, xx2: Entorno altamente vulnerable. Asegurable de mediano a corto


plazo;

x22, 22x, 2x2: Entorno altamente vulnerable. Asegurable a mediano/ largo


plazo;
56

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

222: Entorno altamente vulnerable. Requiere una planificacin


plazo.

completa a largo

2.3 Anlisis de vulnerabilidades.


Esta etapa comprende la determinacin de las amenazas que enfrenta el entorno
respecto de la seguridad de la informacin.
Los datos almacenados en los servidores de la red, los almacenados en cada estacin
de trabajo, los equipos e instalaciones, las aplicaciones, los documentos y todo
mensaje (pulso elctrico, sonido, luz, etc), corren riesgos reales, potenciales y
latentes a cada instante.
Estos mensajes, datos, activos deben cumplir su funcin conservando los tres pilares
de la seguridad intactos:

Integridad: que se proteja la exactitud y totalidad de los datos y los mtodos


de procesamiento;

Confidencialidad: que la informacin sea accesible slo a las personas


autorizadas;

Disponibilidad: que los usuarios autorizados tengan acceso a la informacin y a


los recursos cuando los necesiten.

Una vulnerabilidad es cualquier situacin que pueda desembocar en un problema de


seguridad asegura [Huerta].
Se le llama amenaza a todo acontecimiento, persona, u ente capaz de hacer
provecho de una vulnerabilidad para producir dao, modificacin o escucha indebida
de informacin, atentando contra al menos una de estas caractersticas.
Las vulnerabilidades pueden generar amenazas en el entorno en estudio: si son
conocidas por un atacante, pueden causar la prdida de alguna de las caractersticas
deseables de la informacin, antes mencionadas.

2.3.1 Conocer al enemigo


Es muy importante conocer el entorno en estudio para predecir el tipo de atacante
que puede atraer.

57

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Segn las caractersticas del entorno, se estar expuesto a un abanico de atacantes


ms o menos peligroso, y ms o menos experto.
Como un perro es atrado por un hueso, y un ladrn de guantes blancos es atrado
por un diamante, en informtica, los usuarios inexpertos son atrados por entornos
inseguros (como una computadora hogarea conectada a Internet), mientras que los
intrusos ms hbiles se ven seducidos por ambientes confidenciales y protegidos
(como organismos militares y de investigacin).
Es por eso que el ES debe analizar qu tipo de entorno maneja para predecir a qu
tipo de ataques probablemente se deber enfrentar.

2.3.2 Ejemplo Atacantes


A continuacin enumeramos algunos entornos comunes y sus enemigos ms
conocidos:

Los entornos de investigacin como universidades y laboratorios suelen ser


boicoteados por los propios alumnos e investigadores, y rara vez por el personal,
y ms ocasionalmente por extraos;

Los organismos militares suelen ser investigados por la competencia (organismos


militares y de inteligencia de pases enemigos) principalmente con el fin de
obtener informacin;

La confidencialidad de los datos es la caracterstica ms preciada en estos


entornos;

Las instituciones polticas y gubernamentales suelen ser carnada para pares de la


competencia, como partidos opositores y gremios;

Los entornos personales suelen ser atacados por intrusos desconocidos al azar
(no se hacen ataques personales) que simplemente sienten satisfaccin tomando
control de mquinas ajenas o provocando daos, pero en general estos ataques
no apuntan a una obtencin de informacin, sino a la negacin de servicios o
prdida de informacin;

Las instituciones bancarias son blanco de atacantes codiciosos que pretenden, en


general, malversar los datos para obtener beneficios econmicos;

En este tipo de entornos la caracterstica que se desea preservar es la integridad


de los datos;
58

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

En los entornos comerciales los ataques apuntan a la negacin de servicios, en


general son perpetrados por los propios empleados de la compaa;

Aqu la caracterstica ms valiosa es la disponibilidad de recursos y servicios, ya


que una negacin de servicios suele impactar fuertemente en los negocios.

2.3.3 Las amenazas


Las amenazas ms comunes a los entornos informatizados son:

La falta de proteccin fsica del entorno:


Las instalaciones, los equipos y documentos pueden estar expuestos a catstrofes
naturales, a hurto, o destruccin por falta de proteccin o mala disposicin fsica
de los elementos.

La mala administracin de proyectos:


La mala planificacin, la escasa separacin de tareas y definicin de roles
disminuye la calidad del producto de software, provoca la disconformidad de los
usuarios y una escasa documentacin de las distintas etapas del desarrollo. La
falta de control y capacitacin de los programadores hace que se genere cdigo
inseguro a partir de la programacin descuidada de rutinas.

Una inadecuada separacin de ambientes:


Genera riesgos de integridad y coherencia de los datos adems de la inestabilidad
del sistema productivo con la consecuente falta de disponibilidad de los recursos.

Los errores en la administracin del entorno:


Una mala administracin abre puertas a los intrusos. Es fundamental detectar y
corregir estas situaciones.

El diseo inseguro:
En el diseo de las aplicaciones, de las redes, de los CPDs. se subestima la
implantacin de medidas de control de acceso, de separacin de funciones y
tareas.

Los defectos funcionales en las aplicaciones:


La falta de flexibilidad en la administracin y la mala separacin en mdulos,
entre otros factores que se discutirn luego, hacen a las aplicaciones ms
susceptibles a ataques.

59

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Las amenazas lgicas programadas:


Muchos ataques lgicos son perpetrados por intrusos que aprovechan errores en
las aplicaciones y sistemas para realizar actos destructivos o delictivos como el
dao de dispositivos o la escucha desautorizada de informacin.
Uno de los mayores puntos dbiles de las organizaciones son estos bugs
informticos y la falta de proteccin lgica de los datos. Por eso es muy
importante estar al tanto de ello, y llevar una frecuente actualizacin con los
parches otorgados por los fabricantes de software.

Una incompleta proteccin lgica:


La mala configuracin de los servidores donde residen las aplicaciones, del
sistema operativo, de las bases de datos y de las interfases con las que se
conectan genera errores y riesgos importantes.

La ausencia de control de incidencias:


El control de incidencias permite generar una base de conocimiento para el
manejo de situaciones de riesgo y prevenir nuevos ataques. La falta de control y
administracin de incidencias hace que el conocimiento de las amenazas
detectadas se pierda y que se atrasen los tiempos de solucin por la falta de
circuitos de asignacin de responsabilidades sobre el tratamiento de los casos.

La falta de una normativa de seguridad:


Tambin la falta de una completa normativa procedimental y tcnica, y una mala
conducta y cultura de trabajo, producen descuidos o errores no forzados por los
usuarios.

Las personas:
El acceso de personas no autorizadas implica la vulnerabilidad del sistema ante
hurtos, acceso indebido, prdida de confidencialidad de los datos y todo tipo de
escucha no autorizada de informacin, con sus respectivas consecuencias.

Estos factores y muchos otros ms, hacen que muchas vulnerabilidades de los
entornos informatizados tengan origen en el mal uso del sistema por parte de los
usuarios.
Es fundamental detectar y conocer las vulnerabilidades del entorno informatizado en
el que se est trabajando para poder establecer el camino a seguir que lleve a un
aseguramiento efectivo.

60

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

A continuacin se propone un documento que refleja la identificacin de las


potenciales vulnerabilidades del entorno en estudio. Lo llamaremos Mapa de
Vulnerabilidades.
Este modelo contendr la especificacin, por nivel (fsico, lgico y de la organizacin)
de las amenazas latentes y las probables.

2.3.4 Anlisis de Vulnerabilidades


En esta etapa se analizan las fallas de seguridad en el entorno segn los estndares
internacionales referenciados en la bibliografa de este trabajo.
Se considera una vulnerabilidad a toda diferencia entre los parmetros deseados
recomendados por dichos estndares y las mejores prcticas profesionales en cuanto
a Seguridad Informtica.
Los objetivos de control considerados, segn [IRAM/ISO/IEC17799], [BS7799],
[Cobit], [MRSA-ISACA], [AAW-ISI], [OSSTMM-ISECOM] y [AACF-ROBOTA] son los
siguientes:

2.3.4.1 Aspectos funcionales

Que exista una adecuada definicin de funciones y estructura de comunicacin en


el rea;

Que las tareas incompatibles sean adecuadamente segregadas;

Que existan licencias de uso del producto para cada recurso / usuario;

Que las aplicaciones activas en el entorno contribuyan a perseguir los objetivos


del negocio;

Que se haya definido y documentado un modelo de administracin de la


seguridad;

Que existan estndares y procedimientos de trabajo definidos para todas las


tareas del rea;

Que el circuito de trabajo responda a criterios de seguridad, eficiencia y


productividad;
61

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Que los procedimientos adoptados estn de acuerdo con normas estndares en la


materia;

Que estn definidos y se encuentren documentados para cada puesto del


organigrama perfiles de usuario modelo a los cuales se les asocian las
identificaciones individuales de cada persona;

Que los equipos informticos sean utilizados slo con fines autorizados y
siguiendo los procedimientos establecidos;

Que todo procesamiento est debidamente autorizado por los responsables


correspondientes;

Que existan procedimientos de control de los resultados que surgen del


procesamiento en los equipos;

Que existan estndares definidos a seguirse para la realizacin de pruebas de los


desarrollos y/o mantenimientos, que contemplen:

La realizacin de pruebas de detalle por parte de personal de sistemas antes


de ser probados por personal de las reas usuarias;

La realizacin, por parte de personal de las reas usuarias, de la definicin de


los casos, ejecucin de las pruebas, anlisis de los resultados, interfases,
corridas mensuales y anuales, etc. antes de la implantacin;

La forma de documentacin de la participacin y validacin de los resultados


de las pruebas;

Los requerimientos en cuanto a niveles de autorizacin para su implantacin


en el ambiente productivo;

El procedimiento de implantacin en produccin.

Que el acceso a la documentacin de los sistemas de aplicacin de produccin


slo se permita a personal autorizado;

Que exista un encargado de soporte del mantenimiento para las aplicaciones


analizadas;

62

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Que existen adecuados procedimientos manuales o automatizados de control de


cambios a los programas;

Que existen clusulas de confidencialidad en los contratos con los proveedores de


software y/o terceros que trabajen en las aplicaciones.

Este anlisis permitir visualizar el nivel de adhesin que tiene la estructura del
proceso a los estndares metodolgicos que se tengan establecidos para el desarrollo
y mantenimiento, as como para la documentacin de las etapas del proceso. Adems
se podrn establecer los criterios que fueron utilizados para definir y establecer las
caractersticas de los controles internos y las validaciones. El anlisis funcional
permite visualizar las distintas etapas que se suceden en el proceso, as como
tambin identificar etapas de alto, medio y bajo riesgo.

Para verificar estos puntos de control el ES y su equipo de trabajo puede realizar las
siguientes tareas:

Revisar la documentacin del proceso de negocio de la empresa objetivo con el


fin de conocer su estructura y funcionamiento;

Entrevistar
a
los
analistas/programadores/tcnicos
responsables
del
mantenimiento de las aplicaciones y equipos y comparar el procedimiento que
cada uno est aplicando;

Entrevistar
a
los
analistas/programadores
responsables
del
desarrollo/mantenimiento de las aplicaciones as como al personal usuario, a
efectos de obtener una visin global del mismo, tanto en su fase manual como
automtica;

Entrevistar
a
los
analistas/programadores/tcnicos
responsables
del
desarrollo/mantenimiento de las aplicaciones y equipos para validar la adecuada
concientizacin del personal a fin de cumplir con la documentacin vigente;

Obtener de los usuarios y de los analistas, informacin adicional sobre el entorno


a relevar, tal como:
o

Satisfaccin funcional de los requerimientos de informacin de los usuarios;

Tiempos de procesamiento y de generacin de salidas;

Experiencias anteriores sobre procesamiento de errores;

Confianza de los usuarios en la informacin que manejan estos equipos y


aplicaciones.
Para ello se pueden distribuir encuestas de evaluacin del funcionamiento de
las aplicaciones y equipos entre personal del rea de sistemas y de sectores
usuarios.

63

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Obtener informacin sobre trazas de auditora, histricos de archivos generados


por los sistemas y procedimientos de emergencia, de reenganche y de
procesamiento alternativo disponible;

Conocer los procesos y funciones de administracin de las bases de datos y de


back-up de archivos y programas (fuentes y ejecutables) de cada una de las
aplicaciones;

Entrevistar a ciertos usuarios finales, elegidos al azar, a efectos de verificar cun


involucrados estn con las distintas fases de desarrollo/mantenimiento de
sistemas (diseo, desarrollo, prueba y aceptacin). Adems, se obtendr de los
usuarios finales la siguiente informacin:
o

Nivel de participacin con relacin a la calidad de los servicios;

Problemas detectados durante el ltimo ao;

Asignaciones incorrectas de acceso a los archivos de datos y a las


transacciones de las aplicaciones on-line.

Relevar y probar los procedimientos de administracin, control, control de los


cambios efectuados a las aplicaciones e identificar a los responsables de llevar a
cabo los mismos;

Identificar y entrevistar al personal responsable de implantar cambios, de realizar


controles sobre las incidencias que involucren las aplicaciones, para verificar que
se cumpla con los procedimientos vigentes;

Solicitar (en caso de existir) y analizar el log utilizado para priorizar y monitorizar
la recepcin y progreso de los cambios de sistemas;

Solicitar y analizar muestras de documentos relacionados con modificaciones de


los programas:

Documentos aprobados por los supervisores de desarrollo autorizando la


puesta en produccin de los programas modificados;

Documentos que demuestren que los usuarios finales han aprobado los
desarrollos/modificaciones efectuados antes de migrar los nuevos programas
al rea de produccin;

Formularios o memorndums que formalmente comuniquen el orden de


ejecucin de los programas modificados (Job step) al rea de operaciones;

Identificar una muestra de requerimientos de cambios a las aplicaciones


relevadas en el log requerido y verificar que para cada uno de ellos se haya
cumplimentado adecuadamente el procedimiento de modificacin de programas y
catalogacin en produccin, con su respectivo control.

64

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

2.3.4.2 Anlisis de la documentacin


En relacin a la documentacin, los objetivos de control que se deben verificar son
los siguientes:

Que exista un marco normativo que defina la poltica de la empresa, y siente las
bases para el desarrollo de procedimientos y estndares tcnicos;

Que existan relaciones formales y conocidas por el personal, referidas a la


documentacin de carcter obligatorio y deseable que debe ser desarrollada y
mantenida;

Que se cumpla con las definiciones formales e informales relacionadas al


desarrollo, mantenimiento y cadenas de autorizacin referidos a la
documentacin;

Que se encuentren implantados mtodos efectivos de distribucin y comunicacin


entre los involucrados;

Que los procesos tecnolgicos estn alineados con las normas establecidas, y
sean adecuados;

Que los procedimientos alcancen los niveles de servicio perseguidos por la


empresa;

Que exista documentacin de usuario que especifique los requerimientos de


tecnologa, de procesamiento, de archivos y de interfases;

Que exista un procedimiento formal para realizar el control de cambios, niveles


de revisin, autorizacin y publicacin.

Para analizar si el entorno objetivo cumple con estos objetivos, se pueden llevar a
cabo las siguientes tareas:

Entrevistar al personal del rea de Sistemas a fin de identificar la documentacin


existente y los procedimientos formales e informales relacionados con el
desarrollo, autorizacin y mantenimiento de la misma;

Analizar la documentacin existente en cuanto a estructura, niveles de


aprobacin, vigencia, contenido, publicacin y distribucin entre los involucrados;

65

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Evaluar los niveles de cumplimiento de los procedimientos existentes;

Seleccionar un grupo de personas para evaluar el nivel de conocimiento y


utilizacin de la documentacin existente;

Identificar los puntos dbiles de la documentacin y procedimientos existentes.

2.3.4.3 Anlisis de las aplicaciones y equipos


Los objetivos de control que debe verificar el ES en este aspecto son los siguientes:

Que existan roles adecuados para la supervisin de la seguridad de las


aplicaciones y equipos que existen en el entorno, y la realizacin de controles que
garanticen la autorizacin y el adecuado uso de los recursos;

Que se encuentre implantado adecuadamente un control de accesos a la red de


datos y sus equipos que eviten el uso no autorizado de los recursos, el
descubrimiento y divulgacin de informacin, y el mal uso y abuso de la
informacin tratada por los mismos;

Que se encuentre implantado adecuadamente un ambiente general de control de


accesos propio de las aplicaciones y recursos a efectos de prevenir el uso no
autorizado de funciones interactivas, tanto desde conexiones desde la red interna
como desde Internet;

Que se encuentre implantado adecuadamente un ambiente general de control de


accesos para el procesamiento "batch";

Que exista una adecuada poltica de configuracin de los equipos informticos y


de comunicaciones;

Que se encuentre implantada adecuadamente la estructura de control de accesos


del ambiente de procesamiento de forma de evitar que se puedan modificar o leer
archivos de datos o programas de las aplicaciones analizadas en forma no
autorizada. Es necesario tener en cuenta los aspectos referidos a perfiles de
acceso de los usuarios definidos en los sistemas, as como la proteccin de los
recursos informticos residentes en ellos;

Que la arquitectura tcnica de las aplicaciones se encuentre adecuadamente


diseada, para lo cual se analizarn los esquemas de acceso a las bases de datos,
la interaccin con el sistema operativo donde estn instaladas las aplicaciones, la
interaccin con el servicio de publicacin de pginas web (si existiera), el

66

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

lenguaje de programacin utilizado, la forma de codificacin de los programas,


etc;

Que se realicen adecuados controles de los incidentes y problemas emergentes,


con el seguimiento necesario;

Que las aplicaciones gestionen los errores de forma estndar, y que se realicen
las validaciones adecuadas en la entrada y salida de datos;

Que exista un plan de contingencia que permita recuperar las aplicaciones y


equipos del entorno ante desastres o situaciones de emergencia;

Para cumplir con estos objetivos, el ES puede llevar a cabo las siguientes tareas:

Identificar los archivos y directorios crticos de las aplicaciones y de los sistemas


operativos;

Analizar la asignacin de permisos otorgados sobre los archivos y directorios


crticos;

Identificar los componentes de software de base de las instalaciones;

Identificar y entrevistar al personal que pueda proveer informacin de detalle en


cuanto a los caminos por los que la informacin (datos y programas) puede ser
accedida y los controles establecidos para restringir dicho acceso;

Entrevistar al personal de soporte tcnico para identificar puntos de control sobre


utilitarios riesgosos que puedan modificar archivos y/o programas sin dejar pistas
de auditora;

Entrevistar al personal responsable de seguridad informtica a fin de analizar los


controles efectuados en las aplicaciones, en los equipos relacionados y el entorno;

Entrevistar al personal del rea de desarrollo y mantenimiento de sistemas


relacionados con las aplicaciones a efectos de identificar los nombres de los
principales archivos, las transacciones on-line con funciones de actualizacin y las
transacciones on-line con funciones de lectura que muestran informacin
sensible;

Entrevistar al operador responsable del resguardo y recuperacin de los datos a


fin de analizar el nivel de cumplimiento de los procedimientos vigentes;

67

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Entrevistar al personal encargado de la administracin de las aplicaciones y


software de base para conocer los detalles de la gestin de usuarios y permisos;

Entrevistar al personal de comunicaciones para comprender globalmente las


facilidades de acceso a travs de Internet y los mecanismos de seguridad
implantados para prevenir el acceso a dichas facilidades;

Documentar los modelos de acceso lgico que representa los caminos por los que
se accede a los datos crticos de las aplicaciones;

Comprender los controles que existen para realizar las pruebas de cumplimiento
sobre esos controles;

Identificar y analizar el sistema de autenticacin de usuarios utilizado por la


aplicacin, el sistema operativo que la soporta;

Analizar si son adecuados los permisos de acceso otorgados a los diferentes


usuarios;

Realizar una toma de la configuracin lgica de los equipos mediante:

Scripts de relevamiento tcnico que lean los archivos de configuracin ms


importantes, y los vuelquen en informes;

Captura de pantallas;

Generacin de listados.

Realizar pruebas de cumplimiento para verificar que los accesos a los diferentes
recursos informticos estn adecuadamente otorgados y/o restringidos
El ES determinar el Alcance de estas pruebas segn el grado de criticidad de las
aplicaciones, equipos y de las funciones comprendidas. Las tareas de revisin
podrn incluir:

Solicitar listas de seguridad de las aplicaciones;

Verificar que los sistemas de seguridad internos restrinjan el acceso a travs


de transacciones on-line a personal autorizado;

Verificar la correcta definicin de los parmetros de seguridad propios de las


aplicaciones;

Verificar la adecuada asignacin de accesos a las aplicaciones y equipos;

Realizar pruebas que permitan detectar el manejo de errores de las


aplicaciones y la concurrencia.

Realizar un intento de penetracin con el fin de vulnerar las barreras de acceso


existentes para utilizar los recursos informticos de la compaa en forma no

68

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

autorizada desde una conexin proveniente de Internet (Intento de Penetracin


Externo), o desde la red interna de la compaa (Intento de Penetracin interno).

2.3.4.3.1 Intento de Penetracin


Un intento de Penetracin es un anlisis que permite detectar vulnerabilidades en un
entorno informatizado mediante la bsqueda, la identificacin y explotacin de
vulnerabilidades. Su alcance se extiende a:

Equipos de comunicaciones;

Servidores;

Estaciones de trabajo;

Aplicaciones;

Bases de Datos;

Servicios Informticos;

Casillas de Correo Electrnico;

Portales de Internet;

Intranet corporativa;

Acceso fsico a recursos y documentacin;

Ingeniera social (La ingeniera social es la tcnica por la cual se obtiene


informacin convenciendo al usuario que otorgue informacin confidencial,
hacindose parar por usuarios con altos privilegios como administradores y
tcnicos).

Para realizar un Intento de Penetracin es necesario realizar las siguientes tareas:

Reconocimiento de los recursos disponibles mediante el empleo de herramientas


automticas (Ver 2.3.5.2.1 Herramientas de anlisis de vulnerabilidades);

Identificacin
automticas;

Explotacin manual y automtica de las vulnerabilidades para determinar su


alcance;

Anlisis de los resultados.

de

las

vulnerabilidades

existentes

mediante

herramientas

Este anlisis otorga informacin referente a:

Versiones desactualizadas de software;

Versiones de software con vulnerabilidades conocidas;

Contraseas triviales;

Usuarios default;

69

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Configuraciones default;

Utilizacin de servicios inseguros;

Recursos compartidos desprotegidos;

Errores en la asignacin de permisos.

Analizando toda la informacin obtenida mediante el Intento de Penetracin, las


entrevistas, la documentacin y los diferentes mtodos de sondeo, se elabora el
Mapa de Vulnerabilidades dando detalle de los recursos informticos e informacin de
la compaa a la que se ha accedido de manera no autorizada.

2.3.4.3.2 Herramientas de anlisis de vulnerabilidades


Existe una serie de herramientas que ofrecen datos tiles para el anlisis de
vulnerabilidades, como analizadores de configuraciones, analizadores de logs,
herramientas de escaneo de puertos (Port Scanners), sniffers, Network Mapping,
Testing Tools, y otras herramientas, sobre las que no se dar detalle por su
constante evolucin.
No es el objetivo de esta Tesis dar detalles sobre implementaciones en particular, sin
embargo, se considera interesante remarcar la importancia del uso de estas
herramientas para la deteccin de vulnerabilidades, sobre todo porque reducen
considerablemente los tiempos de bsqueda y recoleccin de datos.

2.3.5 Mapa de Vulnerabilidades


El Mapa de Vulnerabilidades es un documento que se propone con la idea de registrar
y contabilizar las vulnerabilidades presentes en el entorno en estudio antes de la
implantacin del Plan de Aseguramiento.
Para registrar las vulnerabilidades detectadas en el anlisis anterior se divide el
estudio del entorno en tres partes:

Nivel fsico;

Nivel lgico;

Nivel de la organizacin.

El ES incluir en el Mapa de Vulnerabilidades del entorno objetivo los niveles que se


hayan determinado en el Alcance.

70

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Aqu se enumera una serie de aspectos concernientes a seguridad que implican


vulnerabilidades y que el ES incluir en el Mapa de Vulnerabilidades:

2.3.5.1 Vulnerabilidades a nivel fsico


Amenazas a las instalaciones

Acceso libre a todos los sectores de la empresa a cualquier usuario:


Si cualquier usuario puede acceder a todas las oficinas de la empresa, sin
controles ni barreras fsicas, es muy probable que acceda un intruso a las
instalaciones provocando actos ilcitos como hurtos, daos fsicos o espionaje de
informacin confidencial;

Falta de un permetro de seguridad:


Si no se establece un permetro de seguridad, la empresa se convierte en una
continuacin fsica de la vereda;

Falta de reas protegidas que guarden los equipos crticos:


Permitiendo el acceso indiscriminado de personas;

Falta de barreras fsicas que protejan los activos:


Permite el ingreso a la organizacin de intrusos;

Existencia de mltiples puntos de acceso:


Esto facilita el ingreso no autorizado de intrusos;

Falta de autenticacin de usuarios:


Esto dificulta la identificacin de usuarios no autorizados;

Ausencia de mtodos confiables de autenticacin de usuarios;


Un mtodo no confiable de autenticacin de usuarios es levemente mejor que
ningn mtodo de autenticacin de usuarios;

reas de procesamiento de informacin y de entrega y carga de materiales


comunicadas:
Facilita el acceso de intrusos al sector de cmputos;

reas de entrega y carga de materiales descuidadas:

71

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Facilita la circulacin de personas no autorizadas con los efectos consecuentes


(hurtos, infiltrados, etc);

Integracin del rea de procesamientote informacin administrada por la


organizacin y la administrada por terceros:
Provoca una alteracin a la confidencialidad de datos y la exposicin a ataques
internos por parte de terceros (ver la seccin 4.1.2.1 Proteccin de la
informacin);

Sealizacin indiscreta del edificio o sobreindicacin:


Toda la ayuda que se de para acceder a los sectores protegidos ser una
herramienta til para un intruso que desee perpetrar las instalaciones;

Falta de sistemas de deteccin de intrusos;

Hacer pblica informacin sensible:


Toda informacin delicada debe ser cuidadosamente administrada, pues todo dato
es una llave para el sistema, que un intruso experimentado puede utilizar. Por
ejemplo, es comn hacer pblicas todas las extensiones telefnicas, incluso las
de los sectores restringidos. Si un usuario no autorizado accede a uno de estos
nmeros, sera capaz de implementar la ingeniera social para obtener
informacin o accesos que no le pertenecen.

Amenazas a los equipos.

Mala distribucin fsica de los activos:


Los equipos pueden estar ubicados en forma descuidada, expuestos a catstrofes
naturales (cerca de ventanas) o hurto (cerca de puertas o pasillos);

Almacenamiento de materiales dainos cerca de los equipos:


Como combustibles o qumicos;

Humo del cigarrillo:


El humo del cigarrillo ataca los discos magnticos y pticos y provoca trastornos
en la ventilacin de los artefactos elctricos. Adems, el cigarrillo puede provocar
incendios;

Permitir comer y beber en los sectores con equipos:


La comida y bebida puede provocar deterioros en los equipos y cortocircuitos y
hasta quemar elementos elctricos;

72

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Exposicin a temperaturas extremas:


Exponer los equipos a temperaturas extremas daa sus circuitos, provocando
cortocircuitos e incendios.;

Terminales abandonadas:
Las terminales encendidas en desuso son un riesgo alto, ya que cualquier persona
puede hacer uso de sus recursos, sin siquiera la necesidad loguearse;

Falta de higiene:
La falta de higiene en oficinas puede provocar dao en los documentos impresos
y en los equipos por acumulacin de polvo, grasa, etc;

Descuido de las unidades de soporte de informacin:


Tener en mal estado o en lugares inseguros las unidades de backup y
recuperacin de sistemas es casi lo mismo que no tenerlas;

No llevar un control de los cambios en los equipos:


No registrar cada alta, baja o modificacin en los equipos conlleva a un
desconocimiento del capital invertido, con lo que cualquier hurto pasara
desapercibido.

Amenazas generadas por el uso de una red fsica de datos.


Cuando un mensaje M es enviado por un usuario origen A a un usuario destino
B determinado a travs de una red, como se muestra en la figura 1, este mensaje
viaja por el medio fsico con el riesgo de sufrir alguno de los siguientes ataques por
parte de un intruso I:

M
A

Figura 1
En el medio del viaje del origen al destino, el mensaje puede sufrir de ataques de
intrusos para su lectura, modificacin, o eliminacin. A continuacin detallamos las
amenazas ms comunes que puede sufrir un mensaje:

Tipos de amenazas

73

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

1) Interrupcin: Sucede cuando el destinatario nunca recibe el mensaje emitido


por el origen:
M
A

Figura 2

2) Intercepcin: El mensaje enviado por el origen es interceptado por un intruso


que recibe el mensaje tanto como el verdadero destino:

M
A

Figura 3

3) Modificacin: El mensaje enviado por el origen es interceptado por un intruso


que lo modifica, y lo reenva modificado al verdadero destino. El destino recibe
el mensaje modificando creyendo que es el original:

M
A

B
M
I

Figura 4

4) Fabricacin: El mensaje enviado por el origen nunca es distribuido; en su


lugar el intruso enva otro mensaje en reemplazo del original:
5)

74

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

N
I

Figura 5

Factores de riesgo

conectores de LAN inutilizados, al descubierto:


Cualquier usuario no autorizado puede conectar una Laptop y sumarse a la red
directamente;

Cables al descubierto:
Pueden ser daados con facilidad provocando una negacin deservicio;

Cables atravesando zonas pblicas:


Pueden ser interceptados por intrusos que desven o modifiquen los paquetes
transmitidos;

Tender los cables de energa junto con los cables de comunicaciones:


Pueden provocar interferencias en las comunicaciones;

2.3.5.2 Vulnerabilidades a nivel lgico


Amenazas generadas por el uso del correo electrnico

Virus:
Son porciones de cdigo que son insertadas dentro de un archivo (generalmente
ejecutable) llamado host, de manera que cuando el archivo es ejecutado, se
ejecuta tambin la porcin de cdigo insertada, la cual puede efectuar distintas
acciones malintencionadas, destructivas, y hasta copiarse en otros archivos;

Gusanos (Worms):

75

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Son programas independientes (no necesitan insertarse en otros archivos) que se


expanden a travs de la red realizando distintas acciones como instalar virus, o
atacar una PC como un intruso;

Troyanos:
Son programas que tienen una porcin de cdigo oculta, que dicen hacer una
cosa y en realidad hacen otra (desconocida por el usuario) o simplemente hacen
lo que dicen hacer y adems ejecutan instrucciones no autorizadas;

Conejos:
Son programas que no daan directamente al sistema por alguna accin
destructiva, sino que tienen la facilidad de reproducirse exponencialmente de
manera de provocar en poco tiempo una negacin de servicio al consumir los
recursos (memoria, disco, procesador, etc);

Empleados pueden comprometer a la organizacin, enviando correos electrnicos


difamatorios, llevando a cabo prcticas de hostigamiento, o realizando compras
no autorizadas;

Acceso remoto a las cuentas de correo electrnico sin control;

Falta de una poltica de eliminacin de mensajes:


Puede suceder que se eliminen mensajes que, si se almacenaran, podran ser
hallados en caso de litigio;

Los mensajes son vulnerables a ser modificados por personas no autorizadas;

Es un servicio vulnerable al descubrimiento (disclosure) de informacin


confidencial;

Se pueden producir errores como por ejemplo la consignacin incorrecta de la


direccin de destino, o la publicacin de direcciones de personal jerrquico de la
empresa.

Amenazas generadas por el uso de software daino

Bombas lgicas:
Son un conjunto de instrucciones que se ejecutan bajo condiciones especiales
(una fecha, etc);

Backdors y trapdors:
76

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Son instrucciones que permiten a un usuario acceder a otros procesos o a una


lnea de comandos, y suelen ser aprovechados por intrusos malintencionados
para tomar control sobre las computadoras;

Timeouts:
Son programas
determinado;

que

se

pueden

utilizar

durante

un

perodo

de

tiempo

Herramientas de seguridad:
Son utilitarios que sirven para identificar vulnerabilidades en un sistema. Pueden
ser una amenaza si un intruso las utiliza en el sistema y detecta fallas en la
seguridad de las que el administrador no est enterado.

Amenazas generadas por la presencia de intrusos

Eaves dropping:
Es la escucha no autorizada de conversaciones, claves, datos, etc;

Ingeniera social:
Consiste en la manipulacin de las personas para que voluntariamente realicen
actos que normalmente no haran, como revelar su contrasea o cambiarla;

Shoulder Surfing:
Consiste en espiar fsicamente a los usuarios para obtener claves de acceso al
sistema, nmeros vlidos de tarjetas de crdito, etc;

Masquerading:
Un intruso puede usar la identidad de un usuario autorizado que no le pertenece
simplemente apoderndose de un nombre de usuario y contrasea vlidos;

Piggy backing:
Ocurre cuando un usuario no autorizado accede a una zona restringida gracias al
permiso otorgado a otra persona que s est autorizada;

Basurero:
La informacin de los desperdicios dejados alrededor de un sistema puede ser
aprovechada por intrusos provocar un hurto o dao.

77

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Vulnerabilidades en los sistemas operativos

Existencia de cuantas de usuarios no utilizadas:


Muchas cunetas de usuario son creadas por defecto en la instalacin del sistema
operativo y nunca son deshabilitadas, a pesar de que no se utilicen. Esta situacin
es una puerta abierta para los intrusos que conocen estas vulnerabilidades de los
sistemas operativos;

Existencia de cuantas de usuario con permisos excesivos:


Generada por la falta de control de los permisos asignados a los usuarios;

Existencia de servicios no utilizados:


Muchos servicios (en particular los de red, y los de conexin remota) son
instalados por defecto con el sistema operativo, o para la corrida de procesos
especiales y nunca son eliminados. Estos pueden ser utilizados por intrusos para
manipular el sistema en forma remota y acceder a los recursos;

Malas configuraciones de seguridad del sistema operativo:


Como la existencia de cuentas de usuario creadas en la instalacin, que son de
conocimiento pblico y muchas veces se crean con una contrasea por default,
aumentando el riesgo de ataques a la integridad y confidencialidad mediante un
acceso no autorizado;

Errores en los archivos de configuracin existentes y sus valores;

Falta de un esquema de backup;

Ausencia de una estrategia de recuperacin ante desastres:


El Plan de Recuperacin del Entorno ante Desastres cubre las aplicaciones,
equipos y software base que soporta el negocio para su recuperacin. No poseer
un plan de accin ante emergencias implica un crecimiento exponencial del
tiempo invertido en la recuperacin de las prestaciones, y una potencial prdida
de informacin vital para el negocio;

Contraseas almacenadas en texto plano:


Algunos sistemas operativos almacenan las contraseas en texto plano
permitiendo el acceso autorizado (enmascarado) de intrusos si ellos lograran
acceder a la informacin de passwords. sta es una de las primeras tcticas que
utilizan los intrusos para atacar sistemas dbiles;

Falta de registro de las pistas de auditora:

78

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Las pistas de auditora o logs sirven para dejar registro de las acciones de los
usuarios y los procesos. No llevar un adecuado registro de las pistas de auditora
dificulta la tarea de deteccin de intrusos y recuperacin de informacin.

Vulnerabilidades en las aplicaciones


A nivel funcional:

Falta de documentacin:
La ausencia de documentacin dificulta la capacitacin de los usuarios y el
seguimiento de los proyectos y procesos, provocando incoherencias en el trabajo,
por ejemplo entre los requerimientos de usuario y los cambios realizados en el
software afectado;

Mala organizacin del rea de sistemas;

Mala administracin de la seguridad informtica;

Fallas en la metodologa de desarrollo de las aplicaciones;

Planificacin deficiente;

Pobre separacin de tareas;

Falta de separacin de ambientes:


La separacin de ambientes es fundamental, ms all de las ventajas
metodolgicas en el proceso de desarrollo de software, en la conservacin de la
integridad de los datos a travs de la separacin lgica y fsica de los entornos de
produccin, desarrollo y prueba;

Mala configuracin de entornos:


Generalmente en los entornos de desarrollo se otorgan permisos excesivos a los
programadores que provocan fallas en la confidencialidad e integridad de los
datos;

Falta de las pruebas en el desarrollo de aplicaciones;

Mal manejo de datos:

79

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Datos utilizados para las pruebas:


Muchas veces se utilizan para las pruebas datos de produccin. Esto no es
crtico si la base de datos de prueba es independiente, pero tiene un riesgo
asociado cuando se manejan datos de carcter personal, protegidos por las
leyes de todo el mundo, para los cuales hay que tomar medidas de seguridad
adicionales. La falta de estos controles o el uso indebido de datos puede tener
consecuencias legales graves;

Clasificacin, manejo y proteccin de los datos productivos:


La falta de anlisis de criticidad de los datos y categorizacin hace que no se
brinden los controles que garanticen la correcta manipulacin de datos con la
consecuente prdida de confidencialidad e integridad.

Falta de control de cambios;

Defectos en la funcionalidad general de la aplicacin;

Falta de coherencia con los objetivos del negocio;

Mala separacin en mdulos;

Mala administracin de la aplicacin:


o

Falta de organizacin de los perfiles de usuarios;

Formas errneas de asignacin de permisos;

Falta de registro y control de las pistas de auditora;

Mal manejo de incidencias.

Prestaciones limitadas;

Pobre anlisis del control interno:

Falta d separacin de tareas;

Anlisis de asignacin de funciones incompatibles.

Falta de asignacin de responsabilidades de seguridad;

Aspectos lgicos:

Mala estructura de navegacin del men/ pginas de la aplicacin;

80

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Errores en las interfaces e interaccin con otros servicios;

Malas configuraciones de seguridad del sistema operativo;

Vulnerabilidades en los servicios prestados por el mismo servidor;

Errores en los archivos de configuracin existentes y sus valores;

Mal manejo de transacciones;

Mal manejo de la concurrencia;

Falta de un esquema de backup;

Ausencia de una estrategia de recuperacin ante desastres;

Mala administracin de la base de datos;

Mala configuracin de seguridad de las bases de datos utilizadas;

Formas inseguras de comunicacin con la aplicacin;

Contraseas almacenadas en texto plano;

Falta de registro de las pistas de auditora;

Mal manejo de datos:

Falta de validacin de los datos de entrada;

Falta de validacin de los datos de salida.

Mal manejo de errores de la aplicacin.

Amenazas generadas por mala administracin de la informacin

No controlar el acceso a los sistemas:


Cualquier usuario podra utilizar y modificar los archivos sin tener que pasar
ninguna barrera que filtre a los intrusos;

No llevar un registro de los incidencias (como prdida de datos o mal


funcionamiento de software);

No contar con un sistema de perfiles de usuarios:


Un sistema de perfiles permite asignar distintos privilegios a los usuarios, de
manera que no todos tengan las mismas posibilidades de acceso a los recursos,
segn su tarea. Si esto no se tiene en cuenta, un data entry podr acceder a los
recursos indistintamente del gerente de sistemas, o del administrador de bases
de datos;

No llevar un control de los cambios en el software:


No registrar cada alta, baja o modificacin en los programas de software conlleva
a un desconocimiento del capital invertido, con lo que cualquier hurto o
modificacin pasara desapercibido;

Ausencia de un control de impacto del nuevo software:


81

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Puede haber una incoherencia entre los requerimientos de capacidad de


procesamiento y almacenamiento del nuevo software, y los disponibles, o una
incompatibilidad con la plataforma de hardware utilizada;

No mantener actualizado el software de deteccin y reparacin antivirus:


[10lawsMS] asegura que: Un antivirus desactualizado es slo marginalmente
mejor que ningn antivirus;

Falta de backups:
Sin copias de respaldo la recuperacin de la informacin y la restauracin del
sistema luego de un incidente es imposible;

Realizacin de backups incompletos pueden llegar a no servir de mucho a la hora


de reconstruir un sistema cado;

Acceso ilimitado o no controlado a los datos:


Permite el libre acceso de intrusos a los datos facilitando los ataques annimos;

Documentacin desprotegida;
Un intruso o espa puede hacer mal u:o de la documentacin para distintos fines:
espionaje, sabotaje, hurto, o para obtener informacin que le sirva como puerta
al sistema objetivo;

2.3.5.3 Vulnerabilidades a nivel de la organizacin.

Superposicin o mala asignacin de roles:


[CISA] realiz un estudio de compatibilidades de funciones y desarroll una
matriz de compatibilidades donde se refleja qu funciones son compatibles o no
con otras, por lo que deberan llevarse a cabo por distintas personas. Este criterio
es utilizado para reforzar el control interno por oposicin de intereses;

Ausencia de administradores y responsables por la seguridad del sistema:


Esta falta implica una gran falla en la seguridad ya que se omite el primer paso
en el camino de la proteccin: el control. Los administradores y las personas
responsables por la seguridad del sistema cumplen un rol fundamental en este
proceso, y su ausencia exhibe una clara desatencin en la materia de seguridad,
que provocar:
o

Ausencia o mal manejo de incidencias;

Mala administracin de los recursos;

Falta de control lgico;

82

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Falta de registro o monitorizacin de la actividad del sistema;

Etc.

Falta de polticas contra ataques internos;

Ausencia de una Normativa de Seguridad;

Descuido de los escritorios y las pantallas:


Dejando el acceso libre a los documentos y archivos de la oficina;

Sectores de desarrollo, de prueba y produccin unificados:


Provoca fallas en la calidad del software y falta de control en las distintas etapas
del desarrollo de software, adems de problemas en la implantacin en el
ambiente de produccin;

Falta de registro del flujo del personal:


No permite detectar intrusos, provocando hurtos y otros ataques;

Falta de proteccin de las operaciones de comercio electrnico;

2.4 Anlisis de Riesgos


A partir del Mapa de Vulnerabilidades construido en la etapa anterior de la fase de
Definicin del Alcance de la MAEI, se analiza el riesgo que corren los activos de la
organizacin para determinar la probabilidad de ocurrencia de incidencias de
seguridad y su impacto en el sistema.
Los riesgos pueden ser:

Tecnolgicos: si tienen origen o afectan aspectos tcnicos del entorno (como


deterioro de equipamientos, falta de disponibilidad de recursos, etc);

Funcionales: si tienen origen o afectan aspectos funcionales del entorno (como


posible descubrimiento de informacin por la existencia de usuarios con
contrasea por default, o el acceso no autorizado a los recursos por una pobre
autenticacin de usuarios).

83

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Todos los entornos estn expuestos a amenazas. Todos los entornos tienen
vulnerabilidades, algunas conocidas, otras no, pero estn presentes, esperando ser
usadas por un atacante para penetrar las barreras de seguridad y apoderarse de
informacin, denegar servicios, o provocar toda clase de dao.
No importa la plataforma tecnolgica, no importa la marca de software que se usa.
Tampoco importa la infraestructura edilicia, los equipos, el cableado. Siempre existen
riesgos.
Existe una relacin entre tipo de desastre y sus efectos, y, por supuesto, su
probabilidad de ocurrencia. Los riegos reales y potenciales son variables en el tiempo
y en el lugar.
En el Anlisis de vulnerabilidades se vieron los distintos tipos de amenazas que
pueden presentarse a nivel lgico, fsico y de la organizacin.
No es posible eliminar todos los riesgos sino que se pueden mitigar (empleando
medidas para reducirlos), transferir (ceder su responsabilidad a otra persona) o
asumir (cuando se decide correr el riesgo con sus posibles consecuencias).
Sin embargo, siempre existen riesgos remanentes y desconocidos.
Es ms, cada da surgen nuevos riesgos a medida que la tecnologa avanza y los
sistemas cambian. Los entornos informatizados suelen acompaar estos cambios
adaptndose a los requerimientos tecnolgicos del momento. Es por eso que surgen
nuevos riesgos da a da.
Es tarea del ES en esta parte de la metodologa examinar las vulnerabilidades
halladas y evaluar su riesgo asociado, determinar su probabilidad de ocurrencia y
medir su impacto en el entorno.
Los riesgos observados que presentan una probabilidad de ocurrencia no
despreciable en funcin de las caractersticas del entorno varan desde los factores
climticos y meteorolgicos que afectan a la regin hasta el factor humano de los
recursos de la empresa.
Para la evaluacin de riesgos es posible utilizar mtodos muy variados en
composicin y complejidad, pero para todos ellos es necesario realizar un diagnstico
de la situacin.
Un mtodo comnmente utilizado es el diagrama:

84

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Alto
Mayor
Probabilidad
de ocurrencia

Bajo

importancia

Impacto

Alto

Este anlisis de riesgos permite al ES ofrecer un informe de los riesgos entorno, los
peligros que corre e identificar los requerimientos de seguridad del sistema objetivo y
su prioridad, de manera de poder encarar la elaboracin del Plan de Aseguramiento
del proyecto junto a los requerimientos planteados por el usuario.
El anlisis de riesgos se realiza en cada rea de la empresa, mediante mtodos de
adquisicin de informacin como entrevistas con los usuarios.

2.4.1 Informe de Riesgos


A continuacin se presenta un documento que ayuda a la formalizacin de estos
conceptos para su estudio: el Informe de Riesgos.
Este documento recompila todas las vulnerabilidades halladas en la etapa anterior de
la metodologa, para evaluar su riesgo, su criticidad, la probabilidad de que ocurran y
determinar su impacto en el entorno informatizado y en el negocio.
Esta es una adaptacin de la Tabla de Riesgos utilizada en el anlisis de sistemas en
la que se ha agregado la criticidad que implica la vulnerabilidad en estudio.
Se recomienda agrupar las vulnerabilidades con algn criterio, como por ejemplo por
nivel de criticidad, que puede clasificarse en:

Alto;

Medio;

85

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Bajo.

U ordenarlas en forma decreciente segn su impacto o probabilidad de ocurrencia.

Formato del Informe de Riesgos

VULNERABILIDAD

RIESGO

CRITICIDAD

P(ocurrencia)

IMPACTO

Descripcin de los campos


#: Nmero correlativo de vulnerabilidad.
VULNERABILIDAD: Nombre de la vulnerabilidad descubierta en la etapa de anlisis
de vulnerabilidades.
RIESGO: Breve descripcin del riesgo detectado en el anlisis. Es todo evento, falla
o bien que ponga en peligro la integridad, la confidencialidad o la disponibilidad de la
informacin o los recursos y activos;
CRITICIDAD: Una medida de la criticidad del riesgo, segn el criterio aplicado en la
evaluacin de vulnerabilidades del Relevamiento de Usuario:

0: No representa amenaza alguna;

1: Amenaza leve;

2: Gran amenaza al sistema.

P (ocurrencia): Es la probabilidad de ocurrencia de dicho evento tomando en


cuenta las amenazas y vulnerabilidades predominantes, y los controles actualmente
implementados.
IMPACTO: Es el efecto potencial de una falla de seguridad, teniendo en cuenta sus
consecuencias en el negocio.

2.4.2 Ejemplo Informe de Riesgos.

86

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

VULNERABILIDAD

RIESGO

CRITICIDAD

P(ocurrencia)

IMPACTO

Existencia de material
inflamable en el CPD
(Centro de
Procesamiento de
Datos)

Fuego en el
Data Center

0.5

Destruccin de equipos
y espacio fsico

Existencia de material
inflamable en el CPD y
en las oficinas
aledaas

Fuego en
lugares
cercanos

0.45

Destruccin de
documentacin
impresa y posibilidad
de afeccin del centro
de cmputos

Ubicacin fsica en
zona inundable

Inundacin

0.1

Posibles cortocircuitos,
equipos quemados,
incendios

Fallas en el
aire
acondiciona
do

0.4

Mal funcionamiento
por recalentamiento de
equipos

Falta de
mantenimiento de los
equipos de
procesamiento de
datos.

Fallas en
equipos

0.5

Indisponibilidad de los
servicios

Existencia de cables de
red al descubierto
atravesando los
pasillos

Fallas en
comunicacio
nes

0.3

Indisponibilidad de los
servicios

Descuido del cableado


elctrico, falta de
acondicionamiento de
la central elctrica y
pobre aislamiento.

Corte de
suministro
elctrico

0.6

Indisponibilidad de los
servicios, prdida de
datos.

10

Falta de equipo de aire


acondicionado de
backup

Acto de
vandalismo

0.1

Prdida de equipos,
negacin de servicios,
prdida de
informacin, mala
imagen en clientes,
prida de confiabilidad.

Exposicin de los
equipos a terceros.

Acto de
sabotaje o
robo

0.45

Prdida de
confiabilidad, prdida
de informacin.

Administracin de los
equipos por personal
no especializado.

Errores
humanos no
intencionale
s

0.5

Indisponibilidad de los
servicios, prdida de
datos.

Exposicin de los
equipos a personal no
autorizado.

Diagrama de riesgos:
El diagrama de riesgos esquematiza el impacto de los riesgos en funcin de su
probabilidad de ocurrencia.
Cuanto mayor sea el impacto y la probabilidad de ocurrencia, ms fuertes debern
ser los controles a aplicar para mitigar el riesgo asociado.

87

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Los riesgos ms altos, por ende, se ubicarn en el cuadrante derecho superior del
siguiente diagrama:

Probabilidad de Ocurrencia

Anlisis de Riesgos en el CPD


1

Fuego en el C PD
Fuego en lugares
cercanos
Inundacin
Fallas en el aire
acondicionado
Fallas en equipos

0,5

Fallas en comunicaciones
C orte de suministro
elctrico
Acto de vandalismo

0
0

0,5
Impacto

Acto de sabotaje o robo


Errores humanos no
intencionales

88

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

PLANIFICACIN

Contenido:
3.1 Elaboracin del Plan de Aseguramiento.
3.1.1 Proteccin fsica.
3.1.1.1 Proteccin de las Instalaciones.
3.1.1.2 Proteccin de los equipos.
3.1.2 Proteccin lgica.
3.1.2.1 Proteccin de la informacin.
3.1.2.2 Proteccin del Sistema Operativo.
3.1.2.3 Proteccin de los datos.
3.1.3 Proteccin a nivel de la organizacin.
3.2 Aprobacin del Plan de Aseguramiento.

89

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

3.1 ELABORACIN DEL PLAN DE ASEGURAMIENTO


En esta parte de la fase de planificacin se establece, en base al Alcance y al
Relevamiento anteriormente realizado, el Plan de Aseguramiento.
Este documento describe en forma precisa y detallada las medidas, cambios y
controles que se implementarn a fin de proteger el sistema objetivo, mitigando los
riesgos descubiertos en la fase anterior de la MAEI.
Los objetivos de control planteados por el Experto en la etapa de Anlisis de
Vulnerabilidades se reflejan aqu en medidas de control que garanticen la reduccin
del riesgo asociado a las vulnerabilidades halladas, tanto en aspectos tecnolgicos
como funcionales.
[IRAM/ISO/IEC17799] indica: Una vez identificados los requerimientos de
seguridad, deben seleccionarse e implementarse controles para garantizar que los
riesgos sean reducidos a un nivel aceptable. Los controles deben seleccionarse
teniendo en cuenta el costo de implantacin en relacin con los riesgos a reducir y las
prdidas que podran producirse de tener lugar una violacin de la seguridad.
Tambin deben tenerse en cuenta los factores no monetarios, como el dao en la
reputacin.
Se detall en etapas anteriores de la MAEI cmo a partir de un anlisis de
vulnerabilidades, de requerimientos de usuario y de riesgos se llega a establecer el
Alcance.
En la presente fase se pretende dar una serie de medidas, controles y tcnicas
aplicables a cualquier sistema de informacin, con el fin de alcanzar los resultados
fijados en el Alcance.
Sin embargo, no es el fin de este trabajo dar detalles sobre las tcnicas a
implementar para conseguir estos resultados, entendindose por buenos resultados
el aseguramiento del elemento en cuestin. Se limitar a dar las pautas
procedimentales para asegurar el entorno informatizado que es objetivo, y el ES que
lo implemente deber realizar el trabajo de investigacin especfico para obtener los
resultados propuestos por este trabajo, segn la tecnologa involucrada.

3.1.1 Proteccin fsica

90

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

3.1.1.1 Proteccin de las Instalaciones


Se analiza en esta parte la proteccin del edificio, salas e instalaciones a nivel fsico.
Se evala la implantacin de alguna de las siguientes tcnicas:

Definicin de reas de la organizacin en cuanto a seguridad:


En esta etapa se debern diferenciar los sectores de acceso comn a todos los
usuarios (como el comedor, la sala de reuniones, etc) de los sectores de acceso
restringido (como el rea de cmputos o tesorera) y los distintos niveles de
seguridad requeridos;

Definicin de un permetro de seguridad:


Un permetro de seguridad es un rea considerada segura. Al definir un permetro
de seguridad, se establece un rea donde se implementarn medidas de
proteccin que garanticen cierto grado de seguridad, como por ejemplo, berreras
fsicas;
[IRAM/ISO/IEC17799] define: Un permetro de seguridad es algo delimitado por
una barrera, por ejemplo, una pared, una puerta de acceso controlado por tarjeta
o un escritorio u oficina de recepcin atendidos por personas.

Construccin de barreras fsicas:


Paredes, alarmas, cerraduras, sistemas automticos de autenticacin de usuarios,
etc;

Verificacin del permetro de seguridad:


Realizar pruebas de penetracin de las barreras fsicas, para determinar su
fortaleza;

Determinacin de reas protegidas:


Un rea protegida es una zona que se desea mantener segura, a la que no tiene
acceso todo el personal, sino un grupo reducido de ste, a la que acceden con
fines especficos y bajo severos controles de autenticacin. Puede ser una oficina
cerrada con llave, o diversos recintos dentro de un permetro de seguridad fsica
donde se realicen operaciones confidenciales, como el centro de procesamiento
de informacin, etc. Se deben definir las zonas u oficinas que tienen estos
requerimientos;

Controles en las reas protegidas:


o

Dar conocimiento de la existencia de un rea protegida, o de las actividades


que se llevan a cabo dentro de la misma, slo al personal estrictamente
necesario e involucrado;
91

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Controlar el trabajo en las reas protegidas tanto por razones de seguridad


como para evitar la posibilidad de que se lleven a cabo actividades maliciosas;

Bloquear fsicamente las reas protegidas desocupadas e inspeccionarlas


peridicamente;

Brindar acceso limitado a las reas protegidas o a las instalaciones de


procesamiento de informacin sensible al personal del servicio de soporte
externo. Otorgar este acceso solamente cuando sea necesario y autorizar y
monitorearlo.
Pueden requerirse barreras y permetros adicionales para
controlar el acceso fsico entre reas con diferentes requerimientos de
seguridad, y que estn ubicadas dentro del mismo permetro de seguridad;

Prohibir el ingreso de equipos fotogrficos, de vdeo, audio u otro tipo de


equipamiento que registre informacin.

Determinacin de un rea de acceso y autenticacin de personal:


El control de acceso y la autenticacin de usuarios se deben realizar en un punto
de acceso comn y alejado de las reas protegidas. Se recomienda la
centralizacin del puesto de acceso para facilitar el registro y control de flujo de
personal;

Determinacin de uno o varios mtodos de autenticacin de usuarios:


Autenticar usuarios implica verificar a los usuarios que intentan acceder al
entorno, a la red o al sistema, comprobando que estos sean quienes dicen ser.
Existen muchos mtodos de autenticacin de usuarios, y se clasifican segn lo
que utilizan para la verificacin de la identidad:
o

Mtodos que se basan en algo que el usuario sabe:


Contraseas (passwords);
Frases secretas (passphrases);

Mtodos que autentican a travs de un elemento que el usuario posee o lleva


consigo:
Tarjetas magnticas;
Tarjetas de identidad inteligentes (chipcards o smartcards) que poseen un
procesador que se encarga de encriptar la informacin y otras funciones;

Mtodos que utilizan caractersticas fsicas del usuario o actos inconscientes:


Verificacin del aspecto fsico;
Reconocimiento por huella digital;
Reconocimiento por el patrn de la retina del ojo;
Reconocimiento por el patrn del iris del ojo;
Reconocimiento de la voz;
Firmas es un acto inconsciente, ya que no se razona cmo se hace cada
trazo);
Verificacin de la geometra de la mano;

92

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Determinacin de la forma de registro del flujo de personas en los distintos


sectores:
Por ejemplo, mediante un sistema de tarjetas magnticas:

Registrar la hora de ingreso y egreso de cada usuario que ingrese al edificio;

Registrar la hora de ingreso y egreso de cada usuario que recurra al centro de


cmputos;

Separacin del rea de procesamiento de informacin de las reas de entrega y


carga de materiales:
Si estas reas se mantienen separadas por barreras fsicas, se evitan graves
intrusiones y hurtos de informacin;

Separacin de las reas de entrega y carga de materiales:


Las reas de entrega y carga, si es posible, se aslan de las instalaciones de
procesamiento de informacin, a fin de impedir accesos no autorizados;

Controles en las reas de entrega y carga de materiales:


o

Controlar el acceso a las reas de depsito, desde el exterior de la sede de la


organizacin. El acceso estar limitado a personal que sea previamente
identificado y autorizado;

Disear el rea de depsito de manera tal que los suministros puedan ser
descargados sin que el personal que realiza la entrega acceda a otros sectores
del edificio;

Establecer un mecanismo que obligue a que todas las puertas exteriores de un


rea de depsito se cierren cuando se abre la puerta interna;

Inspeccionar el material entrante para descartar peligros potenciales antes de


ser trasladado desde el rea de depsito hasta el lugar de uso;

Separacin del rea de procesamiento de informacin administrada por la


organizacin de la administrada por terceros:
Las instalaciones de procesamiento de informacin administradas por la
organizacin se ubican fsicamente separadas de aquellas administradas por
terceros;

Sealizacin discreta del edificio:


Establecer una forma de identificacin de sectores dentro del edificio de manera
discreta y se ofrece una sealizacin mnima de su propsito, sin signos obvios,
exteriores o interiores, que identifiquen la presencia de actividades de
procesamiento de informacin;

Implantacin de sistemas de deteccin de intrusos:


Implantar adecuados sistemas de deteccin de intrusos que se instalan segn
estndares profesionales y probados peridicamente.
Estos sistemas
93

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

comprenden todas las puertas exteriores y ventanas accesibles. Las reas vacas
deben tener alarmas activadas en todo momento. Tambin se considera la
proteccin de otras reas, como la sala de cmputos o las salas de
comunicaciones;

No hacer pblica informacin sensible:


o

Las guas telefnicas y listados de telfonos internos que identifican las


ubicaciones de las instalaciones de procesamiento de informacin sensible no
deben ser fcilmente accesibles al pblico;

Llevar un exhaustivo control de la informacin publicada en los servidores


Web de acceso Pblico, en particular la referida a la institucin.

3.1.1.2 Proteccin de los equipos


Se analiza en esta parte la proteccin de los distintos Activos a nivel fsico. Se evala
la posibilidad de implementar alguna de las siguientes tcnicas:

Evaluacin de la distribucin fsica de los activos:


Se realiza a fin de evitar accidentes, o para prevenir, mediante la ubicacin
estratgica de los bienes, hurtos o deterioros de activos:

Ubicar las instalaciones clave en lugares a los cuales no pueda acceder el


pblico;

Ubicar las funciones y el equipamiento de soporte compartidas por los


usuarios, por ejemplo, fotocopiadoras, mquinas de fax, dentro del rea
protegida para evitar solicitudes de acceso, que podran comprometer la
informacin;

Mantener alejados los suministros:


o

Almacenar los materiales peligrosos o combustibles en lugares seguros a una


distancia prudencial del rea protegida;

No almacenar los suministros a granel, como los tiles de escritorio, en el


rea protegida hasta que sean requeridos;

Individualizacin de los elementos de red:


Es fundamental tener un conocimiento completo de la red, individualizar todos
sus elementos, su respectiva ubicacin fsica y su direccin lgica.

Para ello se presenta una tabla que registra estos datos: el Mapa de elementos de
red.

94

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Mapa de Elementos de Red

SUBNET

ELEMENTO

SECTOR

IP

Descripcin de los campos


SUBNET: Direccin IP de la subred a la que pertenece.
ELEMENTO: tipo de elemento de red:

CPU;

Router;

Switch;

SECTOR: lugar fsico donde el elemento est ubicado el elemento;


IP: direccin IP local de la mquina;

Rotulacin de activos fsicos:


Los equipos, dispositivos externos, cintas de backup y dems activos fsicos
deben ser rotulados segn la nomenclatura fijada en el Inventario de Activos
Fsicos de forma clara y legible;

Control de cambios en equipos:


o

Mantener el
equipamiento de acuerdo con los intervalos de servicio y
especificaciones recomendados por el proveedor;

Permitir que slo personal de mantenimiento autorizado brinde mantenimiento


y lleve a cabo reparaciones en el equipamiento;

Mantener registro de todas las fallas supuestas o reales en el Registro de


Incidencias y de todo el mantenimiento preventivo, correctivo y
actualizaciones de hardware en el documento de ABM Activos y en el
Inventario de Activos Fsicos, segn lo especificado en la fase de
Mantenimiento de la MAEI;

Verificar que en el mantenimiento se cumpla con todos los requisitos


impuestos por las plizas de seguro;

Prevencin de catstrofes:

95

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Incendios:
Provocados por rayos, por fallas elctricas o descuido de los usuarios
(cigarrillos, hornallas). Colocar extinguidotes automticos en los techos, y
extinguidotes manuales en todo el edificio;

Humo:
Provocado por incendios y por el cigarrillo. El humo ataca los discos
magnticos y pticos y provoca trastornos en la ventilacin de los artefactos
elctricos. Se considera prohibir fumar en las oficinas y colocar detectores de
humo en los techos;

Temperaturas extremas:
Los artefactos elctricos y electrnicos funcionan correctamente dentro de un
rango determinado de temperaturas, en general entre los 0 y los 70 grados
centgrados. Si se exceden estos extremos se corre el riesgo de que los
materiales dejen de ser ferromagnticos. Consultar los manuales de los
fabricantes y mantener la temperatura dentro de los rangos sugeridos. Se
aconseja la utilizacin de equipos de aire acondicionado en todas las salas;

Polvo:
El polvo se deposita sobre los artefactos removibles y entra por los
ventiladores de las CPU y daa los circuitos. Es necesario tener una rutina de
limpieza y aspiracin de los ambientes;

Explosiones;

Vibraciones:
Ciertos objetos presentes en oficinas provocan vibraciones indeseadas.
Impresoras, mquinas expendedoras de bebidas, provocan estas vibraciones.
Instalar plataformas antivibracin;

Electricidad:
Trastornos o fallas en la lnea elctrica pueden provocar cortocircuitos, subidas
de tensin, cortes en el flujo elctrico y hasta incendios. Instalar cables a
tierra y estabilizadores de tensin. Tambin se sugiere la utilizacin de
bateras o unidades de alimentacin ininterrumpida;

Tormentas elctricas:
Las tormentas elctricas pueden provocar altsimas subidas de tensin que
quemen los equipos. Para evitar esto se colocan pararrayos, guardar los
backups lejos de columnas metlicas para que no se desmagneticen, y
desconectar los equipos de la lnea elctrica cada vez que se desata una
tormenta;

96

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Ruido elctrico:
El ruido elctrico es generado por motores, equipos elctricos y celulares.
Colocar filtros en la lnea de alimentacin y alejar los equipos de otros
artefactos;

Humedad:
El exceso de humedad en equipos elctricos provoca cortocircuitos y la
escasez de humedad provoca esttica. Se recomienda instalar alarmas
antihumedad y mantener la misma al 20%;

Inundaciones:
Colocar los equipos alejados del piso, instalar un falso suelo o ubicar censores
en el piso que corten el suministro de energa elctrica al detectar agua;

Terremotos:
Para proteger los equipos ms crticos de los terremotos se fijan stos de
manera que no se puedan desplazar y se trata de ubicar todo equipo alejado
de las ventanas;

Insectos;

Comida y bebidas:
La organizacin debe analizar su poltica respecto de comer, beber y fumar
cerca de las instalaciones de procesamiento de informacin. Se recomienda
prohibir estas actividades para proteger los equipos e instalaciones;

Terminales abandonadas:
Las terminales encendidas en desuso son un riesgo alto. Utilizar un sistema
automtico de deteccin y apagado de terminales encendidas en desuso;

Vandalismo;

Hurto;

Ubicacin de la informacin crtica en lugares seguros:


Mantener el equipamiento de sistemas de soporte UPC (usage parameter control),
de reposicin de informacin perdida (fallback) y los medios informticos de
respaldo (backups) a una distancia prudencial de la fuente de informacin, en
lugares protegidos contra intrusos y catstrofes naturales que permitan evitar
daos ocasionados por eventuales desastres en el sitio original;

97

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Proteccin de las copias de respaldo:


Los medios que contienen las copias de respaldo o backup como cintas o discos
deben ser cuidadosamente almacenados en lugares alejados de la fuente de datos
y protegidos contra robo, incendio e inundacin;

Proteccin de las unidades de soporte de informacin:


Manejar las cintas, discos, diskettes u otros dispositivos que contengan
informacin crtica segn las especificaciones de los fabricantes, a fin de evitar
prdidas o dao de la informacin;

Restriccin del acceso a unidades removibles:


nicamente los usuarios locales deben tener acceso a las unidades removibles
como discos removibles, CD-ROM y floppy disks;

Garantizar el adecuado suministro de energa:


Proteger el equipamiento con respecto a las posibles fallas en el suministro de
energa u otras anomalas elctricas. Se debe contar con un adecuado suministro
de energa que est de acuerdo con las especificaciones del fabricante o
proveedor de los equipos. Se recomiendan las siguientes opciones para asegurar
la continuidad del suministro de energa:

Usar mltiples bocas de suministro para evitar un nico punto de falla en el


suministro de energa;

Utilizar fuentes o suministros de energa ininterrumpible (UPS);

Se recomienda usar una UPS para asegurar el apagado normal o la ejecucin


continua del equipamiento que sustenta las operaciones crticas de la
organizacin;

Tener un generador de respaldo;

Se recomienda el empleo de un generador de respaldo si no se puede


interrumpir un proceso en caso de una falla prolongada en el suministro de
energa;

Ubicar interruptores de emergencia cerca de las salidas de emergencia de las


salas donde se encuentra el equipamiento, a fin de facilitar un corte rpido de
la energa en caso de producirse una situacin crtica;

Proveer de iluminacin de emergencia en caso de producirse una falla en el


suministro principal de energa;

Proteccin del cableado:


Proteger contra interceptacin o dao del cableado de energa elctrica y de
comunicaciones, que transporta datos o brinda apoyo a los servicios de
informacin:
o

Instalar lneas de energa elctrica y telecomunicaciones que se conectan con


las instalaciones de procesamiento de informacin subterrneas, o sujetas a
una adecuada proteccin alternativa;

98

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Proteger el cableado de red contra interceptacin no autorizada o dao,


evitando trayectos que atraviesen reas pblicas;

Separar los cables de energa de los cables de comunicaciones para evitar


interferencias;

Instalar conductos blindados y recintos o cajas con cerradura en los puntos


terminales y de control:
Usar cableado de fibra ptica;
Realizar barridos para eliminar dispositivos no autorizados conectados a
los cables.

Proteccin de los equipos utilizados fuera de la organizacin:


El nivel gerencial
debe autorizar el uso de equipamiento destinado al
procesamiento de informacin fuera del mbito de la organizacin. Proveer
seguridad de forma equivalente a la suministrada dentro del mbito de la
organizacin, para un propsito similar, teniendo en cuenta los riesgos de
trabajar fuera de la misma:

Controlar el equipamiento y dispositivos retirados del mbito


organizacin para que no estn desatendidos en lugares pblicos;

de

la

Transportar las computadoras personales como equipaje de mano y de ser


posible enmascaradas, durante el viaje;

Respetar permanentemente las instrucciones del fabricante, por ejemplo,


proteccin por exposicin a campos electromagnticos fuertes;

Contar con una adecuada cobertura de seguro proteger el equipamiento fuera


del mbito de la organizacin;

Contar con medios de proteccin de las comunicaciones entre los equipos


portables (como Laptops) mediante tcnicas de encriptacin de los canales.

Control de la baja de equipos:


o

Controlar los equipos que se den de baja para evitar la utilizacin indebida de
la informacin que transporten;

Verificar el borrado seguro de datos sobrescribiendo las pistas de discos antes


de desecharlos;

Procurar la destruccin fsica de diskettes y unidades de cinta y todo artefacto


removible capaz de contener informacin;

Documentar toda baja o modificacin de equipos en el ABM Activos.

Control de la disponibilidad de almacenamiento:


o

Verificar la disponibilidad de espacio de almacenamiento fsico de datos;

Monitorear las demandas de capacidad requeridas por los elementos de


software;

Realizar proyecciones sobre los futuros requerimientos de capacidad.

99

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

3.1.2 Proteccin lgica


Se analiza en esta parte la proteccin de los distintos Activos a nivel lgico.

3.1.2.1 Proteccin de la informacin


En este apartado se pretende establecer reglas para la proteccin de la informacin
de la organizacin objetivo, o sea, tcnicas de prevencin del hurto, modificacin o
deterioro de la confidencialidad de los datos con significado para la institucin;

Prevencin de ataques externos:

Eaves dropping:
Es la escucha no autorizada de conversaciones, claves, datos, etc.
Se asegura que no haya cables atravesando zonas pblicas, se cierran todas
las salidas de red no utilizadas, proteger el cableado con caos metlicos o
cablear al vaco con aire comprimido;

Ingeniera social:
La Ingeniera social consiste en la manipulacin de las personas para que
voluntariamente realicen actos que normalmente no haran, como revelar su
contrasea o cambiarla. Se capacita a los usuarios para prevenirlos de estos
ataques y se los informa del procedimiento formalizado en la Poltica de
seguridad sobre el cambio de contraseas;

Shoulder Surfing:
Consiste en espiar fsicamente a los usuarios para obtener claves de acceso al
sistema, nmeros vlidos de tarjetas de crdito, etc. Se recomienda prevenir
a los usuarios sobre estos temas a fin de concientizarlos para que tomen los
cuidados necesarios;

Masquerading:
Un intruso puede usar la identidad de un usuario autorizado que no le
pertenece simplemente apoderndose de un nombre de usuario y contrasea
vlidos. Se capacita a los usuarios para que mantengan en secreto tanto su
nombre de usuario como su contrasea para que nadie ms los pueda usar en
su nombre;

Piggy backing:
Se lo llama as al ataque en que un usuario no autorizado accede a una zona
restringida gracias al permiso otorgado a otra persona que s est autorizada.
100

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Para evitar esto se establecen controles en los accesos a las salas y se


construyen barreras fsicas que impidan el acceso;

Basurero:
Basurero es la obtencin de informacin de los desperdicios dejados alrededor
de un sistema:
documentacin antigua;
listados viejos;
buffers reimpresoras;
memoria liberada por procesos;
bloques libres de disco;
tachos de basura dentro y fuera del edificio;
diskettes desechados.
Es de vital importancia destruir toda documentacin que ya no se utilice, con
una mquina trituradora de papel y borrar los documentos en forma segura,
segn el sistema operativo que se use.
[IRAM/ISO/IEC17799] indica: Los medios que contienen informacin sensible
deben ser eliminados de manera segura, por ej. incinerndolos o
rompindolos en pequeos trozos, o eliminando los datos y utilizando los
medios en otra aplicacin dentro de la organizacin.
Se debe prestar especial atencin a la eliminacin segura de:
documentos en papel;
grabaciones (audio, video, otros);
papel carbnico;
informes y estadsticas;
cintas de impresora de un slo uso;
cintas magnticas;
discos, zips o casetes removibles;
medios de almacenamiento ptico;
listados de programas;
datos de prueba;
documentacin del sistema.

Clasificacin de la informacin:
La informacin se debe clasificar en cuanto a su acceso (qu perfiles de usuarios
tienen acceso a lectura, ejecucin o modificacin de los datos) y en cuanto a su
criticidad. Para clasificarla segn su acceso, se hace uso de la Tabla de Accesos
101

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

sobre Activos Lgicos, y para clasificarla segn su criticidad, se hace referencia al


inventario de Activos Lgicos;

Establecer medidas de proteccin segn la clasificacin de la informacin:


Segn el tipo de informacin que se trate, se debern garantizar controles como
se indica a continuacin:

Para la informacin pblica o no restringida:


No es necesario establecer restricciones especiales,
recomendaciones sobre su buen uso y conservacin;

ms

all

de

las

Para la informacin restringida y/o secreta:


Dependiendo que la informacin se haya clasificado como restringida o secreta
se deben cumplir con los siguientes requerimientos mnimos y obligatorios
para su proteccin:
Autorizacin:
Los usuarios a quienes por la naturaleza de su trabajo se les permita el
acceso a la informacin clasificada como confidencial o secreta, deben
estar expresamente autorizados.
El Dueo de los Datos debe mantener un detalle de los usuarios
autorizados a acceder a la informacin.
El Administrador de Seguridad debe conservar la documentacin
respaldatoria de las autorizaciones recibidas para los cambios de permisos.
Limitar el acceso a las aplicaciones a travs de un adecuado sistema de
control de accesos.
No permitir
durante los
restringida,
definidas en

el uso de informacin secreta para propsitos de prueba


desarrollos o implantaciones. En cuanto a la informacin
slo debe utilizarse teniendo en cuenta las autorizaciones
la Norma de Ambientes de procesamiento.

El Dueo de los Datos debe autorizar expresamente el acceso a la


informacin en el ambiente de produccin por parte de personal del rea
de Sistemas, siempre y cuando lo considere absolutamente necesario y
debido a situaciones de emergencia. En estos casos documentar la
autorizacin y las tareas efectuadas, de acuerdo al Procedimiento de
Administracin de Usuarios y Recursos.
Conservacin:
102

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

La informacin clasificada como secreta y los medios fsicos donde se


almacene, deben protegerse utilizando cajas de seguridad cuya llave y/o
combinacin debe ser conservada por el Dueo de los Datos, quien debe
autorizar toda copia adicional de dicha informacin as como la
transmisin, envo, impresin y/o destruccin de la misma.
La conservacin de soportes impresos de esta informacin debe efectuarse
en archivos cerrados cuyo acceso fsico debe estar restringido nicamente
a los usuarios autorizados, segn lo especificado en la Norma de
Proteccin fsica del Manual de Seguridad de la organizacin.
Realizar el proceso de generacin y/o restauracin de la informacin de
acuerdo a lo definido en la Norma de Copias de Respaldo.
Impresin:
Imprimir los reportes que contienen informacin confidencial
impresoras de acceso exclusivo para usuarios autorizados;

en

Entrega/Traslado:
Realizar toda entrega de documentacin que contenga informacin
secreta/confidencial en sobre cerrado. Asimismo, establecer mecanismos
que permitan asegurarle al remitente de la documentacin que sta fue
recibida por el destinatario correspondiente;
Divulgacin a terceros:
Instrumentar convenios de confidencialidad con los terceros que deben
acceder a informacin de la empresa.
No trasmitir informacin en forma verbal o escrita a personas externas a la
empresa, sin la expresa autorizacin del Dueo de los Datos.
Destruccin:
Destruir toda informacin secreta y sus correspondientes soportes fsicos
cuando se considere no vigente y se discontine su utilizacin y/o
conservacin.

Informar a los usuarios sobre el manejo de la informacin:


Toda la informacin conservada en los equipos informticos (archivos y
correos electrnicos residentes en servidores de datos centralizados y/o
estaciones de trabajo) puede ser considerada propiedad de la compaa y no
de los usuarios, dependiendo de su Poltica de Seguridad, por lo que podr ser
administrada y/o monitoreada por los responsables del rea de Sistemas de
acuerdo con las pautas de seguridad definidas.

103

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Esto debe estar claramente establecido en la Norma de Clasificacin y


Tratamiento de la Informacin de la empresa y pertinentemente informado a
todos los usuarios.

3.1.2.2 Proteccin del Sistema Operativo.

Actualizacin de del Sistema Operativo:


o

Actualizar peridicamente los Sistemas Operativos de Servidores y estaciones


de trabajo para las diferentes plataformas. En Unix-Linux, actualizar el kernel
y en la plataforma Microsoft, actualizar el SO con la versin que se considere
necesaria de acuerdo con las necesidades funcionales y las mejoras
implementadas por el fabricante;

Aplicar los parches (hot fixes, service packs) que publican los proveedores de
software en todos los equipos. Para ello se recomienda el uso de algn
software de distribucin segn la cantidad de mquinas a actualizar;

Estandarizacin de servidores:
La configuracin de seguridad de los equipos
necesaria.

puede ser tediosa, pero es

Los servidores deben seguir un estndar para su identificacin y para su


configuracin. El Manual de Seguridad incluye estndares tcnicos que se
elaboran para estos fines. El ES deber evaluar la posibilidad de elaborar uno
para facilitar la tarea de homogenizacin de configuraciones de seguridad por
plataforma deben tener los equipos respecto de la seguridad, que se aplique a
todos los servidores existentes, y cada vez que se de de alta a uno nuevo.
Es muy prctico para estos casos la elaboracin de scripts de configuracin que
seteen los parmetros de seguridad automticamente sin intervencin del
administrador del equipo.

Control del acceso remoto:


Realizar los adecuados controles para evitar el acceso no autorizado a los equipos
en forma remota, segn lo establecido en la Poltica de Seguridad de la compaa.
En general se sugiere limitar el acceso remoto a un grupo reducido de usuarios
para fines administrativos utilizando medios seguros (protocolos que encripten la
identificacin de usuario y la contrasea) y prohibir el acceso remoto de los
equipos ms crticos.
En todos los casos una prctica muy recomendada es eliminar el acceso dial up a
los servidores.
104

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Proteccin del inicio del sistema:


Establecer la configuracin del arranque de los equipos segn lo establecido en el
Manual de Seguridad. La prctica ms recomendable es deshabilitar la posibilidad
de booteo de los servidores desde el CD-ROM y floppy disk.

Control de la instalacin de programas y dispositivos:


Permitir nicamente a usuarios con privilegios de administrador que instalen
software y dispositivos en los equipos. Para la actualizacin de programas de
software o instalacin de dispositivos se debe seguir el lineamiento indicado en
los Procedimientos del Manual de Seguridad para el manejo de incidencias (en
una organizacin con sistema de Atencin al Cliente o Help Desk el procedimiento
comenzara con la solicitud del usuario, la apertura de caso en Help Desk y
posterior derivacin al responsable. Ver el punto 6.1 Manejo de Incidencias de
esta metodologa).

Creacin de subsistemas en el sistema operativo limitada:


Sistemas Operativos como la serie Windows permite la creacin de subsistemas
OS/2 y POSIX. Los de la familia Unix permiten la creacin de shells hijos donde
correr procesos en segundo plano. Ambos casos deben evaluarse segn la
funcionalidad del equipo que se trate, y restringir el uso de estas facilidades
cuando no sean estrictamente necesarias para el desarrollo de las tareas y
servicios que prestan.

Desconexin de todas las unidades de red inutilizadas:


Muchas veces se conectan unidades de red con fines especficos para alguna
instalacin remota, etc. Todas las conexiones que no se necesitan deben ser
removidas del sistema operativo para evitar el intento de conexin por parte de
usuarios no autorizados y el descubrimiento de informacin.
Ciertas tecnologas exponen informacin del sistema incluso ante un intento
fallido de conexin.
Es ejemplo la utilidad Netware Connections de Novel, que ante un intento de
conexin muestra el rbol NDS que contiene al servidor, el nmero de conexin,
la direccin completa de la red, el nmero de la red y la direccin del nodo,
implicando un descubrimiento importante de informacin.

Limpieza de la memoria:
Cada vez que el sistema se cierra se deben limpiar las pginas de memoria
virtual;

Apagado seguro:

105

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

No permitir el apagado de equipos sin la autenticacin (login de un usuario). La


nica excepcin es durante la utilizacin de medios alternativos de alimentacin
elctrica (como UPSs) durante una emergencia;

Implantacin de un sistema de perfiles y grupos de usuarios:


La administracin de usuarios es clave para el mantenimiento de la seguridad del
entorno;
Todos los sistemas operativos actuales permiten la creacin de usuarios, perfiles
de usuario y grupos.
Los usuarios son identificaciones individuales de personas o servicios.
Los perfiles son los tipos de usuarios existentes (generalmente el sistema
operativo trae un conjunto de perfiles de usuario por defecto, y el administrador
luego crea los que considera necesarios).
Los grupos son conjuntos de usuarios. Por lo general se crean grupos para
identificar a los usuarios que realizan una misma tarea.
Las mejores prcticas de seguridad sugieren crear un conjunto de grupos de
usuarios, y asignar los permisos sobre los archivos y directorios a los grupos, y no
a los usuarios. Esto hace mucho ms sencillo el mantenimiento de los permisos
en caso de cambios o recupero de informacin de cintas de backup, puesto que
solamente hay que modificar los permisos de los grupos, y no individualmente los
de los usuarios, que, sern muchos ms en nmero.
Un caso muy comn de cambio de permisos que implica trabajo es cuando un
usuario cambia de rea de trabajo, con el consecuente cambio de permisos de
acceso sobre los archivos compartidos. En el caso de que se otorguen permisos
por usuario habra que eliminar individualmente todos los permisos de ese
usuario a los archivos del rea de donde es promovido y agregarle los permisos
correspondientes al rea donde comienza a desenvolverse. Esto puede llegar a
ser un trabajo engorroso y siempre se corre el riesgo de no eliminar todos los
permisos del usuario, con el consecuente acceso indebido a los recursos.
En cambio, si los permisos son otorgados por grupo, simplemente alcanza con
eliminar al usuario del grupo y asignarlo al nuevo, con la automtica asignacin
de permisos del grupo al que pertenece.
En general es til crear grupos por reas de trabajo o sectores dentro de las
reas donde todos los usuarios que pertenecen a ese sector acceden con los
mismos permisos a los recursos informticos de la empresa.

Implantacin de una Poltica sobre las cuentas de usuarios:


106

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

El Manual de Seguridad de la organizacin debe contener, entre sus normas y


procedimientos, la Poltica de ABM de Usuarios. En ella se debe especificar los
parmetros que deben cumplir la identificacin de usuario (como estndar de
nomenclatura, responsabilidad del usuario sobre su uso), la cuenta (como
vencimiento, bloqueo por inutilizacin, etc) y las contraseas (longitud mnima y
mxima, perodo mximo de uso, polticas de cambios y conformacin de la
contrasea, etc).
El ABM de usuarios consiste en la Alta, Baja y Modificacin de usuarios en el
sistema, entendindose por:

Alta de un usuario: requerimiento de acceso a una aplicacin o un servicio


para un usuario inexistente;

Modificacin de un usuario: requerimiento de:


diferentes tipos de acceso a las aplicaciones o servicios,
acceso a una nueva aplicacin o servicio;
eliminacin de acceso a una aplicacin o servicio;

Baja de un usuario: requerimiento de eliminar los derechos de acceso de ese


usuario a toda aplicacin o servicio;

Deshabilitacin de un usuario: requerimiento de negar los derechos de acceso


de ese usuario a toda aplicacin o servicio, sin eliminarlo definitivamente del
dominio de usuarios;
El Dueo de los Datos del rea o sector al cual pertenece el usuario en el
desempeo de sus funciones, debe solicitar la creacin, modificacin o
borrado de la cuenta de usuario;
En una empresa con Help Desk, una operacin (ABM) sobre una cuenta de
usuario deber registrarse como un caso y llevarse a cabo segn lo
establecido en el correspondiente Procedimiento de Administracin de
Usuarios y Recursos.
Tipos de cuentas de usuarios:

Cuentas personales: Identificacin personal del usuario:


Cada persona debe tener una nica identificacin personal de usuario en los
servicios centralizados de la compaa y es responsable de la correcta
utilizacin de la informacin que se realiza con esa cuenta.
En general, la identificacin de la cuenta personal suele ser alfanumrica y
est relacionada con el nombre y apellido del usuario.

Cuentas de servicios:
Son cuentas de usuarios no personales que se crean con fines especficos:

107

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Usuarios creados por defecto durante la instalacin de aplicaciones y


sistemas operativos: no deben utilizarse con fines operativos;
Usuarios genricos para satisfacer necesidades propias de la ejecucin de
aplicaciones o servicios, por ejemplo, para administrar las comunicaciones:
deben ser autorizados expresamente por el Oficial de Seguridad;
Para estos casos las contraseas deben permanecer resguardadas y su
acceso debe ser registrado segn los Procedimientos correspondientes.
Descripcin de las cuentas:
Las cuentas de usuarios generadas en cada uno de las aplicaciones, deben
contener, al menos, los siguientes datos:
o

El nombre y apellido completo del propietario de la misma y el rea de


trabajo, en el caso de los usuarios personales;

En el caso de las cuentas de servicios debe figurar la funcin para la que fue
creada;

Debe crearse una cuenta para cada servicio individual con los mnimos
privilegios posibles, y no utilizar una misma cuenta para varios servicios;
Todo usuario se debe comprometer a:

mantener la confidencialidad de la informacin a la que acceda;

utilizar en forma personal y exclusiva su identificacin de usuario;

responsabilizarse del uso que se haga de su identificacin de usuario.

Implantacin de una Poltica de Contraseas de Usuarios:


El Manual de Seguridad de la organizacin debe contener, entre sus normas y
procedimientos, la Poltica de Contraseas de Usuarios. En ella se debe especificar
los parmetros que deben cumplir las contraseas.
A continuacin se enumera una serie de controles que debern tenerse en cuenta
a la hora de elaborar la Poltica de Contraseas:

Longitud mnima (por ejemplo de 6 caracteres y sin contener blancos);

Longitud mxima (por ejemplo de 16 caracteres;

Vida mxima (para obligar a los usuarios a realizar el cambio de clave cada
cierto perodo, por ejemplo de 45 das);

Vida mnima (para evitar que un usuario realice el cambio obligatorio de la


clave a su vencimiento y luego vuelva inmediatamente a la clave anterior)

Cantidad mnima de caracteres numricos;

Cantidad mnima de caracteres alfabticos;

Cantidad mnima de caracteres especiales (@#$%^&*);

Cantidad mnima de caracteres distintos de la ltima contrasea;

108

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Tiempo mnimo que debe transcurrir antes de reutilizar una password (por
ejemplo, un ao);

Cantidad mnima de contraseas distintas antes de reutilizar una. Es una


variante del control anterior, utilizada para el mismo fin;

Determinar si debe ser cambiada obligatoriamente la primera vez que el


usuario ingrese al sistema;
Adems, debe cumplir con las siguientes caractersticas:

Debe poder ser cambiada toda vez que el usuario lo requiera;

No debe ser compartida;

Se debe preservar su confidencialidad;

No debe ser fcil de adivinar;


Para lograr esto existen varias soluciones:
Utilizar un software generador de passwords:
Utilizar un software que analice la password (por ejemplo comparando la
contrasea ingresada por el usuario con una lista contenida en un
diccionario de contraseas prohibidas) y rechace contraseas fciles al
momento de su ingreso;

Administracin de Usuarios:
Garantizar que todos los usuarios posean los privilegios mnimos necesarios para
la realizacin de su tarea.
Las prcticas recomendadas para las cunetas de usuarios son las siguientes:

Renombrar la cuenta de Administrador Local;

Crear una cuenta de Administrador Local ficticia. Llamada de forma estndar


segn el sistema operativo del que se trate. Por ejemplo:
Para Windows 2000 en espaol, llamarla Administrador;
Para Windows 2000 en Ingls, llamarla Administrador;
Para Linux, llamarla root;

Deshabilitar la cuenta de Administrador ficticia;

Deshabilitar la cuenta de invitado o Guest;

Nunca usar cuentas grupales (de uso masivo). Las cuentas deben ser de uso
individual exclusivo;

Todos los usuarios personales deben autenticarse en el sistema. No se deben


permitir cuentas de usuario personales sin password;

Establecer una nomenclatura para la denominacin de las cuentas de usuarios


personales y para las de servicios (como por ejemplo utilizar las iniciales del
nombre seguidas por el apellido);
109

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Utilizar descripciones de usuarios claras y completas que permitan la


identificacin y clasificacin de los usuarios.

Para lograr una adecuada y efectiva implantacin de un sistema de grupos y


perfiles de usuarios, sin superposicin de roles ni de permisos, y con el fin de
detectar cualquier inconsistencia, se sugiere relevar los usuarios con sus
respectivos permisos y roles en un documento generado para tal fin llamado
Mapa de Usuarios, que permite la rpida visualizacin de inconsistencias en la
asignacin de perfiles.

Mapa de Usuarios
El siguiente documento presenta una alternativa para visualizar, documentar y
administrar los grupos de usuarios:

GRUPO

USUARIOS

NOMBRE DE INICIO
DE SESIN

OTROS GRUPOS A LOS


QUE PERTENECE

Descripcin de los campos


GRUPO: nombre del grupo que se est relevando;
USUARIOS: nombre completo de los usuarios que pertenecen a ese grupo;
NOMBRE DE INICIO DE SESIN: por ejemplo: pgarcia;
OTROS GRUPOS A LOS QUE PERTENECE: en este campo se agregan todos los
grupos a los que pertenece el usuario, excepto en el que se est definiendo, esto
sirve para detectar inconsistencias.
Tambin el ES deber interiorizarse con los permisos proporcionados por perfil, y
deber verificar que, segn la estructura de la organizacin, ningn usuario est
abusando del sistema con permisos que no le corresponden, y, asimismo, que no
existan usuarios donde sus accesos estn indebidamente restringidos y as,
dificultar o impedir su trabajo.

Revisin de las cuentas de usuario:


El administrador de seguridad debe realizar una peridica revisin de las cuentas
de los usuarios del sistema, a fin de detectar usuarios inactivos y realizar las
bajas correspondientes, segn el procedimiento de seguridad de administracin
de usuarios;

Revisin de los permisos de los usuarios:


110

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Realizar una peridica revisin de los permisos otorgados sobre le file system y
sobre los recursos.
Un control bsico consiste en restringir los permisos para los grupos genricos, e
ir otorgndolos individualmente o por grupo segn la necesidad.
En los sistemas operativos de la lnea Microsoft Windows el grupo genrico ms
abarcativo es el llamado Everyone. En la lnea de Linux, es Others (el ltimo
octeto de los permisos).

Revisin de los servicios de red:


Revisar peridicamente los servicios de red habilitados y eliminar todos aqullos
que no se necesiten, en particular los que permiten hacer conexiones remotas o
transporte de datos en texto plano (como FTP);

Revisin de los protocolos de red:


Revisar peridicamente los protocolos de red habilitados y eliminar todos aqullos
que no se necesiten, en particular los protocolos antiguos e inseguros (como
NetBIOS);

Control del inicio de sesin:


Establecer un nmero mximo de intentos fallidos de inicio de sesin de los
usuarios, luego del cual se bloquee la cuenta hasta que el usuario solicite su
desbloqueo mediante el procedimiento vigente.
Asimismo, establecer el perodo en que una cuenta puede permanecer en estado
bloqueado, luego del cual se debe proceder al borrado definitivo del usuario,
luego de los controles necesarios, indicados en la Norma de administracin de
usuarios (por ejemplo, el administrador o persona con rol equivalente, encargada
de la revisin y eliminacin de usuarios, debera consultar con el rea de recursos
humanos para obtener la autorizacin de la eliminacin definitiva de un usuario).
La administracin de usuarios tambin implica realizar peridicos controles sobre
los usuarios del sistema, eliminando los que no presenten actividad, segn el
procedimiento correspondiente.

Nombre del ltimo usuario logueado:


Evitar que se muestre la identificacin del ltimo usuario que se logue en el
sistema. Esto podra facilitar los ataques de adivinanza de contrasea por fuerza
bruta;

Bloqueo de cuentas de usuario:

111

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Las cuentas bloqueadas por intentos fallidos de sesin, o por permanecer


inactivas durante un perodo determinado deben permanecer bloqueadas durante
un tiempo, para impedir el inicio de sesin.
Este perodo de tiempo puede ser de minutos o das, dependiendo de la criticidad
de la informacin que maneje la empresa objetivo.
Como ejemplo, a continuacin se exponen controles sobre las cuentas de
usuarios, que deben estar explcitos en las Normas de Usuarios, y deben ser de
conocimiento de todos los usuarios del Sistema:

Toda cuenta de usuario que haya intentado cuatro (4) veces el acceso al
sistema en forma fallida y consecutiva, debe ser automticamente bloqueada;

Toda cuenta de usuario que no haya accedido al sistema por un perodo de 60


das ser bloqueada y se iniciar la gestin de baja de la misma, que
comprende:
verificacin por parte de Recursos Humanos y del Dueo de los Datos de la
inexistencia del usuario;
aprobacin por parte de ste ltimo para la eliminacin definitiva de la
cuenta.
En caso de comprobar la necesidad de la baja, el Administrador de Seguridad
deber proceder a su inmediata eliminacin. Transcurrida ua cantidad de das
(por ejemplo 120) sin utilizacin de la cuenta, la misma se dar
automticamente de baja.

Registros de pistas de auditora o logs:


Registrar pistas de auditora, ms conocidas como logs con el fin de asegurar un
adecuado monitoreo de los eventos que pudieran afectar a la seguridad de la
informacin de la compaa objetivo.
Toda aplicacin utilizada en el entorno productivo debe permitir el registro
automtico y la explotacin de la informacin de las siguientes pistas de
auditora:

Trazas generales
comunicaciones:

activar

en

sistema

operativos

equipos

de

Intentos exitosos y fallidos de ingreso de usuarios;


Desconexin forzada de usuarios;
Alta, baja o modificacin de usuarios, grupos y/o perfiles;
Cambios en la configuracin de la seguridad;
Instalacin de software de aplicacin;
Encendido y apagado de servidores y equipos de comunicaciones;
112

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Procesos de depuracin de informacin no automatizados.

Trazas generales a activar en aplicaciones:


Intentos exitosos y fallidos de ingreso de usuarios;
Desconexin automtica de sesiones de usuario por inactividad;
Alta, baja o modificacin de usuarios, grupos y/o perfiles;
Cambios en la configuracin de la seguridad;
Instalacin de software de aplicacin;
Procesos manuales de depuracin de datos;
Las acciones llevadas a cabo por los usuarios especiales.

Trazas especiales a activar:


Todos los accesos a informacin clasificada como confidencial;
Todos los eventos de un usuario cuando sean especficamente solicitados
por los Dueos de los Datos;
Todos los accesos de aquellas cuentas de usuarios con altos privilegios
sobre los sistemas.

Ejemplo:
A continuacin se muestra una porcin pequea de un archivo de log generado
por el sistema operativo Windows 2000 Server, en un entorno con 18 estaciones
de trabajo en un dominio de un archivo de log:

Tipo

Fecha

Hora Origen

Categora

Suceso

Usuario

Equipo

Aciertos

28/11/2003 11:08:07 Security


EMUI_SISTEMAS

Inicio/cierre de sesin 540

SYSTEM

Aciertos

28/11/2003 11:07:54 Security

Inicio/cierre de sesin 540

EMUI_18$

Aciertos

28/11/2003 11:06:54 Security


EMUI_5$

Inicio/cierre de sesin 538

gmarrollo

Aciertos

28/11/2003 11:06:54 Security

Inicio/cierre de sesin 538

Errores 28/11/2003 11:06:34 Security

Inicio/cierre de sesin 529

plopez

Errores 28/11/2003 11:06:34 Security


EMUI_SISTEMAS

Inicio de sesin de la cuenta

681

EMUI_5$

SYSTEM

Aciertos
EMUI_3$

28/11/2003 11:06:02 Security

Inicio/cierre de sesin 538

lkien

Aciertos
EMUI_18$

28/11/2003 11:05:49 Security

Inicio/cierre de sesin 538

EMUI_18$

113

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Revisin de las licencias de software:


Verificar que todos los equipos funcionen con el Sistema Operativo bajo la licencia
otorgada por el proveedor.

Revisin de los contratos con los proveedores;


En los contratos con los proveedores se deben incluir clusualas de
confidencialidad de la informacin tratada, y contemplar los niveles de servicio de
mantenimiento pos venta acordados.

Administracin de las pistas de auditora:


Las pistas de auditora o logs son valiosos slo cuando pueden ser analizados, y
se encuentren disponibles en forma legible y completa. Para lograr esto, los
registros de log deben:
o

Ser completos (deben registrar toda la informacin que se considere til para
el caso);

Ser autnticos (deben ser verdicos, no deben ser falsificados ni modificados


por nadie);

Ser ntegros (deben ser completos).

Para ello se debe establecer una serie de controles sobre la lgica de los logs, y
sobre la tecnologa que los soporta.
A continuacin se detallan controles y medidas recomendadas para obtener un
registro de auditora confiable:

Acceso a los logs:


Permitir nicamente el acceso a los logs a aquellas personas que son
responsables de la gestin o control de las mismas;

Administracin del espacio disponible para el almacenamiento:


Revisar peridicamente el crecimiento de las trazas con el objetivo de
identificar la necesidad de depuracin de las mismas evitando toda posibilidad
de prdida;

Eliminacin de las pistas:


Ante situaciones que requieran la eliminacin de las pistas o trazas de
auditora debido a la falta de espacio de almacenamiento, generar una copia
de respaldo antes de proceder a su eliminacin. Estas copias deben
mantenerse accesibles y adecuadamente registradas en el Inventario de
Backup;

114

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Definicin de eventos:
Para aquellos entornos que gestionen informacin sensible se debern definir
los eventos de seguridad que requieren monitoreo;

Control de logs:
El Oficial de Seguridad debe controlar peridicamente las pistas de auditora,
con el objetivo de detectar alertas e informar la ocurrencia de las mismas a
los responsables de la administracin de la seguridad de la informacin, con el
propsito de definir e implantar las acciones correctivas necesarias para evitar
o limitar la repeticin del hecho.
Adems se deber informar al Dueo de los Datos involucrado la ocurrencia
de eventos crticos de seguridad que puedan interferir en el correcto
desempeo la empresa.

Estadsticas de eventos:
El Oficial de Seguridad deber generar informes con las estadsticas de los
eventos crticos detectados, a fin de tomar las acciones correctivas
correspondientes, cuando la frecuencia de repeticin o el impacto lo
justifiquen;

Herramientas de anlisis de logs:


A fin de proteger a la informacin ms crtica, en la medida en que se cuente
con la tecnologa apropiada, es conveniente realizar una revisin de las pistas
de auditora con herramientas de anlisis que faciliten la tarea.
Estas herramientas de anlisis de eventos permiten la generacin de alarmas,
reportes, etc.

Prevencin de enumeracin de recursos compartidos


Evitar la enumeracin de los recursos compartidos y del administrador de
seguridad de cuentas (SAM Security Account Manager) mediante la
configuracin correspondiente.

3.1.2.3 Proteccin de los datos.

Controlar y administrar el acceso de los usuarios sobre los activos lgicos:


Se debe administrar correctamente los recursos lgicos como archivos, bases de
datos, programas de software y data warehouses, y llevar un control sobre ellos
para detectar posibles accesos no autorizados, hurto de datos o descubrimiento
de informacin.
115

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Para este fin se propone la elaboracin de una tabla que refleje la asignacin de
permisos sobre los activos lgicos por perfil y por usuario.
Este documento llamado Tabla de Permisos sobre Activos Lgicos se exhibe a
continuacin:

Tabla de Permisos sobre Activos Lgicos

CDIGO

DESCRIPCIN

PERFILES
AUTORIZADOS

USUARIOS
AUTORIZADOS

PERMISOS

CRITICIDAD

Descripcin de los campos


CDIGO DEL ACTIVO: Es el cdigo correspondiente al activo, previamente asignado
en el Inventario de Activos (ver seccin 4.2)
DESCRIPCIN: descripcin del activo que se est clasificando.
PERFILES AUTORIZADOS: Perfil de usuarios que poseen algn tipo de autorizacin
de acceso al activo.
USUARIOS AUTORIZADOS: Usuarios que poseen algn tipo de autorizacin de
acceso al activo.
PERMISOS: Permisos otorgados a ese perfil o usuario. Puede ser:
o

L: lectura;

E: escritura;

X: ejecucin.

O la combinacin de los mismos.


CRITICIDAD: Grado de prioridad de proteccin que se le asigna al bien, segn la
experiencia del Ingeniero, el grado de confidencialidad requerido o el valor asignado
por el usuario.
Esta criticidad se medir en tres niveles:

0 (cero): No crtico;

1 (uno): medianamente crtico;

2 (dos): altamente crtico.

Espacio de almacenamiento restringido:

116

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Restringir el uso del espacio de almacenamiento comn (como servidores de


archivos) a los usuarios creando directorios de uso exclusivo individual o por
grupos de trabajo.
De esta forma se protege la confidencialidad e integridad de los datos de los
usuarios, y se ofrece una herramienta de trabajo para los grupos al permitirles
compartir los datos entre los usuarios pertenecientes a ese grupo, y denegar el
acceso al resto.
Con esta facilidad es muy til la creacin de grupos de usuarios por rea o sector,
segn la funcionalidad de la tarea que realizan.

Control de cambios en Software:


Llevar un adecuado control y documentacin de los cambios realizados en el
software ya sea:

Una actualizacin;

Un cambio de plataforma;

Agregados de funcionalidad.

Todos los cambios se registrarn adecuadamente en el ABM Activos, como se


especifica en la etapa 4.5 Control de Cambios de esta metodologa y en el
Documento de Actualizacin de Software.
A continuacin se presenta el Documento de Actualizacin de Software para su
utilizacin cuando se realicen puntualmente actualizaciones de software
(upgrades). Este documento que tiene como fin especfico ayudar al
administrador a controlar el proceso de actualizacin de software en forma
Masiva.
Por ejemplo, cuando se actualiza el software antivirus, que es una tarea ardua ya
que muchos programas no permiten que las actualizaciones sean instaladas por
usuarios sin permisos de administrador, ste es el que debe pasar mquina por
mquina instalando el software.
El Documento de Actualizacin de Software se usar como ayuda para el control
de las actualizaciones registrando cada mquina a medida que se avanza con las
workstations de la red.
Para ms detalles referirse a la seccin 6.2.6 Control de Cambios.

117

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Documento de Actualizacin de Software

SOFTWARE
Antivirus
Sdat4299.exe
Win2k
Kb823182
Win2k
Kb824141
Win2k
Kb825119

DESCRIPCIN

Fecha

Server1 Server2 Server.. CPU001 CPU002


.

CPU

Actualizacin del 20/10


antivirus

Ok

Ok

Ok

Ok

Ok

Ok

Hotfix para
Windows 2000

21/10

Ok

Ok

Ok

Ok

Ok

Ok

Hotfix para
Windows 2000

23/10

Ok

Ok

Ok

Ok

Ok

Ok

Hotfix para
Windows 2000

23/10

Ok

Ok

Ok

Ok

Ok

Ok

Control de impacto de nuevo software:


Antes de instalar nuevo software en los equipos se realiza un control de
compatibilidades y aprobacin por parte de la gerencia:

Controlar las licencias de software y de las actualizaciones;

Verificar los requerimientos de capacidad de procesamiento y almacenamiento


del nuevo software;

Verificar la compatibilidad con la plataforma de hardware utilizada;

Preparar los ambientes para la actualizacin;

Realizar pruebas de instalacin y uso del nuevo software antes de la


instalacin definitiva;

Realizar pruebas de recuperacin de errores;

Verificar la compatibilidad del nuevo software con otros elementos existentes;

Capacitar a los usuarios.

Instalacin y continua
antivirus:

actualizacin de software de deteccin y reparacin

Comprobar diariamente la existencia de nuevo software antivirus y sus


actualizaciones (y documentar las actualizaciones en el ABM Activos y en el
Documento de Actualizaciones de Software);

Comprobar la ausencia de virus antes de utilizar archivos transportados a


travs de la red, o en medios magnticos como diskettes, zips, u otros;

118

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Comprobar la ausencia de virus en archivos adjuntos a mensajes en los


servidores de mail;

Comprobar la ausencia de virus en los archivos bajados de Internet


(downloads) antes de su ejecucin o instalacin;

Realizar planes de continuidad de los negocios ante ataques de virus.

Realizacin de copias de seguridad (backups):


o

Guardar en forma segura (ver 4.1.1.2 Proteccin de los equipos) los datos
crticos, informacin de recuperacin de sistemas y registros exactos de las
aplicaciones en forma peridica;
El perodo de realizacin de copias y la vida de cada una estn definidos en el
Manual de Procedimientos de realizacin de copias de seguridad (backups);

Mantener siempre al menos los tres ltimos ciclos de backup;

Comprobar peridicamente los medios de almacenamiento de los backups


(cintas) para garantizar una recuperacin exitosa, en caso de necesitarlo;

Comprobar peridicamente el correcto funcionamiento de las unidades de


cinta para la recuperacin de datos desde los medios fsicos de
almacenamiento.

Verificar los procedimientos y procesos de recuperacin a partir de los


backups, para garantizar su eficacia y la adecuada restitucin del sistema ante
eventualidades;

Borrar en forma segura el contenido de los dispositivos de backup que estn


fuera de uso, o que contengan informacin vencida;

Volcar el procedimiento de backup a un documento para el registro y control


de las unidades de almacenamiento, y su relacin con el contenido
electrnico.

Aqu se presenta un registro para llevar ese control de forma ordenada: el Inventario
de Backup.
Inventario de Backup
El ES determinar la tcnica ms conveniente para realizar el Backup en su sistema
objetivo.
Para la aplicacin de cualquier tcnica el ES deber documentar el resguardo de
datos que hizo y proteger ese documento con claves u otros mtodos para prohibir
su acceso a extraos. Este documento deber contener como mnimo la siguiente
informacin:

CDIGO

FECHA

TIPO

A/S

MEDIO

PASSWORD

BKP0001

24/10/2003

Incremental

Cinta#

******

119

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Descripcin de los campos


CDIGO: Cdigo de 7 dgitos que rotula la copia de seguridad. Sirve para identificar
unvocamente cada copia.
Formato: BKPNNNN
Donde N representa un nmero, que crecer correlativamente para identificar los
backups;
FECHA: Fecha en que se realiz la copia de seguridad;
TIPO:

Incremental;

Normal;

Diferencial;

Diaria;

Copia.

A/S:

A: Append: si los backups se van concatenando en el medio fsico;

S: sobreescritura: Si los backups son reemplazados por la nueva copia.

MEDIO: Medio fsico en el que se realiza la copia. Ej: Cinta#1, Cinta#2;


PASSWORD: Contrasea de cifrado de la copia.

Restriccin de acceso a los datos:


Establecer en forma unvoca los permisos otorgados a cada perfil de usuario para
evitar accesos no autorizados en los distintos entornos:

Archivos;

Bases de datos;

Aplicaciones;

Servicios.

Proteccin de la documentacin del sistema:


o

Almacenar la documentacin del sistema en forma segura: bajo llave en


archivos o armarios de acceso restringido;

Los documentos de administracin de la seguridad deben estar protegidos de


manera especial, y slo debe tener acceso a ellos el o los responsables
correspondientes. Son de crtico manejo los siguientes documentos:
La Poltica de Seguridad;
Los manuales de Procedimiento;
120

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Los instructivos tcnicos;


Los Estndares de seguridad;
El Inventario de Activos;
El Mapa de Vulnerabilidades;
El ABM Activos;
El Diario de Incidencias.

Proteger la documentacin del sistema almacenada en una red local,


implementando un sistema de acceso o privilegios por perfil;

Proteger la documentacin del sistema almacenada en una red pblica, o


suministrada a travs de una red pblica con mtodos seguros:
Permitir slo acceso a la lectura de los documentos;
Implementar un sistema de verificacin de integridad de los archivos,
contra las modificaciones no autorizadas;
Implementar mtodos de intercambio de informacin seguro, protegiendo
la confidencialidad de los datos;
Aplicar otros mtodos que garanticen integridad de los datos, segn la
necesidad;
Ejemplos de herramientas que se pueden utilizar para lograr esto son:
- Aplicar funciones HASH;
- Aplicar MAC (Message Authentication Code);
- Implementar IPSec.

Proteccin de la informacin publicada en la Web:


La informacin publicada en Internet debe ser protegida contra modificacin, ya
que si se ve afectada la integridad de las publicaciones, la seguridad de la
empresa, y su reputacin estarn en juego.

Proteccin del correo electrnico:


Implementar tcnicas de encripcin de mensajes o firma digital para el
intercambio seguro de correo electrnico.

Proteccin del trfico cliente-servidor:


Proteger el trfico entre equipos clientes y servidores mediante el recurso
adecuado segn corresponda:
o

Firma digital;

Cifrado de paquetes;

Autenticacin Kerberos;

Mtodos de hash.

121

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Proteccin del trfico de los vnculos:

Proteger el trfico entre equipos distantes mediante el ccifrado de paquetes.

3.1.3 Proteccin a nivel de la organizacin.


Se analiza en esta parte la proteccin de los distintos Activos a nivel de la
organizacin.
Se deben considerar algunos de los siguientes puntos:

Elaboracin/adecuacin de una Normativa de seguridad:


A nivel de la organizacin, el primer paso en la proteccin del entorno es
establecer la normativa que dicte los lineamientos sobre los procedimientos, las
tareas y procesos informticos. La normativa se materializa en un Manual de
Seguridad compuesto por:
o

La Poltica general de Seguridad;

Las Normas;

Los procedimientos;

Los estndares tcnico;

Los Manuales de usuarios.

Para la Elaboracin/adecuacin de una Normativa de seguridad referirse al


captulo 4, seccin 3 de esta tesis.

Determinacin de la necesidad de un cambio en la estructura de la organizacin:


o

Crear un sector dedicado a la seguridad informtica:


Si la empresa en cuestin no presenta la estructura organizacional que
soporte el siguiente esquema de responsabilidades, ser tarea de ES disear y
proponer una serie de responsabilidades a crear en la organizacin, pudiendo
implicar la creacin de un rea de Seguridad Informtica y una de Control
Interno o Auditora;

Determinar los roles y responsabilidades:


Este proyecto consiste en dar una razonable proteccin a la informacin a
travs de la correcta administracin de la seguridad por parte de los
responsables asignados a cada una de las funciones dentro de la compaa
objetivo. Para ello se deben definir los roles y las responsabilidades que lo
ejecuten.
A continuacin se definen los roles y responsabilidades de cada una de las
funciones relacionadas con la seguridad:

122

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Dueo de los datos


Se llama Dueo de los Datos a todo Director y/o Gerente de cada rea de la
empresa responsable sobre la informacin correspondiente a su mbito de
trabajo.
El Dueo de los Datos podr asignar las tareas de administracin y control de
las medidas de seguridad del rea, a un colaborador, quien recibe el nombre
de Dueo de los Datos Delegado.
Son sus principales responsabilidades:
Identificar toda la informacin de su rea, cualquiera sea su forma y
medio de conservacin;
Clasificar su informacin de acuerdo a su grado de criticidad,
documentando y actualizando peridicamente esta clasificacin;
Determinar qu usuarios de su rea pueden acceder a su informacin,
asegurando que cada uno tenga garantizado el ingreso a los datos de
acuerdo a sus respectivas funciones, y en el marco de lo especificado por
la Norma de Administracin de Usuarios, Accesos y Recursos;
Proponer los eventos de seguridad adicionales que considere necesarios
para proteger su informacin.
Oficial de Seguridad
El Oficial de Seguridad es quien tiene a su cargo la definicin y el
mantenimiento del marco normativo y el asesoramiento a todo el personal de
la compaa para su implantacin.
En relacin a esta funcin, es responsable de:
Implantar un programa de concientizacin permanente de usuarios sobre
la seguridad de la informacin y su mantenimiento a futuro;
Mantener actualizada la normativa de seguridad y la lista de todos los
Dueos de los Datos/ Delegados;
Dar soporte a los involucrados en los procesos de:
- Definicin de los Dueos de los Datos/ Delegados;
- Identificacin de la informacin sensible;
- Identificacin de las medidas de seguridad necesarias en cada sistema
para cumplir con la normativa;
- Implantacin de dichas medidas;
Asistir al Administrador de Seguridad en la implantacin de la normativa
de seguridad informtica;
Efectuar el control de los principales eventos que afecten la seguridad de
la informacin y la posterior comunicacin y asistencia a los Dueos de los
Datos / Delegados y dems responsables en:
- Identificacin del problema;
- Anlisis del impacto;
- Definicin de acciones a llevar a cabo;
123

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Participar en la investigacin y recomendacin de productos de seguridad


en conjunto con el rea de Sistemas, para la implantacin de las medidas
de seguridad en los sistemas;
Participar en el proceso de evaluacin de los riesgos emergentes ante una
situacin de interrupcin no prevista del procesamiento de sistemas,
definicin de las distintas estrategias de recuperacin, y en la prueba e
implantacin de los planes de recuperacin ante desastres definidos;
Participar en el diseo, desarrollo, mantenimiento o adquisicin de
sistemas de aplicacin en cuanto a:
- Identificacin y evaluacin de los controles automatizados del sistema,
menes de usuarios y controles manuales adicionales a incluir en los
procedimientos que acompaen a su operatoria;
- Participacin en la definicin y evaluacin de los lotes de prueba y
durante los procesos de conversin e implantacin de los sistemas de
aplicacin;
- Determinacin de los perfiles de usuarios que accedan a cada uno de los
puntos de men en relacin al puesto de trabajo.
Administrador de Seguridad
Se define como tal a la persona que tiene a su cargo la ejecucin de las
medidas de seguridad en algn equipo de procesamiento, servicio y/o
aplicacin.
Sus principales responsabilidades relacionadas con la proteccin de la
informacin son:
Administrar todas las solicitudes de alta, baja y modificacin de permisos
relacionados con los accesos de los usuarios a los respectivos equipos y
aplicaciones;
Implantar en los sistemas todos los parmetros definidos en las normas,
procedimientos y estndares especficos;
Asistir a los usuarios en las tareas relacionadas con la proteccin de los
datos;
Analizar e informar cualquier evento que atente contra la seguridad
informtica, as como controlar peridicamente que solamente los usuarios
autorizados posean acceso a los recursos.
Operador Responsable
Se establecen como Operadores Responsables de la informacin a:
Los responsables de los archivos centralizados de la informacin en
soportes (escritos en papel o electrnicos);
Los responsables de los Centros de Procesamiento de Datos o de los sitios
donde se encuentren los equipos de procesamiento centralizado, de
comunicacin y/o de almacenamiento;
Sus principales responsabilidades son:
Implantar las medidas de seguridad fsica definidas para la proteccin de
la informacin en la normativa correspondiente;
124

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Disponer la efectiva custodia de las claves de mayor riesgo de los


equipos/servicios/aplicaciones conservadas en medios impresos.
Comit de Cambios
Planificar, priorizar, autorizar y coordinar las tareas a realizar por los
distintos involucrados ante la necesidad de realizacin de cambios de
sistemas en produccin;
Definir los criterios sobre los cuales se realiza la evaluacin de impacto y
criticidad de los cambios;
Liderar los procesos de cambio a realizar ante situaciones de emergencia;
Evaluar peridicamente el registro de los cambios realizados en los
sistemas de produccin, a fin de ajustar los criterios de evaluacin,
planificacin y priorizacin de tareas.
Usuarios
Se considera como tales a todos los sujetos que hacen uso de los equipos,
servicios y aplicaciones y de la informacin de la empresa, para poder cumplir
con sus respectivas tareas.
Son sus responsabilidades:
Cumplir con todas las medidas de seguridad definidas en el Manual de
Seguridad;
Resguardar los soportes de informacin que conserven en su poder, segn
lo establecido en el Procedimiento de Tratamiento de la Informacin;
Firmar el Compromiso de Confidencialidad de la Informacin.

Implantacin de polticas para evitar ataques internos:


[Huerta2000] Afirma que: el 80 % de los fraudes, robos, sabotajes o accidentes
relacionados con los sistemas informticos son causados por el propio personal de
la organizacin propietaria de dichos sistemas, lo que se suele denominar insider
factor.
Esto significa que la mayora de los ataques a los sistemas informticos son
perpetrados por el propio personal que trabaja actualmente en la empresa, o que
ha trabajado con anterioridad. Estas son personas con envidia, codicia o ex
empleados que desean vengarse por haber sido despedidos, o por otras
desconformidades.
Las personas que trabajan en el rea de administracin de los sistemas, de redes
o en desarrollo, tienen conocimiento de claves, formas de acceso, ubicacin de
informacin crtica y hasta tienen conocimiento de las fallas y debilidades del
sistema.
Es por esto que se aconseja tomar medidas preventivas acerca de esta realidad:
125

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Mnimo privilegio:
A cada usuario se le debe otorgar el mnimo privilegio que necesita para
realizar su actividad;

Conocimiento parcial:
Las actividades crticas de la organizacin deben ser conocidas y realizadas
por varias personas competentes para que puedan respaldarse en caso de
incidencias como accidentes o viajes. No centralizar el conocimiento de datos
crticos en una sola persona, por ejemplo el conocimiento de la contrasea del
administrador debe ser compartido con al menos 2 personas de confianza;

Rotacin de funciones:
Para evitar la complicidad de dos responsables, o evitar el mutuo sabotaje si
estn enemistados;

Separacin de funciones:
La separacin de funciones es un mtodo usado para reducir el riesgo de mal
uso, accidental o deliberado del sistema.
Separar la gestin o ejecucin de ciertas tareas o reas de
responsabilidad, a fin de reducir las oportunidades de modificacin no
autorizada o mal uso de la informacin o los servicios;
Evitar que una sola persona tenga la responsabilidad total de la seguridad
de la empresa;

Implantacin de polticas de escritorios y pantallas limpias:

Implementar una poltica de escritorios limpios para proteger documentos en


papel y dispositivos de almacenamiento removibles para evitar robos,
prdidas o dao de la informacin, y protegerla de desastres naturales.

Implementar una poltica de pantallas limpias para reducir los riesgos de


acceso no autorizado, prdida y dao de la informacin durante el horario
normal de trabajo y fuera del mismo.
Almacenar bajo llave los documentos en papel y los medios de
almacenamiento cuando no estn siendo utilizados, especialmente fuera
del horario de trabajo;
Guardar bajo llave la informacin sensible o crtica de la empresa,
especialmente cuando no hay personal en la oficina;
No dejar conectadas las computadoras
impresoras cuando estn desatendidas;

personales,

terminales

Desconectar toda sesin activa cuando la terminal no verifique uso


durante un perodo minutos de duracin (10, 15 o 30) e implantar
medidas para bloquear las terminales desatendidas;
126

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Proteger las computadoras personales, terminales e impresoras con


cerraduras de seguridad, contraseas u otros controles cuando no estn
en uso;
Proteger los puntos de recepcin y envo de correo y las mquinas de fax y
telex no atendidos;
Bloquear las fotocopiadoras (o protegerlas de alguna manera del uso no
autorizado) fuera del horario normal de trabajo;
Retirar de la impresora inmediatamente la informacin sensible o
confidencial, una vez impresa.

Separacin de las instalaciones de desarrollo, de prueba y produccin:


Es fundamental separar fsicamente las instalaciones de desarrollo, prueba y
produccin para evitar confusiones, prdida de informacin y fallas en la
confidencialidad de los datos.
Se debe trabajar en instalaciones separadas que garanticen integridad en el
ambiente de desarrollo, estabilidad en el ambiente de pruebas y confidencialidad
en al ambiente de produccin u operacin.
Se recomienda la separacin entre las instalaciones de desarrollo, pruebas y
operaciones, a fin de reducir el riesgo de cambios accidentales o accesos no
autorizados al software operativo y a los datos del negocio.
Se deben tener en cuenta los siguientes controles:

Ejecutar el software en desarrollo y en produccin en diferentes procesadores


o en diferentes dominios o directorios;

Separar las actividades de desarrollo y prueba;

Prohibir el acceso a compiladores, editores y otros utilitarios del


sistemas que estn operativos ( en produccin);

Utilizar diferentes procedimientos de login para sistemas de prueba y en


produccin, a fin de reducir el riesgo de error por parte de los usuarios;

Recomendar a los usuarios la utilizacin de diferentes contraseas para estos


sistemas;

Definir las reglas para la transferencia de software desde el ambiente de


desarrollo hacia el ambiente de prueba y al de produccin y documentarlas en
el Manual de Procedimientos correspondiente segn lo indica la Poltica de
Seguridad;

desde los

Establecimiento de un mtodo de registro del flujo de personal:


Registrar fecha y hora de entrada y salida del personal, tal como se sugiere en
4.1.1.1 Proteccin de las Instalaciones.

Implantacin de medidas de proteccin para el transporte de activos:

127

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Utilizar medios de transporte o servicios de mensajera confiables;

Crear una lista de servicios de mensajera autorizados e implementar un


procedimiento para verificar la identificacin de los mismos;

Proteger el bien contra eventuales daos fsicos durante el trnsito con un


adecuado embalaje, siguiendo las especificaciones de los fabricantes o
proveedores;

Adoptar controles especiales para proteger la informacin sensible contra


divulgacin o modificacin no autorizadas;
Por ejemplo:
Usar recipientes cerrados;
Entregar el Activo en mano;
Cuando sea necesario, hacer una divisin de los bienes a enviar en ms de
una entrega y enviarla por diferentes rutas;
Usar una codificacin adecuada para rotular los paquetes, que no permita
descifrar el contenido por personal no autorizado.

Proteccin de las operaciones de comercio electrnico:


Las transacciones de comercio electrnico comprenden un intercambio de
informacin delicada, como precios, nmeros de tarjetas de crdito, crdito
disponible de un usuario, y otros datos personales como direccin, nmero de
telfono, nmero de documento, y hasta preferencias personales.
Todos estos datos pueden ser interceptados por intrusos que los modifiquen o
simplemente saquen provecho de forma fraudulenta de esa informacin.
Para prevenir el mal uso de nuestros datos, su manipulacin o modificacin, se
debe hacer uso de herramientas y aplicar tcnicas que lo eviten. Estas tcnicas
deben garantizar:
o

Autenticacin del cliente y el comerciante;

Autorizacin para fijar precios, emitir o firmar los documentos comerciales;

Confidencialidad, integridad y prueba de envo y recepcin de documentos


clave y de no repudio de contratos en los procesos de oferta y contratacin;

Confiabilidad y autenticacin en la informacin sobre precios y descuentos;

Confidencialidad e integridad de los datos suministrados con respecto a


rdenes, pagos y direcciones de entrega, y confirmacin de recepcin en las
transacciones de compra;

Verificacin de los datos del cliente;

Cierre de la transaccin;

Determinar la forma de pago ms adecuada para evitar fraudes;

Confidencialidad e integridad de la informacin sobre rdenes de compra para


evitar la prdida o duplicacin de transacciones;

Definir la responsabilidad de las partes;

128

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Determinar quin asume el riesgo de eventuales transacciones fraudulentas;


Para implementar estas medidas se puede hacer uso de alguna de las
siguientes herramientas:
Firma digital;
Encripcin de datos;
Certificados digitales;
IPSec;
SET (Secure Electronic Transaction).
El ES determinar, segn el caso, la forma ms adecuada de llevar a cabo
esta tarea.

Proteccin del correo electrnico:


o

Determinar cules son las cuentas no autorizadas para intercambio de correo;

Determinar las consideraciones legales aplicables:


Publicacin de direcciones corporativas;
Filtrado de contenido de los mensajes;
Necesidad de prueba de envo, origen, entrega y aceptacin;

Determinar las acciones aplicables a correo entrante al dominio para usuarios


desconocidos;

Implantacin de un proceso de autorizacin para la publicacin de informacin


electrnica de la empresa:
o

A travs de la publicacin de pginas en Internet;

A travs de la difusin de noticias y contenido en mensajes de correo


electrnico;

Control de las operaciones de oficina:


Las oficinas
informacin
intercambio
correo de
multimedia,

manejan datos de una forma en que se propicia la divulgacin de


y el intercambio de datos mediante el uso de documentos impresos,
de archivos, computacin mvil, correo postal, correo electrnico,
voz, mquinas de fax, comunicaciones telefnicas, servicios
etc;

Se deben controlar:
o

La
autorizacin
teleconferencias;

de

grabacin

de

comunicaciones

telefnicas

La forma en que se distribuye la informacin, por ejemplo a travs de


comunicados generales o boletines corporativos;

El proceso de recepcin de correspondencia y su distribucin;

Restriccin en el uso de determinadas instalaciones;


129

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Polticas de retencin y resguardo de informacin;

Persuadir a los empleados del intercambio discreto de informacin:


En las oficinas se produce un continuo y hasta forzoso intercambio de informacin
entre los empleados de la compaa y entre terceros;
Se debe persuadir a los empleados el intercambio discreto de informacin,
recomendndoles:

No tratar temas confidenciales en comunicaciones telefnicas, en particular


con telfonos mviles;

No tratar temas confidenciales en lugares pblicos u oficinas de acceso


comn;

Tener especial cuidado con la informacin dejada en contestadores


automticos ya que puede ser escuchada por personas no autorizadas;

Tener especial cuidado al enviar mensajes por fax, ya que se puede enviar
documentacin a un nmero errneo;

Reportar los incidencias:


Crear un circuito que permita el reporte, registro y solucin de incidencias, as
como la prevencin a partir de la Norma de Manejo de incidencias del Manual de
Seguridad Informtica.
Para ms detalles sobre el manejo de incidencias ver la etapa 6.1 de la MAEI.

Controlar los cambios:


Mantener un control sobre los cambios realizados en el entorno, en equipos, en
software y otros recursos.
Para ello se recomienda seguir el procedimiento fijado en la Norma de Control de
Cambios, y, para una fcil administracin de los cambios, referirse a la seccin
6.2 de esta metodologa.

3.2 APROBACIN DEL PLAN DE ASEGURAMIENTO


Una vez elaborado el plan de Aseguramiento, el cliente debe dar su aprobacin para
su implantacin.
Como todo proyecto, debe estar acompaado del apoyo del nivel gerencial y de los
responsables directos involucrados.

130

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

El proceso de aprobacin variar segn las costumbres y polticas del cliente, pero en
todos los casos va acompaado de la asignacin de un presupuesto a invertir en los
recursos asignados en la planificacin.

131

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

IMPLANTACIN

Contenido:
4.1 Elaboracin del Relevamiento de Activos
4.1.1 Inventario de Activos
4.1.2 Ejemplo Inventario de Activos
4.1.3 Rotulacin de activos
4.1.4 Anlisis de Criticidades
4.2 Clasificacin de la Informacin
4.2.1 Identificacin de la informacin
4.2.2 Tipos de informacin
4.2.3 Beneficios de la clasificacin de la informacin
4.2.4 Riesgos de la informacin
4.3 Elaboracin/ adaptacin de la Normativa de Seguridad
4.3.1 Interiorizacin del experto con la poltica y negocio de la organizacin
4.3.2 Elaboracin/adaptacin de la Normativa de Seguridad
4.3.2.1 Poltica de Seguridad
4.3.2.1.1 Definicin
4.3.2.1.2 mbitos de aplicacin y personal afectado
4.3.2.2 Normas y Procedimientos
4.3.2.2.1 Definicin
4.3.2.2.2 Espectro de las Normas y los Procedimientos
4.3.2.2.3 Ejemplo - Normas y Procedimientos
4.3.2.3 Estndares, Esquemas y Manuales de usuarios
4.3.2.3.1 Definicin
4.3.2.4 Implantacin y uso de la Normativa de Seguridad
4.3.2.5 Convenio de Confidencialidad
4.3.3 Aprobacin de la Poltica de Seguridad
4.4 Publicacin de la Normativa de Seguridad
4.4.1 Implantacin de una campaa de concientizacin
4.4.2 Capacitacin de los usuarios

132

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

4.5 Implantacin del Plan de Aseguramiento


4.5.1 Implantacin a nivel fsico
4.5.2 Implantacin a nivel lgico
4.5.3 Implantacin a nivel de la organizacin
4.6 Elaboracin del Plan de Recuperacin del Entorno ante Desastres (PRED)
4.6.1 Establecimiento del escenario considerado
4.6.2 Determinacin de los tipos de operacin en una contingencia
4.6.3 Establecimiento de criticidades
4.6.3.1 Tabla de Criticidades por Equipo
4.6.3.2 Ejemplo - Tabla de Criticidades por Equipo
4.6.3.3 Tabla de Criticidades por Servicios
4.6.3.4 Ejemplo - Tabla de Criticidades por Servicios
4.6.3.5 Tabla de Criticidades por Aplicaciones
4.6.3.6 Ejemplo - Tabla de Criticidades por Aplicaciones
4.6.4 Determinacin de las prestaciones mnimas
4.6.5 Anlisis de riesgos
4.6.5.1 Probabilidad de ocurrencia de desastres
4.6.5.2 Determinacin de los niveles de desastre
4.6.6 Presentacin de las distintas estrategias posibles de recuperacin
4.6.7 Seleccin de la estrategia de recuperacin
4.6.8 Elaboracin de la estrategia de recuperacin
4.6.8.1 Mitigacin de riesgos Medidas preventivas
4.6.8.2 Descripcin de la estrategia
4.6.8.3 Requerimientos para llevar a cabo el Plan
4.6.8.4 Esquemas tcnicos
4.6.8.5 Formacin del Equipo de Recuperacin del Entorno ante Desastres
(ERED)
4.6.8.5.1 Roles y responsabilidades
4.6.8.5.2 Asignacin de roles
4.6.8.6 Establecimiento de los procedimientos
4.6.8.6.1 Declaracin de la emergencia
4.6.8.6.2 Recuperacin de las prestaciones
4.6.8.6.3 Reestablecimiento de las condiciones normales

133

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Culminadas las fases correspondientes a la primera parte de esta metodologa, el


estudio del entorno, se da comienzo al segundo y ltimo grupo de fases llamado
Implantacin de la solucin. Dentro de este grupo se encuentra la fase que da ttulo
al presente captulo. En el mismo se desarrolla la implantacin de la solucin.
En esta fase se lleva a la prctica lo planificado realizando los controles y ajustes
necesarios segn lo relevado anteriormente.
A su vez, y como en todo este trabajo, este captulo se divide en etapas que
describen tareas.
Se pretende llevar un orden en la ejecucin de las etapas aqu presentadas, pues es
de particular importancia para seguir el razonamiento desarrollado en esta tesis.
Las etapas a desarrollar son las siguientes:
4.1 Elaboracin del Relevamiento de Activos
4.2 Clasificacin de la Informacin
4.3 Elaboracin/adaptacin de la Normativa de Seguridad
4.4 Publicacin de la Normativa de Seguridad
4.5 Implantacin del Plan de Aseguramiento
4.6 Elaboracin del Plan de Recuperacin del Entorno ante Desastres

Cada una tiene un objetivo especfico e individual, que contribuye en parte a lograr el
objetivo de la fase, que es la implantacin de las medidas de seguridad planificadas.
El ES considerar la necesidad de implementar todas o alguna de las etapas
propuestas, pero de hacerlo, deber respetar el orden sugerido ya que las tareas que
se desarrollan alimentan muchas veces a otras que les siguen, aunque no
necesariamente deben estar todas presentes.
La Clasificacin de la Informacin no puede realizarse sin un relevamiento de los
activos fsicos y lgicos de la Organizacin, aunque no es estrictamente necesario
que se formalice esto en un inventario como se sugiere en la etapa 4.1.
Tambin, para la elaboracin del Manual de Seguridad, en particular de ciertos
procedimientos como los de manipulacin de equipos, el de transmisin de datos, el
de borrado seguro de informacin, es necesario clasificar la informacin., y a su vez,
para poder clasificar la informacin se debe contar con la Norma que establezca esa
clasificacin.

134

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Ms all de la interdependencia entre etapas, la fase debe interpretarse como una


unidad en la que se pretende materializar las medidas planificadas para lograr el
aseguramiento del entorno.

4.1 Elaboracin del Relevamiento de Activos.


Segn [IRAM17799] para mantener una adecuada proteccin de los activos de la
organizacin
se debe rendir cuentas por todos los recursos de informacin
importantes y se debe designar un propietario para cada uno de ellos.
En esta etapa de la MAEI el ES realiza un detallado relevamiento de los bines o
activos en posesin de la organizacin objetivo.
Para el desarrollo de esta tarea se presenta una tabla para la documentacin de la
existencia de los recursos de hardware, software y la informacin de una empresa y
su clasificacin, segn su criticidad.
Este documento es el Inventario de Activos.

4.1.1 Inventario de Activos


El Inventario de Activos aqu propuesto pretende llevar una contabilidad de los bienes
de la organizacin en cuestin, clasificndolos segn el nivel de proteccin que cada
uno necesita, segn la valorizacin de los responsables.
Se har distincin entre los elementos fsicos o tangibles (como las instalaciones) y
los lgicos o intangibles (como la informacin).
Para este fin se propone la elaboracin de un Inventario de Activos Fsicos, y un
Inventario de Activos Lgicos.
El Inventario de Activos Fsicos contendr los siguientes elementos:

Elementos de hardware:
o

Equipamiento informtico: monitores, mdems;

Equipos de comunicaciones: routers, PABXs, hubs, switches, etc;

Medios magnticos: cintas y discos removibles;


135

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Perifricos: impresoras, mquinas de fax, contestadores automticos;

Cableado: cables internos y externos;

Otros equipos tcnicos: de suministro de electricidad como UPSs,


acondicionado;

Mobiliario, lugares de emplazamiento;

Se har una distincin especial sobre las CPUs para facilitar su identificacin.

aire

CPUs:
Se establece una distincin del resto de los elementos de hardware para su fcil
identificacin:
o

Procesadores, computadoras porttiles.

Asimismo, el Inventario de Activos Lgico contendr estos elementos:

Elementos de software:
o

Sistemas operativos;

Software de aplicaciones;

Software de sistemas;

Herramientas de desarrollo;

Utilitarios.

Servicios:
o

Servicios informticos;

Servicios de comunicaciones;

Servicios generales
acondicionado).

(calefaccin,

iluminacin,

energa

elctrica,

aire

Datos:
o

bases de datos;

archivos;

documentacin de sistemas: manuales de usuario, material de capacitacin,


procedimientos operativos o de soporte, planes de continuidad, documentos
de alcance, de diseo, de pruebas, etc.;

informacin archivada.

Backups:
Se hace especial mencin de los elementos de recuperacin de informacin,
para su correcta administracin, actualizacin y control y como apoyo al
documento de Administracin de Backups [3.1.2.4]
136

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Estructura del Inventario de Activos

CDIGO

DESCRIP.

UBICACIN

RESP.

FECHA
CREACIN

FECHA
EXPIRACIN

CRITICIDAD

ESTADO

Descripcin de los campos


CDIGO: Es el cdigo rotulador que se asignar a cada elemento que permitir
identificar cada bien unvocamente, para su identificacin y seguimiento. Este rtulo
se deber colocar a la vista en elementos fsicos (productos de hardware, cintas de
backup, perifricos, etc) para su identificacin.
Se establece para ello la siguiente clasificacin de elementos:

Hardware

notado HDW

CPUs

notado CPU

Software

notado STW

Servicio

notado SRV

Datos

notado DAT

Backup

notado BKP

La codificacin de los activos se realiza concatenando la sigla del tipo de elemento


con un nmero correlativo creciente decimal de 4 dgitos.
Por ejemplo:
HDW0034: es el elemento de hardware nmero 34
BKP0102: es el backup nmero 102
NOTA: cabe destacar que este tipo de codificacin incrementa la seguridad,
protegiendo los elementos de backup contra hurto, ya que el rtulo no se puede
relacionar inmediatamente con la fecha de backup y la aplicacin sobre la cual se
realiz la copia de seguridad, si no es mediante el presente documento, que
establece una relacin nica entre el cdigo de activo y la descripcin.

137

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

DESCRIP.: es una descripcin del elemento en cuestin en la que se debe destacar


marca del producto, y otros datos relevantes (como nmero de serie, etc)
UBICACIN: Es la ubicacin fsica del activo. Para elementos de hardware, ser el
piso, el sector, sala donde est ubicado. Para elementos de software ser la ubicacin
lgica del archivo: servidor o PC con path completo en la unidad de hardware
correspondiente.
RESP.: Es la persona que se hace cargo del elemento cuando ocurre un incidente en
el que est involucrado.
FECHA CREACIN: Para elementos de hardware ser la fecha de compra del
mismo, o la de fabricacin, y para los elementos de software se considerar la fecha
de creacin de dicho archivo.
Formato: dd/mm/aaaa
FECHA EXPIRACIN: Frecuentemente, la informacin deja de ser sensible o crtica
despus de un cierto perodo de tiempo, por ejemplo, cuando la informacin se ha
hecho pblica.
Para elementos de hardware este campo puede dejarse en blanco, salvo que el
elemento sea alquilado y tenga una fecha de baja preestablecida, y para los
elementos de software se considerar la fecha en que la informacin contenida en el
archivo pierda validez, o se realice la depuracin correspondiente.
Formato: dd/mm/aaaa
CRITICIDAD: Indica el grado de proteccin que se le deber asignar al bien, segn
la experiencia del Ingeniero o el valor asignado por el usuario.
Este nivel de criticidad ser asignado en el Inventario de Activos una vez hecho el
correspondiente Anlisis de Criticidades y la posterior Clasificacin de la Informacin.
Por el momento, se sugiere dejar este campo vaco y completarlo una vez pasadas
las etapas mencionadas.
Para ms detalles en cuanto al Anlisis de Criticidades ver el apartado 4.1.2 de esta
Tesis.
Para la Clasificacin de la Informacin consultar la parte 4.2.

ESTADO: puede tomar tres valores:

138

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

A: Significa que el activo ha sido dado de alta y efectivamente forma parte del
inventario actual de la organizacin;

B: Indica que el activo existi, y fue dado de baja;

M: El activo ha sido modificado (pero sigue en uso).

4.1.2 Ejemplo Inventario de Activos


Inventario de Activos Fsicos

CDIGO

DESCRIP.

UBICACIN

RESP.

FECHA
CREACIN

FECHA
EXPIRACIN

CRITICIDAD

ESTADO

HDW0001

Mouse serie Piso 9, sector Mara


Logitech
QA,
cpu: Martinez
HW0017

12/2001

(011)

---

---

---

---

---

HDW0034

Router Cisco Piso 7, sector Manuel


8000
comunicaciones Belgrano

7/2003

(021)

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

Inventario de Activos Lgicos

CDIGO

DESCRIP.

UBICACIN

RESP.

FECHA
CREACIN

FECHA
EXPIRACIN

CRITICIDAD

ESTADO

BKP0102

Backup
de HW0024
Srv01/exter
no/proy5.m
bd

Juan
Perez

20/05/2003

20/06/2003

(233)

---

---

---

---

---

---

DAT0067

Notas
de CPU0002/d:/Lo
logstica en gstica/Notas/
formato .doc

Mara
Lpez

14/12/2002

14/12/2003

(121)

---

---

---

---

---

---

BKP0106

Backup
de HW0024
Srv01/exter
no/proy5.m
bd

Juan
Perez

20/06/2003

20/07/2003

(233)

---

---

---

---

---

---

---

---

---

139

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

4.1.3 Rotulacin de activos


Luego de la clasificacin de la informacin y de la elaboracin del inventario de
Activos Lgicos y del Inventario de Activos Fsicos se procede a la identificacin de
los activos por medio de rtulos o labels.
La ventaja de llevar actualizado los inventarios es que de esta forma se pueden
rotular los activos con el cdigo asignado en el Inventario, y no con la descripcin
explcita.
Este mecanismo es muy til para proteger la informacin contra hurtos y sabotajes.
Un ejemplo claro es el caso de las cintas de backup. Si una cinta de backup contiene
una indicacin clara de la informacin que contiene, su criticidad, la fecha en que se
realiz, etc, es susceptible de ser un blanco de codicia por parte de intrusos
hambrientos de informacin.
Es mucho ms fcil para un delincuente extraer de la empresa una cinta de backup
que una CPU, y ms fcil an que penetrar las barreras de seguridad lgica de la red.
La forma en que se rotulen los activos puede ser muy variada, pero para hacer esto
se deber desarrollar un estndar que indique claramente cmo se realizar esta
identificacin, si se utilizar una nomenclatura distinta de la del inventario de Activos,
para lo cual se deber establecer la relacin entre el cdigo registrado en el
Inventario y el asignado al medio fsico.
Esta prctica es la menos recomendada, ya que provoca confusiones, es ms
laboriosa, se pierde integridad en la forma de manejar los indicadores, y est en
riesgo la prdida de la transformacin que relaciona la descripcin del activo (entrada
en el Inventario de Activos) y su rtulo, que es la identificacin asignada para su
visualizacin fsica.
Mucho ms prctico es utilizar el cdigo asignado en el Inventario de Activos que fue
diseado con el fin de otorgar una descripcin al personal que maneja los bienes en
su labor diaria, pero que no aporta informacin sobre su contenido y clasificacin a
personas ajenas al manejo de estos cdigos.

4.1.4 Anlisis de Criticidades


El anlisis de criticidades es el paso previo a la Clasificacin de la Informacin.

140

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Para clasificar la informacin de acuerdo a algn rango establecido en primer lugar


hay que establecer cun crtico es el activo en cuestin.
La criticidad se puede expresar mediante la necesidad de conservar tres atributos:

La autenticidad;

La disponibilidad;

La integridad.

Cada Dueo de los Datos debe analizar su informacin para proceder a su


clasificacin, basndose principalmente en los perjuicios que pudiera ocasionarle a la
Compaa objetivo y/o a su personal, el incumplimiento de alguno de los valores
establecidos en la Poltica General. Dichos prejuicios pueden ser: sociales, legales, de
imagen, polticos, econmicos y/o financieros.
La clasificacin de la informacin debe estar sustentada por los siguientes criterios
bsicos:

El valor estratgico de la informacin para la Compaa;

La ventaja competitiva que puede darles a terceros su conocimiento;

Los criterios especficos que definan las autoridades de la Compaa;

Las leyes y reglamentaciones vigentes.

Asimismo, el impacto y probabilidad de una prdida en seguridad se pueden clasificar


en cuatro niveles:

Nivel 3: Alto riesgo; Dao irreparable, Impacto a nivel corporativo de 2 a 5 aos.


Es un objetivo de ataque de alta probabilidad;

Nivel 2: Nivel 2: Dao Significativo. Impacto a nivel de pas de la empresa / sede


hasta 2 aos. Es un objetivo posible.

Nivel 1: Dao Moderado. A nivel departamental. Impacto de menos de 1 ao. Es


un objetivo poco probable;

Nivel 0: Ningn Dao. Con licencia completa. Dominio pblico. No es un objetivo


de ataque.

Para establecer la criticidad del activo se sugiere la siguiente notacin, de uso


comn en varias compaas internacionales:
(Nivel de autenticidad, Nivel de disponibilidad, Nivel de integridad)

141

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Cuanto mayor sea el nivel con que se clasifique la informacin, mayor ser el riesgo
de la misma y por ende los controles que se ejerzan sobre ella para protegerla.
Ejemplo: (0,1,3) implica que la informacin necesita garantizar una autenticidad
mnima, un nivel moderado de integridad, y un alto requerimiento de integridad, por
lo que se deber hacer hincapi en controles que garanticen este ltimo atributo.

4.2 Clasificacin de la Informacin


La Clasificacin de la Informacin de la Compaa debe estar alineada a la Poltica de
Seguridad de la compaa, y se debe definir para cada una de las reas de negocio.
El tratamiento de la Informacin debe responder a su clasificacin.

4.2.1 Identificacin de la informacin


Los gerentes de las reas o de las divisiones, que son Dueos de los Datos, tienen la
responsabilidad primaria de clasificar la informacin y protegerla adecuadamente. La
clasificacin de datos y los procedimientos de manejo especial se usan para proteger
los datos de divulgaciones no autorizadas.
Cada Dueo de los Datos debe identificar toda la informacin que se genera dentro
del rea que maneja, en todas sus formas y medios, tales como:

documentos propios y/o de terceros;

informacin en
centralizados;

informes, reportes y listados;

medios magnticos mviles;

cualquier otro soporte fsico que contenga informacin.

los

sistemas/equipos

de

procesamiento,

individuales

y/o

La direccin de la empresa debe evaluar la probabilidad y el impacto producto de la


divulgacin, modificacin y/o prdida de informacin, como base para determinar el
valor de la informacin.
Cada organizacin deber establecer las categoras adecuadas para la clasificacin de
la informacin que maneja. En algunos casos manejar informacin confidencial, en
otros ser restringida o pblica.

142

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

4.2.2 Tipos de informacin


Existen muchos modelos de clasificacin de la Informacin, unos ms populares que
otros. Es importante entender el negocio de la empresa objetivo para determinar el
que ms se ajusta a su realidad.
Entre los modelos ms utilizados est el siguiente, en el que la informacin se puede
clasificar en tres categoras:

Confidencial o Sensible: Informacin de acceso restringido, con alto grado de


secreto, sobre la que tiene permiso un grupo reducido de usuarios (generalmente
de alto rango jerrquico) sobre la que se deben realizar estrictos controles;
Se trata de toda aquella informacin que puede presentar mayores riesgos para
la Compaa, y que slo debe ser utilizada por el Dueo de los Datos y las
personas expresa y directamente autorizadas por l en forma especfica.
Por ejemplo:
o

Polticas de largo alcance;

Frmulas crticas que no llevan proteccin de patentes;

Planes de fusin y adquisicin.

Los generadores de este tipo de informacin, o el correspondiente Dueo de los


Datos, deben proceder a clasificarla y salvaguardarla de acuerdo al Procedimiento
de Tratamiento de Informacin.
Adems, es necesario incluir en los registros de eventos, todos aqullos referidos
a la actualizacin de esta informacin.

Restringida: Informacin de acceso medianamente restringido (utilizada por


usuarios de rango medio, empleados) sobre la que es necesario realizar
suficientes controles para garantizar el acceso adecuado;

Pblica: Informacin de acceso libre, sobre la que se realizan los mnimos


controles (informacin disponible para la comunidad);

En otros casos, se utilizan modelos de ms niveles de detalle, en los que se incluyen,


adems de los anteriores, los siguientes:

Privada: relacionada con los individuos, tal como evaluaciones de desempeo,


compensaciones y beneficios, carpetas personales o registros mdicos;
143

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Uso Interno: relacionada con la operatoria diaria, como por ejemplo planes de
viajes y reuniones, iniciativas de proyectos, distribucin fsica de usuarios y
recursos, precios y demarcaciones.

4.2.3 Beneficios de la clasificacin de la informacin

Mejora de forma continua la seguridad de la informacin;

Establece los principales controles necesarios para evitar accesos externos o


internos no autorizados a la informacin.;

Brinda medidas de control para la proteccin de datos de carcter personal;

Posiciona la utilizacin del correo electrnico e Internet como una herramienta de


trabajo;

Permite la identificacin de acciones indebidas en los sistemas;

Promueve el buen uso y proteccin de las contraseas.

4.2.4 Riesgos de la informacin


Para establecer una clasificacin es necesario realizar el paso previo segn esta
metodologa, que consiste en hacer un anlisis de la criticidad de los Activos lgicos y
fsicos. Ver 4.1.2 Anlisis de Criticidades.
Asimismo, el Dueo de los Datos debe identificar los riesgos a los cuales est
expuesta su informacin, teniendo en cuenta la posibilidad de que personal interno
y/o externo realice:

Divulgacin no autorizada;

Modificacin indebida;

Destruccin de los soportes.

4.3 Elaboracin/ adaptacin de la Normativa de Seguridad

4.3.1 Interiorizacin del experto con la poltica y negocio de la organizacin

144

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Para la elaboracin o adaptacin de un adecuado Marco Normativo el ES debe


interiorizarse con el manejo del negocio, la estructura de la organizacin, la jerarqua
de la empresa y el manejo de los empleados, pero sobre todo debe interpretar y
conocer la estrategia de la empresa y sus polticas implcitas sobre el manejo de la
informacin.
El ES deber evaluar la adecuacin de esas costumbres y sugerir los cambios
necesarios para llevar a cabo las mejores prcticas de seguridad.

4.3.2 Elaboracin/adaptacin de la Normativa de Seguridad


En esta etapa de la MAEI, el ES determinar si es conveniente hacer una adaptacin
de la Normativa de Seguridad, si existiera, o si se inclina por la elaboracin de una
nueva.
La Normativa de Seguridad es el marco que regula el comportamiento de las
personas en la empresa, su forma de trabajar y de efectuar las tareas que involucran
los recursos del entorno informatizado.
El conjunto formado por los documentos que componen la Normativa de seguridad es
llamado Manual de Seguridad de la empresa.
El Manual de Seguridad est formado por la Poltica de Seguridad, las Normas, los
Procedimientos, los Instructivos y Estndares tcnicos.
A continuacin se muestra un grfico que lo ilustra:

General
Poltica de Seguridad

Normas

Particular
145

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Procedimientos

Estndares

La Poltica de Seguridad es la ms general. Contiene los lineamientos y definiciones


independientes de plataformas y tecnologas.
Las Normas son tambin leyes pero ms puntuales que las polticas. Las Normas
generalmente tratan temas especficos a alto nivel.
Los Procedimientos, en cambio, bajan el nivel a una serie de pasos a seguir, siempre
independientemente de la plataforma con que se trabaje.
Los Esquemas, en cambio, son procedimientos dependientes de la tecnologa, por lo
que se debe especificar la plataforma, sistema operativo o aplicativo para el que se
deba aplicar.
Finalmente, los Estndares tcnicos son documentos que describen la configuracin
de cierto sistema, aplicacin o hardware. Por ejemplo se puede establecer un
estndar tcnico para la configuracin de los servidores, para que cada vez que se de
de alta a un nuevo servidor se garantice que siguiendo ese estndar se obtendr la
misma configuracin de los dems servidores, ayudando a la automatizacin, por
medio de scripts, de dicha configuracin.
Para la elaboracin del Manual de Seguridad de la Informacin, que es el conjunto de
documentacin que avala el Marco Normativo de una empresa, el ES debe realizar un
relevamiento de aspectos organizativos y polticos, adems de los tcnicos.
El ES deber descubrir la forma de comunicacin que maneja la empresa, sobre todo
deber estudiar el lenguaje que emplea la alta gerencia para emitir sus comunicados
detectando la forma gramatical que se utiliza para las expresiones imperativas y las
enunciativas.
Debe prestar especial atencin en esto, ya que la Poltica y las Normas son
enunciadas con un carcter exclusivamente imperativo, ya que son leyes a cumplir
algunas veces por gran parte del personal y en su mayora por todos.
La forma en que se enuncien las oraciones ser crucial para las futuras auditoras, al
momento de verificar el cumplimiento de las Normas.
Como ejemplo, en la experiencia personal de la autora, se observ que en Espaa,
pas que posee el mismo idioma que la Repblica Argentina, una manera comn de
expresar obligatoriedad es utilizar el tiempo futuro simple, mientras que en la

146

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Argentina se hace hincapi en la obligatoriedad de una enunciacin agregando las


palabras se debe.
El siguiente ejemplo lo ilustra:
La frase: Se implementarn medidas de restriccin de acceso al CPD en Espaa
expresa una clara obligatoriedad de implementar medidas de restriccin del acceso al
CPD, mientras que en la Argentina esta misma frase podra ser interpretada como:
En algn momento, alguien, implementar medidas de restriccin de acceso al CPD,
mientras tanto no me preocupo yo por implementarlas.
En nuestro pas, por tal motivo se utilizan frases del tipo: Se deben implementar
medidas de restriccin de acceso al CPD para enfatizar la obligatoriedad de la
Norma.
Se debe tener presente al momento de escribir el Manual de Seguridad de una
empresa, que estas leyes deben ser interpretadas y cumplidas por los usuarios, por
lo que deben ser de fcil comprensin, simples y sintticas, sin ambigedades ni
contradicciones.
A continuacin se pasa a describir en detalle cada componente del Manual de
Seguridad de la Informacin:

4.3.2.1 Poltica de Seguridad

4.3.2.1.1 Definicin
La Poltica de Seguridad es un documento que establece las pautas, segn el enfoque
de la organizacin, y su negocio, en cuanto a la gestin de la seguridad.
La poltica de Seguridad contiene los principios de seguridad sobre los cuales deben
basarse las normas, procedimientos y estndares detallados. Debe ser conocida y
acatada por todos y cada uno de los miembros de la organizacin, y debe ser
concebida bajo el total consentimiento y apoyo de la gerencia.
Entre estos principios se encuentran:

Eficacia: Garantizar que toda informacin que sea utilizada es necesaria y


entregada de forma oportuna, correcta, consistente y til para el desarrollo de
las actividades;

147

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Eficiencia: Asegurar que el tratamiento de la informacin se realice mediante


una ptima utilizacin de los recursos humanos y materiales;

Confiabilidad: Garantizar que los sistemas informticos brinden informacin


correcta para ser utilizada en la operatoria de cada uno de los procesos;

Integridad: Asegurar que sea procesada toda la informacin necesaria y


suficiente para la marcha de las actividades en cada uno de los sistemas
informatizados y procesos transaccionales;

Exactitud: Asegurar que toda la informacin se encuentre libre de errores y/o


irregularidades de cualquier tipo;

Disponibilidad: Garantizar que la informacin y la capacidad de su tratamiento


manual y automtico, sean resguardados y recuperados eventualmente cuando
sea necesario, de manera tal que no se interrumpa significativamente la marcha
de las actividades;

Legalidad: Asegurar que toda la informacin y los medios fsicos que la


contienen, procesen y/o transporten, cumplan con las regulaciones legales
vigentes en cada mbito;

Confidencialidad: Garantizar que toda la informacin est protegida del uso no


autorizado, revelaciones accidentales, espionaje industrial, violacin de la
privacidad y otras acciones similares de accesos de terceros no permitidos;

Autorizacin: Garantizar que todos los accesos a datos y/o transacciones que
los utilicen, cumplan con los niveles de autorizacin correspondientes para su
utilizacin y divulgacin;

Proteccin Fsica: Garantizar que todos los medios de procesamiento y/o


conservacin de informacin cuenten con medidas de proteccin fsica que eviten
el acceso y/o utilizacin indebida por personal no autorizado;

Propiedad: Asegurar que todos los derechos de propiedad sobre la informacin


utilizada en el desarrollo de las tareas, estn adecuadamente establecidos a favor
de sus propietarios;

No Repudio: Garantizar los medios necesarios para que el receptor de una


comunicacin pueda corroborar fehacientemente la autenticidad del emisor.

148

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

4.3.2.1.2 mbitos de aplicacin y personal afectado


La Poltica de seguridad, junto con sus extensiones, como los Manuales de
Procedimiento y Estndares de Seguridad, formaliza las medidas a implementar en
los distintos mbitos determinados en el Alcance de la documentacin respectiva, y
que afecta a:

Personal efectivo del rea de sistemas;

Personal efectivo de otras reas;

Personal de mantenimiento;

Externos (soporte de hardware, contratistas, etc);

Pasantes;

Consultores;

Clientes.

4.3.2.2 Normas y Procedimientos

4.3.2.2.1 Definicin

Una Norma es toda definicin concreta sobre cada uno de los temas de seguridad que
luego sern adaptados a cada servicio informtico en forma especfica.
Un Procedimiento es toda especificacin de las pautas a seguir para el desarrollo de
una tarea en particular. Incluye el desarrollo de instrucciones operativas y
procedimientos apropiados de respuesta a incidencias y recuperacin de las
prestaciones frente a una catstrofe.
Ambos son independientes de la plataforma, y lo suficientemente genricos como
para poder ser aplicados en distintos entornos.
Las Normas y Procedimientos debern contener:

Definicin de la seguridad de la informacin, sus objetivos y alcance generales;

Declaracin del propsito de los responsables del nivel gerencial, apoyando los
objetivos y principios de la seguridad de la informacin;

Explicacin* de las Polticas, principios, Normas y requisitos de cumplimiento en


materia de seguridad, que son especialmente importantes para la organizacin;

149

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Definicin de los responsables en materia de gestin de la seguridad de la


informacin:
o

por nivel jerrquico;

por rea o sector del negocio;

Definicin de los responsables sobre los activos afectados:


o

Hardware;

CPUs;

Software;

Servicios;

Datos;

Backups;

Definicin del procedimiento a seguir ante la ocurrencia de incidencias relativos a


la seguridad;

Referencias a documentos que puedan respaldar la poltica, por ejemplo:


o

Estndares de Seguridad ms detallados para sistemas de informacin


especficos o normas de seguridad que deben cumplir los usuarios;

Instructivos que definen la forma de proceder ante la sucesin de ciertos


eventos, la administracin de las contraseas, el uso de los recursos
especficos y el manejo de los datos;

Normativas internacionales.

*se especifica el modo de extender la seguridad al mbito tcnico.

4.3.2.2.2 Espectro de las Normas y los Procedimientos


En un entorno informatizado se pueden generar Normas y Procedimientos en los
distintos aspectos de la seguridad, haciendo foco en los niveles fsico, lgico y de la
organizacin.
Un Marco Normativo completo (y til) est compuesto por Polticas, Normas y sus
respectivos Procedimientos, Instructivos y Estndares.
En general, se puede elaborar la normativa abarcando los siguientes tpicos, siempre
dependiendo del negocio y de la estructura de la organizacin objetivo:

A nivel fsico

150

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Comunicaciones;

Correo electrnico;

uso de Internet;

Uso de antivirus;

Seguridad fsica;

Seguridad del entorno, centros de cmputos (CPDs), oficinas, escritorios, etc.

Backup;

Separacin fsica de ambientes de procesamiento: controles y documentacin;

Destruccin de Informacin;

Destruccin de la informacin contenida en distintos soportes magnticos,


borrado seguro y eliminacin de medios impresos.

Utilizacin de equipos;

Utilizacin de celulares;

Recuperacin del Entorno ante Desastres;

Administracin de la Seguridad de Acceso;

Reinicio de sistemas;
Para procesos crticos, de tiempo real o que poseen un lato nivel de
disponibilidad, los cuales deben ser reiniciados bajo condiciones especficas y
siguiendo procedimientos especiales.

Eliminacin segura de salidas de tareas fallidas;


Se establecen las pautas para terminar procesos o tareas de las que dependen
otras, o de las que se esperaba un resultado.

A nivel lgico

Clasificacin y manejo de la informacin;

Modo de procesamiento de los datos;

Acceso a datos;

Administracin de usuarios;

Administracin de contraseas;

Procedimiento de solicitud de permisos de usuarios;

Desarrollo de software;

Requerimientos de programacin (schedulling), incluyendo dependencias con


otros sistemas, tiempos de inicio de primeras tareas y tiempos de terminacin de
ltimas tareas;

Separacin lgica de ambientes: requerimiento de metodologas de desarrollo de


software, ciclo de vida;

ABM Aplicaciones;

Uso de Software;

151

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Normas para el manejo de salidas (outputs), como el uso de papelera especial o


la administracin de salidas confidenciales;

Continuidad del procesamiento - Recuperacin del Entorno ante Desastres;

Administracin de registros de eventos de auditora (logs);

Conexiones a la LAN;

Conexiones de Terceros;

Accesos Remotos;

Concientizacin y Capacitacin;

Normas para usuarios;

Criptografa;

Seguridad en Bases de Datos;

Administracin de la Seguridad de las Aplicaciones;

Administracin de la Seguridad de la Red;

Intercambio de archivos a travs de la red;

Acuerdo de Confidencialidad.

A nivel de la organizacin

Responsabilidades de Seguridad;

Licencias legales de Software;

Auditoria de Sistemas;

Administracin y respuesta ante Incidencias;

Denominacin de responsables sobre los activos de la empresa;

Identificacin y registro de cambios en el sistema (ver 5.3 Control de Cambios);

Procedimiento de aprobacin formal de los cambios propuestos;

Comunicaciones a usuarios;

Puestas Operativas: Reglas para la transferencia de software desde el ambiente


de desarrollo hacia el ambiente de prueba y al de produccin;

Procedimiento de ABM de usuarios.

4.3.2.2.3 Ejemplo Normas y Procedimientos


Norma de Responsabilidades de Seguridad
En un entorno informatizado donde se pretende implementar Normas y
Procedimientos de a cuerdo a la Poltica de Seguridad vigente, es necesario definir el

152

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

equipo de recursos humanos responsable de hacer cumplir esto, de efectuar


controles y capacitar a los usuarios en cuanto al uso y aplicacin de esta normativa.
Los roles dentro de esta organizacin debern ser algunos de los siguientes:

Dueo de los Datos;

Oficial de seguridad;

Administrador de seguridad, que puede estar dividido en:


o

Administrador de Seguridad de Base;

Administrador de Seguridad de Aplicaciones;

Operador Responsable;

Auditor de Sistemas;

Usuarios;

Norma de Administracin de Usuarios


Una norma muy importante que jams debe faltar en ningn entorno informatizado
es la que regula la administracin de usuarios.
Esta norma es un marco para la creacin de nuevos usuarios, para la administracin
de perfiles y la asignacin y modificacin de permisos y la baja de usuarios para
establecer un adecuado control de acceso y as garantizar la autorizacin y
confidencialidad de los datos.
Establece, entre otras cosas, la administracin de:

Usuarios de gestin, aplicacin y de servicios;

Proceso de autenticacin por identificacin de usuario y contrasea;

Caractersticas de las contraseas:


o

Cantidad mnima de caracteres;

Cantidad mnima de caracteres distintos de la ltima contrasea;

Cantidad mxima de caracteres repetidos;

Cantidad mnima de caracteres alfabticos;

Cantidad mnima de caracteres numricos;

Cantidad mnima de caracteres especiales;

Vida mnima de la contrasea;

Vida mxima de la contrasea (expiracin);

Cantidad de contraseas (o tiempo) que se deben utilizar antes de repetir una


contrasea;
153

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Cantidad de intentos fallidos de logueo antes de bloquearse la estacin de


trabajo;

Cantidad mxima de das de inactividad para el bloqueo del usuario;

Cantidad mxima de das de inactividad para la baja definitiva del usuario;

Medidas de restriccin complementarias.

Procedimiento de ABM de Usuarios

Requerimientos para dar de alta a una cuenta personal de usuario;

Requerimientos para dar de alta a una cuenta no personal (para aplicaciones y


servicios no se les permite tener logueo);

Procedimientos para la modificacin de permisos de un usuario;

Procedimientos para la eliminacin normal (por renuncia) de un usuario

Eliminacin de la entrada correspondiente en el archivo de contraseas;

Eliminacin de la cuota de recursos en la Workstation utilizada;

Restriccin de todos los permisos previamente otorgados en los sistemas


operativos, en las bases de datos y en las aplicaciones;

Procedimientos para la eliminacin conflictiva (por despido) de un usuario.

Norma para Licencias legales de software

Licencias a nombre de la compaa;

Responsabilidades en la instalacin de software;

Norma de Comunicaciones/Correo electrnico y uso de Internet/ Antivirus

Normas de buen uso;

Utilizacin de herramientas exclusivamente para el desempeo de las funciones


laborales;

Restricciones;

Responsabilidad del usuario sobre la informacin transmitida.

Norma de Backup

Proteccin de los medios fsicos;

Recupero de la informacin;

Procedimiento de Backups

154

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Especificacin de la rotacin de los medios fsicos e inventario (uso del documento


de administracin de backup);

Operatoria y periodicidad;

Autorizacin para recuperacin.

Norma de Ambientes de procesamiento

Separacin de
los ambientes de Desarrollo, Control de Calidad
Preproduccin y Produccin;

Segregacin funcional entre ambientes;

Evaluacin de los controles y la seguridad.

(QA),

Norma de Seguridad fsica

Caractersticas mnimas de la estructura fsica;

Caractersticas ambientales;

Proteccin de la informacin guardada en soportes y equipos;

Proteccin de los escritorios;

Acceso restringido al CPD o Centro de Cmputos:

Verificacin de las condiciones fsicas del CPD;

Registro de los incidencias ocurridos;

Acceso al CPD por visitas:


o

Acompaados siempre de personal autorizado;

Realizacin de sus tareas bajo supervisin;

Registro de los motivos de la visita;

Traslado de equipamiento fuera del CPD para mantenimiento:


o

Borrado de la informacin del equipamiento;

Solicitud de autorizacin a los Responsables de Datos involucrados ante la


imposibilidad de borrar la informacin.

Procedimiento de destruccin de Informacin

Utilizacin de mquinas trituradoras de papeles;

Destruccin definitiva de medios magnticos desechados (diskettes, CDs, etc);

Borrado seguro de discos rgidos.

155

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

4.3.2.3 Estndares, Esquemas y Manuales de usuarios

4.3.2.3.1 Definicin
Los Estndares de Seguridad son documentos ms detallados para sistemas de
informacin particulares o equipos, que deban llevar a cabo los usuarios para el
desarrollo de tareas especficas, cuyo seguimiento depende de la plataforma. Definen
la parametrizacin de una aplicacin, sistema operativo o equipo. Su uso otorga el
beneficio de la homogenizacin del ambiente, y facilita la automatizacin de tareas
de instalacin y configuracin.
Por ejemplo, se desarrolla un Estndar de Seguridad para la elaboracin de scripts
que corran sobre bases de datos Oracle.
Los Esquemas tcnicos y Manuales de Usuario son documentos que especifican la
forma de llevar a cabo una tarea, la forma de implantacin de controles y procesos
segn la Poltica de Seguridad, Norma o Procedimiento en que se basan, a un nivel
ms bajo de detalle.
Los Esquemas, Instructivos y Manuales de usuario dependen de la plataforma, y en
general estn formados por una serie de pasos o instrucciones.

4.3.2.4 Implantacin y uso de la Normativa de Seguridad


Para implantar el conjunto normativo de Seguridad Informtica se debe definir un
plan de accin que contemple:

Clasificacin de la informacin;

Definicin de los dueos de la informacin;

Definicin de los Responsables de Datos, Seguridad y Administradores;

Publicacin de la Poltica, Normas, Procedimientos, Estndares, Esquemas y


Manuales de usuario;

Capacitacin de los usuarios finales e informticos en el tema;

Adaptacin de sistemas operativos, servicios y aplicaciones;

Creacin y actualizacin de inventarios, registros e informes (ver 4.2 Clasificacin


de la informacin);

Acondicionamiento fsico del Centro de cmputos y sitios donde se encuentren los


equipamientos;

Revisin del plan de copias de respaldo, medios fsicos y lugar en los que se
conservan los mismos;

156

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Creacin y/o adaptacin de los distintos ambientes de procesamiento.

4.3.2.5 Convenio de Confidencialidad


Para las empresas que manejen informacin particularmente sensible para su
negocio, se sugiere elaborar un documento que especifique las responsabilidades de
los usuarios respecto del manejo y la publicacin de la informacin de la
organizacin.
Este documento deber detallar qu informacin es secreta y confidencial, el trato
que se le debe dar, los requerimientos de control de acceso y las medidas a tomar si
no se cumpliera con ellas.
Los usuarios involucrados debern firmar este convenio cuando ingresan a la
compaa, tanto los miembros de la nmina como los externos.

4.3.3 Aprobacin de la Poltica de Seguridad


Luego de la elaboracin de la Poltica de Seguridad, sta debe ser validada con los
responsables de referencia y aprobada por el nivel gerencial de la compaa.
La aprobacin de los superiores de la empresa implica la autoridad para hacer
cumplir lo dispuesto en el Manual de Seguridad, tanto en la Poltica como en las
Normas Y Procedimientos.
Como ya se explic anteriormente, el Manual de Seguridad est formado por la
Poltica General de Seguridad con los lineamientos generales, las Normas con
lineamientos ms especficos pero siempre a un nivel macroscpico, procedimientos a
nivel de tarea y Manuales tcnicos, Estndares e instructivos que despliegan los
procedimientos en detalle.
De todos estos elementos es necesario realizar las correspondientes validaciones y
consensos con los responsables que poseen en conocimiento de la tarea.
La Poltica General debe ser aprobada, como bien antes se ha dicho, por el nivel
gerencial de la organizacin.
Las normas deben ser validadas por los responsables de las reas afectadas, pero no
necesitan la aprobacin gerencial ya que stas se ajustan a los principios enunciados
en la Poltica General, y conforman el instrumento por el cual se implementan tales
lineamientos.

157

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Los dems documentos normativos tcnicos, como Procedimientos, Estndares,


Manuales de Usuario e Instructivos no necesitan validacin salvo la tcnica por parte
de personal especializado.
Toda la documentacin que conforma el Manual de Seguridad constituye una nica
pieza normativa que debe ser consistente de arriba a abajo y debe cubrir todos los
aspectos donde intervenga informacin computarizada del entorno en estudio.

4.4 Publicacin de la Normativa de Seguridad


Luego de la aprobacin correspondiente, se debe dar a conocer el Manual de
Seguridad de la organizacin.
En esta etapa se deben firmar los convenios de confidencialidad existentes y la
confirmacin de lectura y conocimiento de las Normas por parte de los usuarios, si
as se haya dispuesto.
Es recomendable que esta etapa dispare el comienzo de la fase de concientizacin y
capacitacin de usuarios como se sugiere en esta metodologa.

4.4.1 Implantacin de una campaa de concientizacin


Para lograr el conocimiento del Manual de seguridad y su correcta interpretacin se
debe realizar una campaa de concientizacin para que los usuarios adquieran los
conceptos de Seguridad que se defienden a travs de la normativa, y comprendan la
importancia de de su implantacin.
La proteccin de la informacin debe convertirse en un factor cultural dentro de la
empresa. Los usuarios deben incorporar los conceptos a su desenvolvimiento diario
para realizar su trabajo cumpliendo con prcticas seguras de manera casi implcita.
Para ello la campaa de concientizacin debe remachar en conceptos como la
confidencialidad, la legalidad, la autorizacin, la informacin de incidencias, etc.
Para lanzar una campaa de concientizacin se puede recurrir a herramientas de
marketing, como publicacin de afiches, reparto de pines, elementos de escritorio y
librera, mensajera masiva, publicacin de noticias, foros de discusin, cursos y
seminarios, charlas informales y cafs inductivos que promuevan conceptos e
158

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

incentiven a la incorporacin de prcticas que lleven a la implantacin de la


seguridad.

4.4.2 Capacitacin de los usuarios


Adems de la concientizacin, se debe realizar una adecuada capacitacin de los
usuarios que garantice que poseen los conocimientos mnimos para el manejo de la
informacin y la implantacin de las medidas impuestas en las Normas de Seguridad
vigentes.
Es responsabilidad de la empresa y no de los usuarios en particular la capacitacin
tcnica y administrativa correspondiente.
El Manual de Seguridad de la organizacin, compuesto de la Poltica de Seguridad, las
Normas y Procedimientos, Estndares tcnicos e Instructivos deben ser conocidos
por todos los miembros de la empresa estn involucrados directamente con alguna
de las responsabilidades de Seguridad o no.
En particular, las personas que tienen asignados roles especficos de Seguridad, o
que intervengan en el manejo de la informacin debern informarse de sus
responsabilidades y derechos de la forma determinada en la Poltica, ya sea firmando
un convenio de confidencialidad o firmando la lectura y aceptacin del marco
Normativo de la Organizacin.
En los casos en que sea preciso una capacitacin formal, como en los aspectos
tcnicos, se debe garantizar la adquisicin de los conocimientos necesarios para
poder implementar las Normas correspondientes, proveyendo a los usuarios de los
medios educativos adecuados (cursos, manuales, bibliografa, etc)

4.5 Implantacin del Plan de Aseguramiento


En esta etapa se implantarn todas las medidas planificadas especialmente para el
entorno objetivo, y especficamente en cada nivel estudiado: fsico, lgico y de la
organizacin.
Cada tarea desarrollada en esta etapa implica un perodo de pruebas o revisin de los
controles efectuados. As, por ejemplo luego de efectuar una restriccin de permisos
de usuarios se debe realizar una revisin sobre los accesos para verificar su correcta
asignacin, y una prueba de acceso a los recursos para detectar excesos de
autorizacin o restricciones que no permitan desarrollar el trabajo normal del usuario
afectado.
159

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Dado que un proyecto de esta clase puede tener una magnitud considerable en un
entorno amplio, se sugiere realizar las revisiones y pruebas necesarias luego de
finalizada cada subetapa, correspondiente a los niveles antes mencionados.

4.5.1 Implantacin a nivel fsico


En el captulo 3 se estudiaron las soluciones posibles para los problemas de seguridad
de los activos de nivel fsico, lgico y de la organizacin.
La metodologa aqu propuesta invita a llevar a la prctica los controles seleccionados
para obtener el nivel de seguridad deseado en el aspecto fsico.
En esta parte se implanta la solucin correspondiente sobre los activos fsicos:
Proteccin de las Instalaciones
Se hacen efectivas las medidas planificadas sobre las instalaciones fsicas del
entorno.
Proteccin de los equipos
Se implantan los procedimientos de proteccin sobre los equipos informticos.
Revisiones y pruebas
Luego de realizar los cambios o controles, se realizan las revisiones y pruebas
pertinentes sobre equipos de procesamiento, equipos de comunicacin, dispositivos
electrnicos, unidades de cinta, etc.

4.5.2 Implantacin a nivel lgico


Aqu se implantan los controles sobre los activos lgicos de la organizacin:
Proteccin de la informacin
En esta parte se procede a proteger la informacin del entorno como activo
fundamental del negocio.
Proteccin del sistema operativo
Se implantan medidas de proteccin en el software de base del sistema.
160

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Proteccin de los datos


Se establecen las medidas preventivas al menor nivel de granularidad de los activos
lgicos: los datos.
Revisiones y pruebas
Una vez realizados los cambios o controles, se realizan las revisiones y pruebas sobre
las aplicaciones, el software de base como sistemas operativos y bases de datos y los
datos.

4.5.3 Implantacin a nivel de la organizacin


Aqu se implantan los controles en la organizacin, en la estructura de la empresa, en
las tareas y procesos, en los roles y responsabilidades asignadas.
Proteccin de la organizacin
Se realiza la implantacin de medidas correctivas y preventivas sobre la estructura
de la organizacin, sobre los roles y responsabilidades de los individuos involucrados
con el entorno, el comportamiento de los empleados en la oficina, etc.
Revisiones y pruebas
Siempre luego de realizar los cambios o controles, se realizan las revisiones y
pruebas para asegurar un control interno adecuado, y que no surgieron incoherencias
generadas por las medidas aplicadas.

4.6 Elaboracin del Plan de Recuperacin del Entorno ante Desastres


(PRED)
El Plan de Recuperacin del Entorno ante Desastres, en adelante PRED, tiene
como objetivo detectar los riesgos presentes en el entorno, analizar su
probabilidad de ocurrencia, establecer su criticidad segn cmo afectan la
continuidad del negocio, y finalmente proponer un plan que logre mitigar en cierta
medida estos riesgos, y que permita la recuperacin de la disponibilidad de los
recursos lgicos, fsicos y humanos para mantener la continuidad del proceso del
negocio.
Muchas veces desastres naturales o accidentes, como incendios, inundaciones,
hasta cortes en el suministro de energa elctrica provocan prdidas enormes no
slo a nivel de bienes, sino prdidas provocadas por la interrupcin del negocio.
161

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Hoy en da el negocio es ms y ms dependiente de la informtica, ya que la


mayora de las empresas tiene sus sistemas productivos y financieros
automatizados y computarizados.
De esta forma es crucial contar con un plan para sostener el flujo de los negocios
ante emergencias que imposibiliten el uso de los recursos de computacin o del
entorno completo.
En esta tesis se utilizarn indistintamente los trminos emergencia,
contingencia y desastre. Por lo tanto, el hecho de utilizar la palabra
contingencia no indica menor gravedad que las situaciones en las que se
referencia al hecho acontecido como un desastre.
El PRED contiene las siguientes partes:

Establecimiento del escenario considerado;

Determinacin de los tipos de operacin en una contingencia;

Establecimiento de criticidades:
o

Criticidades por equipo;

Criticidades por servicios;

Criticidades por aplicaciones;

Determinacin de las prestaciones mnimas;

Anlisis de riesgos:
o

Probabilidad de ocurrencia de desastres;

Determinacin de los niveles de desastre;

Presentacin de las distintas estrategias posibles de recuperacin;

Seleccin de la estrategia de recuperacin;

Elaboracin de la estrategia de recuperacin:

Mitigacin de riesgos Medidas preventivas;

Descripcin de la estrategia;

Requerimientos para llevar a cabo el Plan;

Esquemas tcnicos con pasos a seguir;

Formacin del Equipo de Recuperacin del Entorno ante Desastres (ERED):


o

Roles y responsabilidades;

Asignacin de roles;

Establecimiento de los procedimientos:


o

Declaracin de la emergencia;

Recuperacin de las prestaciones;

162

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Reestablecimiento de las condiciones normales.

A continuacin se detallar cada una de las partes que componen el PRED.

4.6.1 Determinacin del escenario considerado


Se deber hacer un relevamiento de:

Las condiciones fsicas del entorno;

Los servicios y aplicaciones existentes;

Los equipos presentes;


o

Los servidores;

Los elementos de backup;

Los elementos de almacenamiento de datos;

Los elementos de comunicaciones.

4.6.2 Determinacin de los tipos de operacin en una contingencia


Los principales tipos
contingencia son:

de operaciones considerados ante una situacin de

Operacin normal inicial: es la operatoria que se registraba antes de ocurrir el


desastre. Asimismo, define las condiciones que se deben alcanzar como objetivo
final mediante la ejecucin del Plan De Recuperacin Del Entorno Ante Desastres;

Operacin alternativa: mientras se trabaja en la recuperacin de las


prestaciones afectadas por la contingencia, los usuarios debern utilizar una
operatoria alternativa, constituida fundamentalmente por procesos manuales,
durante la cual se genera informacin. A partir del momento en que los servicios
y aplicaciones estn disponibles, existe un tiempo de catch up o actualizacin
de la informacin del sistema, en el cual se ingresan las novedades ocurridas
desde la ocurrencia de la emergencia;

Operacin normal en desastre: mediante la ejecucin de los procedimientos


que reciben el nombre de Recuperacin de las prestaciones, se llega a esta
instancia en la cual todos los servicios y aplicaciones han sido recuperados, pero
no se encuentran ejecutando en su lugar original o bajo las mismas condiciones
en que se encontraba originalmente.
Al finalizar el proceso de actualizacin de la informacin o catch up, se
considera que se ha llegado a la operacin normal en desastre. El tiempo desde la
declaracin de la emergencia hasta que se alcanza la operacin normal en
desastre no debe ser superior a los tiempos mximos tolerables de suspensin
definido para cada una de las prestaciones.
163

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Operacin normal reestablecida: mediante la ejecucin de los procedimientos


que reciben el nombre de Reestablecimiento de las condiciones normales se
alcanza esta ltima instancia, en la cual todos los servicios y aplicaciones se
encuentran ejecutando correctamente y bajo las mismas condiciones que
presentaba antes de la contingencia.
Para alcanzar este tipo de operacin, es posible que haya que considerar una
suspensin programada de alcance total o parcial de las prestaciones, para lo cual
es necesario acotar el tiempo de interrupcin al mnimo indispensable, y que
preferentemente sea imperceptible por los usuarios.

Bajo este esquema y considerando a modo de ejemplo una contingencia producida


por una falla tcnica en el disco local de un servidor de archivos, los eventos que
definen cada una de las operaciones son:

Operacin normal: es la operacin del servidor utilizando su disco local;

Operacin alternativa: los usuarios almacenan los nuevos archivos en el disco


local hasta tanto se habilite un lugar de almacenamiento central. En el momento
en que se recupere las prestaciones del servidor de archivos, como parte del
proceso de actualizacin de la informacin o catch up, los archivos distribuidos
se copian en el sitio habilitado;

Operacin normal en desastre: se considera desde el momento en que la


informacin del disco local del servidor se encuentra copiada en un disco de la
cabina, la unidad ha sido montada en el servidor y todos los archivos generados
durante la operatoria alternativa ha sido copiado en el sitio central.
Adicionalmente, a partir de la declaracin de la emergencia, se debe realizar el
reclamo al servicio tcnico del proveedor del servidor, para que repare o
reemplace el disco que ha fallado;

Operacin normal reestablecida: se alcanza esta operatoria en el momento en


que el servidor nuevamente utiliza su disco local;

4.6.3 Establecimiento de criticidades


En funcin del impacto producido por la suspensin de las prestaciones del entorno
informatizado, se determina la criticidad y el tiempo mximo de tolerancia de corte
de las mismas.
A continuacin se presenta el anlisis realizado desde la perspectiva de los equipos y
desde el punto de vista de servicios y aplicaciones.
Los documentos que registran las criticidades los organizamos en tablas llamadas:
Tabla de Criticidades por Equipo, Tabla de Criticidades por Servicios y Tabla de
Criticidades por Aplicaciones.
164

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

4.6.3.1 Tabla de Criticidades por Equipo.

Equipo

Sistema
Operativo

Funcin

Tolerancia
Mxima

Impacto

4.6.3.2 Ejemplo - Tabla de Criticidades por Equipo.

#
1

Equipo
DBBA

Sistema
Operativo

Funcin
Bases
datos

Tolerancia
Mxima

de
Solares 9

1 da

Impacto
Perdida
de
imagen pblica
Reprocesamiento
de
formularios
cargados
manualmente

DBCH

DBCH2

Bases
datos

de

Bases
datos

de

Solares 9

Solares 9

1 semana

Prdida
/
inconsistencia de
informacin

2 semanas

Prdida
/
inconsistencia de
informacin

4.6.3.3 Tabla de Criticidades por Servicios.


#
Servicio

Criticidad

Perodo
crtico

Procedim.

Parada

Alternat.

Mxima

Plataf.

Usuarios

165

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

4.6.3.4 Ejemplo - Tabla de Criticidades por Servicios.


#
Servicio

Criticidad

Perodo
crtico

Procedim.

Parada

Alternat.

Mxima

Plataf.

Usuarios

Servidor de
Archivos

Media

Cierre a fin
de mes

Guardar los
archivos en
las
PC
locales

1 semana

Novell
Netware
5.0

Todos

Correo
electrnico
Lotus
Domino
Server

Alta

Todos
das

Toma
de
pedidos
telefnicos

1-2 das

Windows
2000

Compras,
ventas,
despacho.

los

166

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

4.6.3.5 Tabla de Criticidades por Aplicaciones


#

Aplicacin

Proveedor

Plataforma

Descripcin

Criticidad

Perodo
Crtico

Parada
Mxima

Proced.
Alternt

Interdependencias

Usuarios

Interdependencias

Usuarios

4.6.3.6 Ejemplo - Tabla de Criticidades por Aplicaciones.


#

Aplicacin

Proveedor

Plataforma

Descripcin

Criticidad

Perodo
Crtico

Parada
Mxima

Proced.
Alternt

MANTEC

Datastream

Windows NT
para la
publicacin
de la
aplicacin de
la Base de
Datos Oracle.

Sistema de
mantenimient
o preventivo
de maquinas.

Media

Fin de mes

2 das

---

Almacn,
procesos,
Mantenimiento.

SUMTEC

Datastream

Windows NT
para la
publicacin
de la
aplicacin.n
de la
aplicacin.Ba
se de Datos
Oracle.

Sistema de
manejo de
repuestos de
almacn.

Media

1 da

Pedidos de
respuestos
manuales.

Almacn,
procesos,
Mantenimiento.

167

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

4.6.4 Determinacin de las prestaciones mnimas


Ante una situacin de desastre se debe tener en claro cul debe ser la prestacin
mnima que debe recuperarse de manera prioritaria, para preservar la
continuidad del negocio.
Asimismo se debe estimar el tiempo mximo para recuperar esta prestacin.

4.6.5 Anlisis de riesgos


En esta etapa se analizan los riesgos presentes en el entorno como se ha explicado
en la fase 2 de esta metodologa, para determinar qu riesgos se pueden mitigar,
cules se pueden transferir y cules se deben asumir.

4.6.5.1 Probabilidad de ocurrencia de desastres


Los riesgos considerados para el plan de recuperacin ante desastres, son aquellos
que presentan una probabilidad de ocurrencia no despreciable en funcin de las
caractersticas del entorno:

Ubicacin geogrfica;

Caractersticas meteorolgicas de la regin;

Caractersticas generales del edificio;

Condiciones ambientales;

Equipamiento alojado;

Condiciones de acceso;

Condiciones de las oficinas contiguas.

4.6.5.2 Determinacin de los niveles de desastre


En funcin del impacto producido por una contingencia, se definen 3 grandes tipos
de desastres:

Total o Mayor: En el caso en que:


o

El lugar fsico no pueda disponerse por un perodo mximo tolerado para la


interrupcin de las prestaciones mnimas.
168

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Parcial: En el caso en que:


o

El tiempo que demoran las tareas de reestablecimiento de todas o algunas


de las prestaciones sea mayor al perodo mximo aceptable.

Los equipos han sufrido daos menores que permiten su funcionamiento


parcial o sus prestaciones pueden ser realizadas por otros equipos, y es
necesaria la accin de alguien externo (proveedores, mantenimiento, etc.)

Menor: En el caso en que:


o

Los desperfectos se solucionan mediante la reinstalacin y/o reconfiguracin


de los equipos, y por lo tanto no es necesaria la accin de alguien externo
para superar la situacin de emergencia.

4.6.6 Presentacin de las distintas estrategias posibles de recuperacin


En esta etapa el ES analiza las distintas alternativas que aporten solucin al
problema, teniendo en cuneta todo el anlisis anterior.

4.6.7 Seleccin de la estrategia de recuperacin


El ES presenta las distintas alternativas al cliente quin decide por cul opta.

4.6.8 Elaboracin de la estrategia de recuperacin


La estrategia de recuperacin deber ofrecer medidas preventivas y de mitigacin
de los riesgos existentes, adems de la estrategia de recuperacin de las
prestaciones.

4.6.8.1 Mitigacin de riesgos Medidas preventivas


La estrategia de recuperacin supone la realizacin de acciones de mitigacin de los
riesgos considerados en el anlisis correspondiente, las cuales deben considerar las
actuales condiciones de redundancia y tolerancia a fallas existentes, por ejemplo:

Realizar pruebas peridicas de recuperacin de las cintas de backup;


169

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Almacenamiento de cintas de backups adicionales en locaciones externas al


edificio del entorno analizado;

Generacin peridica de backups en medios de recuperacin universal (cintas


DAT).

4.6.8.2 Descripcin de la estrategia


En esta parte el ES describe detalladamente la estrategia seleccionada por el
cliente, y especifica las medidas a tomar para la eficaz recuperacin del entorno,
luego de un desastre.
Cada estrategia depender pura y exclusivamente del entorno informatizado en
estudio, y del Alcance del Plan. Muchas empresas suelen implementar el PRED en
varias etapas, comenzando por ejemplo por los servidores de datos, continuando
por las aplicaciones, luego las comunicaciones y el Centro de Cmputos (CC) o
Centro de Procesamiento de Datos (CPD), o Data Center (DC). Otras, en cambio,
deciden hacer un solo plan completo en una fase, que abarque todos sus bienes y
activos fsicos y lgicos.
Lgicamente esta es una decisin empresarial, influenciada fuertemente por el
presupuesto de la empresa y los lmites de tiempo.
El PRED suele ser requerido por auditoras, por lo que a veces el cliente se ve
presionado por las fechas y se decide dejar ciertos elementos fuera del Alcance.
En general, en la descripcin de la estrategia se definirn las medidas a tomar para
la recuperacin del entorno, como por ejemplo:

Creacin de un Equipo de Recuperacin del Entorno ante Desastres (ERED) con


responsabilidades y conocimientos especficos que actuar ante las situaciones
de contingencia;

Recuperacin de las prestaciones de los elementos afectados por una


contingencia utilizando la redundancia existente;

Utilizacin de un CPD alternativo con un servidor de contingencia para la


recuperacin de la aplicacin ms crtica en caso de un desastre mayor;

Exigencia del cumplimiento de los tiempos de respuesta especificados en los


contratos de soporte con proveedores de hardware.

4.6.8.3 Requerimientos para llevar a cabo el Plan

170

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Los requerimientos conforman una gua de las principales caractersticas y


condiciones que deben cumplir los elementos sobre los cuales versa el documento,
a fin de ser utilizados en procedimientos de mantenimiento y auditora.
Los documentos desarrollados establecen las condiciones de:

Caractersticas fsicas del Centro de Cmputos alternativo, si la estrategia


requiriera la instalacin de un CPD alternativo para la recuperacin;

Caractersticas fsicas de los equipos de recuperacin, si la estrategia implicara


la compra de equipos de contingencia;

Miembros del Equipo de Recuperacin ante Desastres;

4.6.8.4 Esquemas tcnicos


Los esquemas definen pasos generales a seguir de manera operativa para la
ejecucin de una determinada tarea.
La ejecucin de dichos pasos supone el conocimiento tcnico de la tarea que se
est realizando y tiene por objetivo brindar un marco integral de rpida referencia.
Algunos de los esquemas a desarrollar son:

Activacin del CPD alternativo;

Recuperacin de equipos;

Reestablecimiento de servidores;

Reestablecimiento de bases de datos;

Reestablecimiento de Aplicativos;

Ejemplos de notificacin de la emergencia.

4.6.8.5 Formacin del Equipo de Recuperacin del Entorno ante Desastres


(ERED)
El ERED tiene como fin determinar y asignar distintas responsabilidades para lograr
una exitosa recuperacin del entorno ante una emergencia, segn el Plan (PRED)
establecido.
Para ello se establecen ciertas pautas que las personas que lo componen deben
cumplir:
171

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

4.6.8.5.1 Roles y responsabilidades


El Equipo de Recuperacin del Entorno ante Desastres tiene las siguientes
responsabilidades:

Definir las medidas preventivas necesarias y factibles de aplicar, a fin de


disminuir la probabilidad de ocurrencia de desastres;

Definir, probar, ajustar y mantener actualizado el Plan de Recuperacin del


Entorno ante Desastres;

Ante un desastre que afecte al Centro de Cmputos debe:

Recuperar las prestaciones en el menor tiempo posible y dentro de los plazos


mximos establecidos;

Reestablecer las condiciones normales que se presentaban antes del desastre;

Analizar las causas del desastre y la forma en que se ha procedido a fin de


emitir un informe y modificar las medidas preventivas y plan de recuperacin en
funcin de las conclusiones.

A su vez, el ERED est compuesto por sub-equipos con distintas obligaciones.


Estos equipos son:

Equipo de direccin estratgica y coordinacin [EDEC]

Equipo de recuperacin de hardware [ERH]

Equipo de recuperacin de software [ERS]

Equipo de recuperacin de comunicaciones [ERC]

Equipo de comunicaciones a usuarios [ECU]

Grficamente el Equipo de Recuperacin del Entorno ante Desastres se esquematiza


de la siguiente forma:

172

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

ECU

ERC

EDEC

ERS

ERH

Equipo de direccin estratgica y coordinacin


Las responsabilidades de este equipo son:

Dirigir y coordinar las actividades del resto de los equipos que conforman el
Equipo de Recuperacin del Entorno ante Desastres;

Realizar las declaraciones de los distintos estados: emergencia, contingencia y


reestablecimiento de las condiciones normales;

Determinar el nivel de desastre producido por una contingencia: total o mayor,


parcial, menor;

Elaborar los planes de recuperacin de las prestaciones y reestablecimiento de


las condiciones normales;

Controlar la ejecucin de los planes, detectar desvos y realizar los ajustes de


los planes en funcin de los inconvenientes, problemas y errores hallados
durante la aplicacin de los mismos;

Interactuar con personal de mantenimiento para la resolucin de contingencias


fsicas del Centro de Cmputos.

Equipo de recuperacin de hardware


Las responsabilidades de este equipo son:

Identificar los elementos de hardware que hayan sido daados por una
contingencia;

Coordinar con los proveedores de hardware el cumplimiento de los contratos de


mantenimiento, garantas y niveles de soporte;

Participar en las instalaciones de sistemas operativos que realicen los


proveedores;

173

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Verificar el correcto funcionamiento de los elementos de hardware que hayan


sido restaurados o reemplazados por los proveedores.

Equipo de recuperacin de software


Las responsabilidades de este equipo son:

Identificar los servicios, procesos, bases de datos y aplicaciones que hayan sido
afectados por una contingencia;

Instalar, configurar y ajustar todo el software que haya sido afectado por una
contingencia.

Equipo de recuperacin de comunicaciones


Las responsabilidades de este equipo son:

Identificar los elementos de comunicaciones que hayan sido daados por la


contingencia;

Detectar los problemas de conectividad de los equipos del CPD y determinar las
causas;

Coordinar
con el responsable los cambios que haya que realizar en las
comunicaciones que no sean internas del Centro de Cmputos para que los
usuarios puedan seguir utilizando las prestaciones ;

Verificar el correcto funcionamiento de los elementos de comunicaciones y la


conectividad general para que los usuarios puedan acceder a los recursos del
CPD.

Equipo de comunicaciones a usuarios


Las responsabilidades de este equipo son:

Participar en la generacin de las comunicaciones oficiales a usuarios ante


contingencias, recuperacin de prestaciones, demoras incurridas que invaliden o
modifiquen lo comunicado anteriormente y el reestablecimiento de las
condiciones normales;

Realizar las comunicaciones a los usuarios internos.

4.6.8.5.2 Asignacin de roles

174

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Luego de determinar las caractersticas de los quipos de recuperacin, el cliente


debe designar recursos humanos para cubrir todos los roles, teniendo en cuenta
que una persona no puede formar parte de ms de dos equipos.

4.6.8.6 Establecimiento de los procedimientos


Ms all del alcance del PRED, se deben especificar procedimientos claros que
ayuden a alcanzar el reestablecimiento de las condiciones normales del entorno
informatizado.
Los principales procedimientos a definir son:

4.6.8.6.1 Declaracin de la emergencia

Abarca desde la deteccin del desastre hasta que el mismo es comunicado a los
afectados;

Durante el mismo no se procede a recuperar nada, simplemente se evala los


daos causados;

Se encuentra conformado por los siguientes sub-procedimientos:


o

Respuesta inicial ante la deteccin de un siniestro o contingencia;

Evaluacin del nivel de desastre;

Notificacin de la emergencia.

4.6.8.6.2 Recuperacin de las prestaciones

Consta bsicamente del diseo y ejecucin del plan de recuperacin de las


prestaciones, conforme a lo acontecido;

Contempla la aparicin de imprevistos que puedan alterar o modificar el plan


inicialmente armado;

Se encuentra conformado por los siguientes sub-procedimientos:


o

Definicin del plan de recuperacin de las prestaciones;

Ejecucin del plan;

Ajustes al plan.

175

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

4.6.8.6.3 Reestablecimiento de las condiciones normales

Consiste en el diseo y ejecucin del plan de reestablecimiento de las


condiciones normales de operacin, finalizando con el anlisis de la situacin
ocurrida a fin de ajustar el PRED en funcin de los errores, demoras e
inconvenientes acontecidos, as como tambin la posible toma de nuevas
medidas preventivas;

Se encuentra conformado por los siguientes sub-procedimientos:


o

Definicin del plan de reestablecimiento de las condiciones normales;

Ejecucin del plan;

Evaluacin y anlisis de la contingencia.

176

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

ESTABILIZACIN

Contenido:
5.1 Anlisis de resultados
5.2 Ajuste
5.3 Cierre de la implantacin
5.4 Capacitacin de usuarios
5.4.1 Tcnicas para la capacitacin de usuarios

177

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

En el captulo anterior se describieron las medidas a implantar para asegurar el


entorno, a partir del estudio del mismo y de la elaboracin del Plan de
Aseguramiento.
En esta fase se realiza un estudio con el objeto de verificar la obtencin de los
resultados esperados de la implantacin anterior, y la realizacin de los ajustes
necesarios para estabilizar el entorno.
Todo cambio genera ms cambios, y en particular esta metodologa, al abarcar
todos los niveles de estudio del entorno (fsico, lgico y organizacional) hace que
todos los mbitos de la empresa objetivo se vean afectados por el proyecto en
mayor o menor medida.
Es por eso que en esta etapa uno de los objetivos es verificar la evolucin del
entorno a partir de los cambios propuestos, y realizar los ajustes necesarios para
corregir errores, adecuar los controles y minimizar las diferencias entre el Plan y la
Implantacin de la solucin.

5.1 Anlisis de resultados.


Dentro del proyecto de Aseguramiento del entorno informatizado, el ES debe
considerar un tiempo para realizar el balance respecto de la efectividad y
adecuacin de los cambios implantados en el entorno y evaluar la necesidad de
realizar ajustes.
Todo Plan sufre cambios continuos a travs del tiempo, que deben acompaar la
transformacin del entorno. Estos cambios deben ser considerados dentro del Plan
de Aseguramiento, en los distintos modelos propuestos para cada etapa.
En particular los modelos que debern revisarse al menos una vez por ao para su
adaptacin a los cambios son:

Informe de Riesgos;

Mapa de Usuarios;

Mapa de Red;

PRED.

Requiriendo los dems modelos presentados en esta Tesis pero no mencionados en


este apartado una contnua adaptacin a travs de la vida del Entorno.

178

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

5.2 Ajuste
La etapa de ajuste est dedicada a realizar ajustes sobre el Plan de Aseguramiento
segn los resultados obtenidos y analizados en la etapa anterior de esta misma fase
y los inconvenientes o nuevos requerimientos que pudieran surgir en la etapa de
implantacin.
Un proyecto como el que aqu se presenta puede tomar gran envergadura y
desarrollarse en un tiempo prolongado durante el cual el entorno sufrir
modificaciones inherentes a la vida de los sistemas, por lo que puede surgir la
necesidad de ajustes en ciertos aspectos de seguridad.
Tambin, a medida que se implantan los controles para asegurar el entorno, surgen
nuevos requerimientos susceptibles a ser considerados en una segunda etapa de
Aseguramiento.
Se debe considerar siempre en esta disciplina que los avances cientficos son muy
rpidos, y se deben considerar las nuevas soluciones tecnolgicas ofrecidas en el
mercado, que pueden traducirse, muchas veces, en cambios funcionales y en las
tcnicas procedimentales de implantacin.
Los puntos de control que necesiten cambios, mejoras o los que surjan durante el
proyecto se tomarn en cuenta para completar y adaptar el Plan de aseguramiento
para una segunda implementacin, delimitando nuevamente su Alcance, que podr
reducirse a aplicar solamente los cambios surgidos en esta etapa para lograr un
completo aseguramiento del entorno.

5.3 Cierre de la implantacin.


El cierre de la implantacin se debe realizar cuando se concluyeron los ltimos
controles que constituyen el Plan de Aseguramiento y concluidas las etapas de
concientizacin y capacitacin de usuarios.
Como todo cierre de proyectos, es recomendable realizar un balance del trabajo y
presentar los resultados al sector responsables de la empresa objetivo.
Un informe ejecutivo es un informe resumido los objetivos fijados al comienzo del
proyecto y los objetivos logrados, de los conceptos manejados y la forma en que se
obtuvieron los resultados.

179

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

5.4 Capacitacin de usuarios.


Se deber
adaptacin
sistema y
comprenda

capacitar a los usuarios para la correcta interpretacin y su natural


a los cambios implementados en el entorno, para su insercin en el
su normal desarrollo de actividades, y por sobre todo para que
la importancia de los cambios realizados y de su mantenimiento.

Se debe convencer al usuario de la importancia de su colaboracin en el esfuerzo


de mantener el entorno seguro.
Asimismo, se le debe informar de las nuevas reglas y/o polticas de la organizacin,
la forma de trabajar para que su labor no interfiera ni perjudique el esfuerzo
implicado en el proyecto de aseguramiento, los procedimientos a usar para revertir
situaciones o manejar catstrofes, etc.
Se deber dejar constancia de que el usuario fue informado respecto de las Polticas
de Seguridad, y su completa comprensin, y su conformidad respecto de su
cumplimiento.

5.4.1 Tcnicas para la capacitacin de usuarios:

Presentaciones grupales;

Manuales y folletos;

Cursos;

Coaching (un usuario experimentado capacita a un usuario inexperto);

Mesa de ayuda;

Teleconferencias;

Comunicados.

En todos los casos, se recomienda generar confianza de los usuarios en la persona


encargada de la capacitacin. Se sugiere encargar esta tarea a un empleado
carismtico y emprendedor, predispuesto y que tenga una buena relacin
interpersonal con sus pares.
Para todas las tcnicas de capacitacin aqu presentadas, y las que se escapan a
este trabajo, se sugiere contar con una fuerte documentacin que pueda ser
consultada por los usuarios, acompaada por grficos y todo tipo de material que
colabore al rpido aprendizaje e incorporacin de los conceptos de seguridad.

180

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

5.4.1.1 Temario
A continuacin se presenta un temario bsico de capacitacin general que deber
ser analizarlo para aplicar en detalle los temas que correspondan segn las Polticas
aplicadas en la empresa objetivo:
1. Qu es la informacin?
Explicar qu se entiende por informacin, sus diferentes formas, cmo se genera,
dnde y cmo se puede guardar, y su valor para la empresa. Esto ltimo se
relaciona directamente con el nivel de confidencialidad de informacin que se
maneje en el negocio dependiendo de sus caractersticas.
2. Qu es la Seguridad.
Presentar el concepto de Seguridad, sus implicancias y sus consecuencias.
3. Intrusos y amenazas.
Definir los intrusos externos e internos, sus amenazas y formas de presentacin.
4. Nivel de Seguridad de la Organizacin
Cul es el nivel de seguridad de la informacin de su empresa? Qu tan
vulnerable es el sistema informtico?
5. Plan de Aseguramiento del Entorno
Explicacin del proyecto de seguridad implementado, composicin del Plan de
Aseguramiento, su Alcance, implicancias, resultados esperados, responsabilidades
de los usuarios desprendidas de la aplicacin del Plan.
6. Medidas adicionales de proteccin. Buenas costumbres.
Los virus informticos son, dentro de la seguridad informtica, la fuente de
mayores prdidas econmicas en el mundo entero. Instalar un buen software
antivirus no es suficiente, ya que la variedad y cantidad de puertas de entrada de
virus, troyanos, etc., puede sorprender en cualquier momento a la mejor
herramienta, sin contar con otros inconvenientes como falsas alarmas, HOAX, etc.
Los usuarios deben estar consientes de este peligro y deben conocer su alcance e
implicancias.
Se les debe dar recomendaciones para el uso cotidiano de sus herramientas de
trabajo y la proteccin de los activos de la organizacin.
7. Diseo del Manual de Seguridad
La seguridad no depende solamente de la tecnologa. Las empresas establecen las
bases fundamentales para custodiar su informacin a travs del desarrollo de
Polticas, Normas y Procedimientos que una vez definidos.

181

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Los usuarios deben conocer la diferencia entre los distintos elementos del Manual
de Seguridad como la Poltica General, las Normas y procedimientos y dems
documentos tcnicos, su responsabilidad y las posibles consecuencias sobre el
incumplimiento de las mismas.
8. Soluciones Tecnolgicas:

Firewalls;

Antivirus;

Sistemas de Deteccin de Intrusos;

Redes Virtuales (VPN);

Sistemas de Backup;

Plan de Recuperacin del Entorno ante Desastres (PRED).

9. Formacin en Seguridad
Evaluar la posibilidad de capacitacin en temas especficos de seguridad, tanto
tcnicos como funcionales para los distintos roles y niveles jerrquicos de la
empresa.
10. Responsabilidades:
Administradores de Seguridad y nuevas responsabilidades.
El rol de cada usuario.

182

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

MANTENIMIENTO

Contenido:
6.1 Control de incidencias
6.1.1 Incidencias de seguridad
6.1.2 Notificacin de incidencias
6.1.3 Documentacin
6.1.4 Reporte de Incidencias
6.1.4.1 Manual de Procedimientos sobre Reporte de Incidencias
6.1.5 Respuesta a incidencias
6.1.6 Recoleccin de incidencias
6.1.7 Registro de incidencias
6.1.8 Investigacin
6.1.9 Seguimiento de incidencias
6.1.10 Prevencin de incidencias
6.2 Control de cambios
6.2.1 Procedimiento de Control de Cambios
6.2 2 Diagrama de flujo
6.2.3 Formulario de Control de cambios
6.2.4 ABM Activos
6.2.5 Ejemplo - AMB Activos
6.2.6 Actualizaciones de Software
6.2.6.1 Documento de Actualizaciones de Software

183

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Esta es la ltima fase de la metodologa AEI. Comienza posteriormente a la


implantacin del Plan de Aseguramiento, luego de la estabilizacin del entorno y se
mantiene durante toda su vida.
Durante la vida del entorno ocurren incidencias y cambios que deben ser analizados
y documentados, as como tambin se deben llevar a cabo controles peridicos y
aplicar las correspondientes actualizaciones para mantener un nivel confiable de
seguridad en el entorno.

6.1 Control de incidencias.


El control de incidencias es una tcnica que permite controlar y registrar los
eventos ocurridos que atentan contra la seguridad del entorno.
Consiste en llevar un registro y un seguimiento de los eventos anormales que
ocurran en el entorno objetivo en particular, y en la compaa en general.
Se debe definir el alcance de los eventos o incidencias a registrar.
El control de incidencias permite:

Registrar cambios o prdida de informacin;

Registrar y dar solucin a los requerimientos de los usuarios;

Administrar los usuarios (dar de alta, baja y modificar permisos);

Registrar nuevas vulnerabilidades manifiestas en el sistema y tomar medidas


preventivas para el futuro;

Dar informe del incidente a quien corresponda;

Justificar posibles cambios;

Crear una fuente de informacin para capacitar a los usuarios.

Las incidencias pueden ser de muchos tipos. Entre ellos se encuentran los eventos
de mantenimiento, los pedidos de reparacin de hardware y servicios de los
usuarios, nuevos requerimientos de los usuarios, errores en los datos e incidencias
de seguridad.

6.1.1 Incidencias de seguridad

184

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Los siguientes eventos son considerados incidencias de seguridad, entre otros:

Violaciones a la confidencialidad de los datos;

Violaciones a la integridad de los datos;

Bloqueo de cuentas de usuarios;

Anomalas en la disponibilidad de recursos;

Negacin del servicios;

Fallas en los sistemas de informacin;

Anomalas en el funcionamiento de los sistemas de software;

Desaparicin de informacin;

Aparicin de datos no creados por el usuario.

6.1.2 Notificacin de incidencias


El usuario que protagonice o presencie un evento que
seguridad del entorno deber informar de lo ocurrido.

pueda poner en riesgo la

El Procedimiento de Manejo de Incidencias del Manual de Seguridad de la empresa


indicar los pasos a seguir o el circuito para el registro de incidencias.
La informacin fluye en los distintos mbitos de las empresas. Para nuestro estudio
nos concentraremos en el entorno informatizado que pretendemos asegurar.
El ES debe analizar la forma de establecer un circuito de administracin de
incidencias. Para esto deber pensar en:

Un ente denunciante que presente el incidente e informa de la ocurrencia y


efectos observados (por lo general son los usuarios);

Un ente receptor-derivador de incidencias (un concentrador de pedidos como


un Servicio de Atencin al Cliente (SAC) o Help Desk) encargado del asiento en
registros apropiados;

Un ente responsable encargado de la resolucin del incidente, entendindose


por resolucin el manejo de la incidencia, su tratamiento y, si es posible, su
solucin (personal tcnico especializado, el administrador de la red, etc);

Un ente informante que entregue el resultado del manejo del incidente al ente
denunciante.

En estructuras medianas y grandes suele dar soporte a este esquema el Servicio de


Atencin al Cliente (SAC), o Help Desk.
185

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

El Help Desk es un ente concentrador y derivador de casos. En este esquema de


Help Desk, un incidente se maneja de la siguiente forma:
1- El ente denunciante (usuario) informa de la ocurrencia de un incidente;
2- El receptor-derivador (Help Desk) registra el incidente;
3- El receptor-derivador (Help Desk) deriva el incidente al ente RESPONSABLE que
corresponda para que lo maneje y le de solucin;
4- El ente responsable analiza el incidente;
5- Si se trata de un incidente grave de seguridad lo deriva al Oficial de Seguridad o
figura equivalente (responsable de seguridad de control interno);
5.1- El Oficial de Seguridad analiza el incidente;
5.2- El Oficial de Seguridad toma medidas para prevenir el incidente en el
futuro;
6- El ente responsable toma medidas para prevenir el incidente en el futuro;
7- Si tiene solucin el responsable resuelve el caso;
8- El responsable informa al receptor-derivador (Help Desk) las medidas tomadas y
las medidas a tomar por el usuario;
6- El receptor-derivador (Help Desk) informa al denunciante (usuario) del estado de
su caso, con detalle de la solucin dada e instrucciones de las acciones a tomar.

A continuacin se muestra un diagrama que ilustra el procedimiento:

186

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Denunciante
(Usuario)

Denuncia
incidente

Receptor Derivador
(Help Desk
o Atencin
al Cliente)

Oficial de
Seguridad

Responsable

Abre caso de
Help Desk

Deriva
denuncia de
incidente

Registra el
incidente

Analiza el
incidente

Incidente
grave de
seguridad?

Analiza el
incidente

No
Toma medidas
para prevenir
el incidente en
el futuro

Tiene
solucin?

Cierra caso de
Help Desk

Se notifica del
cierre del caso
y de las
medidas a
tomar

Informa cierre
de caso

Cierra caso de
Help Desk

Se notifica del
cierre del caso
y de las
medidas a
tomar

Toma medidas
para prevenir
el incidente en
el futuro

No
Informa
medidas
preventivas
tomadas y
acciones a
tomar por el
usuario

Resuelve el
incidente

Informa
solucin del
incidente y
medidas a
tomar por el
usuario

Informa cierre
de caso
exitoso

187

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Toda persona que detecte un incidente de seguridad deber informarlo de


inmediato al ente receptor-derivador.
El rea de Recursos Humanos debe intervenir en los casos en que se produzcan
eventos que requieran medidas disciplinarias o correctivas.
El Oficial de Seguridad debe mantener una lista de contactos actualizada sobre las
personas que debern ser notificadas ante la ocurrencia de incidencias de
seguridad.

6.1.3 Documentacin
Se deber conservar de manera segura un resumen de todas las incidencias y
acciones realizadas.
El acceso y conservacin de la informacin referente a incidencias que han afectado
a informacin clasificada deber ser limitado y controlado cuidadosamente a fin de
proteger la confidencialidad de los individuos y minimizar la exposicin de la
compaa y las obligaciones relacionadas con la privacidad.

6.1.4 Reporte de Incidencias


Es un informe detallado que elabora el ente receptor-derivador del incidente
inmediatamente de ocurrido ste, en el que debe especificar con el mayor detalle
posible lo ocurrido, y
envirselo al responsable asignado, junto al mail de
notificacin.
El Reporte de Incidencias contiene:

Nmero de incidente (asignado por el responsable);

Fecha del incidente;

Hora del incidente;

Nombre de la persona que reporta el incidente;

Sector donde trabaja;

Ubicacin fsica;

PC afectada por el incidente;

188

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Activo (software o hardware) afectado con path completo y/o nombre de la


aplicacin;

Nombre del responsable;

Descripcin del incidente;

Archivos adjuntos (imgenes, logs, etc);

Accin/reaccin del usuario frente al incidente (por ejemplo: apagu la


mquina, cerr la aplicacin, etc).

Todos estos datos deben ser completados con el mayor detalle posible por el
usuario afectado, salvo el campo correspondiente al nmero de incidente, que
deber ser completado por el responsable.
Los Reportes de Incidencias debern ser conservados con fines de anlisis y
reportes.
Formato del Reporte de Incidencias

189

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

REPORTE DE INCIDENCIAS
# INCIDENTE:

FECHA:

HORA:

SECTOR:

UBICACIN FSICA:

NOMBRE DEL DENUNCIANTE:

_____________________
FIRMA DEL DENUNCIANTE

DESCRIPCIN DEL INCIDENTE:

NOMBRE DEL RESPONSABLE:

_____________________
FIRMA DEL RESPONSABLE

ARCHIVOS ADJUNTOS:

ACCIN TOMADA:

Descripcin de los campos


Nmero de incidente: Nmero correlativo asignado por el responsable.

190

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Fecha del incidente: Fecha en la que se produjo la incidencia.


Hora del incidente: Hora en la que se produjo la incidencia.
Sector: Sector donde ocurri el incidente.
Ubicacin fsica: Lugar fsico donde se produjo el incidente (piso, oficina, etc).
Nombre del denunciante: Nombre de la persona que reporta el incidente.
Descripcin del incidente: Activo (software o hardware) afectado por el
incidente.
Nombre del responsable: Nombre completop de la persona responsable del
manejo del incidente.
Archivos adjuntos: imgenes, logs, etc.
Accin tomada: Accin/reaccin del usuario ante la incidencia y accin tomada por
el responsable del incidente.

6.1.4.1 Manual de Procedimientos sobre Reporte de Incidencias


El Manual de Procedimientos sobre Reporte de Incidencias es un documento que
deber confeccionarse para capacitar a los usuarios en el proceso de reporte de
incidencias de seguridad en el entorno.
Este documento debe explicar en forma sencilla y concisa el procedimiento de
reporte de incidencias para se utilizado como gua por los usuarios al momento de
declarar un incidente.
Este Manual, como toda la documentacin referente a procedimientos de usuarios y
Normas debe estar al alcance de todos los empleados, y se debe asegurar que los
usuarios tengan conocimiento de la existencia del mismo, su fin y aplicacin.

6.1.5 Respuesta a incidencias


El ente responsable encargado de analizar y resolver el incidente debe dar
respuesta al usuario afectado por el evento, intentando dar indicaciones para que
ste comprenda el origen del incidente y tome medidas correctivas cuando sea
posible.
Asimismo, el responsable deber informar al Oficial de Seguridad cuando ocurran
incidencias graves de seguridad. Es su responsabilidad desarrollar soluciones en
respuesta a las incidencias de seguridad crticos que hayan afectado a los servicios
informticos o aquellos que tengan efectos globales, tales como ataques de virus
191

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

informticos, vulnerabilidades de parches de software o inconvenientes con los


proveedores de servicios.

6.1.6 Recoleccin de incidencias


Todas las evidencias debern ser recolectadas en una manera consistente utilizando
tcnicas apropiadas que garanticen la autenticidad, integridad, exactitud y
veracidad de las mismas. Las evidencias fsicas deben ser conservadas en una
forma segura, tal como guardarlas en una caja fuerte.
Se debe preservar la cadena de custodia de las evidencias recolectadas. El acceso
se debe limitar al mnimo de personas necesarias para responder e investigar
incidencias de seguridad.
Es altamente recomendable mantener y auditar un log del acceso a las evidencias,
incluyendo el nombre, fecha y hora en que se retir, fecha y hora en que se
devolvi, el propsito del acceso y las acciones tomadas.
Para las evidencias lgicas se ha desarrollado un documento llamado Registro de
Incidencias, que recompila la informacin obtenida en cada incidente por el Reporte
de Incidencias.

6.1.7 Registro de incidencias


Es un documento donde se centraliza el registro de las incidencias, para fines
estadsticos, educativos y de control.
Es administrado por una persona responsable de la administracin de las
incidencias, que suele ser el Oficial de seguridad.
Al recibir un Reporte de Incidencias de un usuario, el responsable en cuestin
agrega una fila en el registro de incidencias correspondiente al reporte recin
recibido y guarda el reporte de Incidencias en una carpeta determinada para tal fin.
Se mantiene un solo documento a fin de simplificar el mantenimiento, pero, en
organizaciones que por su tamao lo necesiten, se podr llevar un documento por
sector, cuyos responsables se encargarn de centralizar finalizado el perodo
especificado en la Poltica de Seguridad.

192

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Formato del Registro de Incidencias

FECHA

SECTOR

NOMBRE DEL
DENUNCIANTE

NOMBRE
RESPONSABLE

DESCRIPCIN /
MEDIDA TOMADA

Descripcin de los campos


NMERO: Nmero de Incidente (correlativo);
FECHA: Fecha en que ocurri el incidente;
SECTOR: Sector que lo report;
NOMBRE DEL DENUNCIANTE: Nombre de la persona que lo report;
NOMBRE DEL RESPONSABLE: Nombre del responsable del manejo del incidente;
T: Tipo de Incidente: Es recomendable tener una lista con los tipos de incidentes
predeterminados, por ejemplo:
1- Negacin de servicios;
2- Prdida de datos;
3- Afeccin de hardware;
4- Afeccin de la integridad de los datos;
5- Afeccin de la confidencialidad de los datos;
6- Virus Informtico;
7-Afeccin de soportes de informacin en papel;
8- Afeccin de soportes de informacin en medios magnticos;
9- Dao de activos.
DESCRIPCIN/MEDIDA TOMADA: Descripcin de la incidencia;
E: Estado:
I- En investigacin;
P- Pendiente;
R- Resuelto.

193

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

6.1.8 Investigacin
Todas las reas de sistemas debern colaborar en la investigacin de las incidencias
de seguridad ocurridas a fin de asegurar que todas las posibles consecuencias del
mismo han sido consideradas.
A fin de incrementar la integridad del proceso de investigacin de incidencias,
deber existir un doble control y segregacin de funciones, lo que significa que ms
de una persona deber estar involucrada en el proceso. Esto incluye prevenir el
caso que un individuo potencialmente modifique o las pistas de auditora de un
sistema o aplicacin.
Durante el proceso de investigacin se deber tomar nota de hechos tales como
quin, qu, cmo y cundo, a fin de tener registro de todas las acciones realizadas
y la informacin no cubierta y evitar fraudes informticos.

6.1.9 Seguimiento de incidencias


El Oficial de Seguridad debe garantizar que todas las incidencias de seguridad sean
analizadas en funcin de la causa de origen, a fin de prevenir la ocurrencia de
incidencias similares en el futuro y de mejorar la metodologa de respuesta ante
incidencias en funcin de lo aprendido durante la resolucin de los mismos.

6.1.10 Prevencin de incidencias


Se deber contar con un plan de respuesta ante incidencias con un equipo de
personas responsables, que puede estar considerado dentro del PRED (Plan de
Recuperacin del Entorno ante Desastres)
Se deber documentar los roles y responsabilidades del personal involucrado en el
manejo de incidencias de seguridad.
El Oficial de Seguridad deber asegurar que las tcnicas de prevencin incluyan la
utilizacin de software antivirus, filtrado de contenido, y mecanismos de control de
acceso de los usuarios y recursos que sean razonables y apropiados, mediante la
utilizacin de firewalls y routers, que son administrados por la organizacin.

194

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

6.2 Control de cambios


En la fase de Mantenimiento, y durante toda la vida del entorno, se recomienda
llevar un estricto control de cambios en el sistema y las instalaciones.
Se deben considerar cambios que afecten cualquier elemento del entorno, como:

Sistemas operativos de servidores;

Sistemas operativos de estaciones de trabajo;

Configuraciones de equipos;

Sistemas aplicativos en general;

Aplicaciones de escritorio;

Motores de base de datos;

Servicios de correo electrnico;

Sistemas de proteccin contra virus informticos;

Elementos de comunicaciones (routers, switches, etc,);

Entre otros.

Este control tiene el fin de:

Lograr una efectiva autorizacin de los cambios a implantar;

Llevar un control de los cambios para evitar prdidas o deterioros de


informacin;

Tener un registro documentado de los cambios;

Evitar incidencias y fallas en la seguridad.

Los cambios deben pasar por un circuito de autorizaciones desde que nace el
requerimiento hasta que se implanta el cambio.
Desde un punto de vista macroscpico, se podra decir que un cambio pasa por
cuatro estados durante su vida:
1. Inicialmente surge como un requerimiento solicitado por un usuario.
2. Luego del anlisis de los responsables, se convierte en un requerimiento
aprobado.
3. El siguiente estado en el desarrollo de la solucin.
4. Finalmente, se concreta el cambio en la implantacin del cambio.

195

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

El requerimiento de cambio puede surgir de cualquier rea, ms comnmente del


rea usuaria.
Una vez que un requerimiento nuevo o cambio es solicitado, deben existir varios
niveles de aprobacin.
Inicialmente, el jefe del sector o rea de trabajo del usuario solicitante, debe
analizar la coherencia y factibilidad del cambio solicitado, para su aprobacin.
A continuacin se debern realizar una serie de anlisis para determinar la
influencia del cambio sobre el entorno, teniendo en cuenta los efectos sobre la
tecnologa, sobre el software base y aplicativo, sobre la disponibilidad de los
recursos.
Asimismo, se analizar la cantidad de usuarios afectados por el cambio.
Idealmente se recomienda crear un comit de cambios formado por especialistas
en las distintas reas y disciplinas intervinientes: un administrador de la
infraestructura tcnica, un administrador de la base de datos, un analista de
aplicaciones y el Oficial de Seguridad.
Lo siguiente es el desarrollo del cambio, la realizacin de las pruebas pertinentes
para comprobar que el cambio ser se realizar correctamente, para luego
implantarlo en el entorno productivo.
En el momento de su implantacin se requiere la autorizacin del responsable del
entorno vivo, o ambiente productivo, que en general es la persona a cargo del
centro de cmputos.
Estas son las responsabilidades del comit de cambios:

Planificar, priorizar, autorizar y coordinar las tareas a realizar por los distintos
involucrados ante la necesidad de realizacin de cambios de sistemas en
produccin;

Definir los criterios sobre los cuales se realiza la evaluacin de impacto y


criticidad de los cambios;

Liderar los procesos de cambio a realizar ante situaciones de emergencia;

Evaluar peridicamente el registro de los cambios realizados en los sistemas de


produccin, a fin de ajustar los criterios de evaluacin, planificacin y
priorizacin de tareas.

196

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Las siguientes son las responsabilidades de las personas que forman el comit de
cambios:

Usuario solicitante:
o

Detectar mejoras a implantar en el entorno, ya sean cambios de


configuraciones, mejoras de performance, mejoras de operatoria, mejoras
de esttica, etc;

Administrador de la infraestructura tcnica:


o

Analizar que los cambios a realizar en el entorno no afecten la funcionalidad


del mismo, evaluando no solo el impacto sino tambin la criticidad;

Planificar e implantar el cambio, y en caso de ser necesario realizar las


pruebas adecuadas y las acciones necesarias para volver a atrs en caso
que se produzca alguna contingencia durante la implantacin en produccin;

Mantener actualizada la documentacin de configuracin del entorno;

Administrador de bases de datos:


o

Analizar que los cambios a realizar en el entorno no afecten la funcionalidad


del mismo, evaluando no solo el impacto sino tambin la criticidad;

Planificar e implantar el cambio, y en caso de ser necesario realizar las


pruebas adecuadas y las acciones necesarios para volver a atrs en caso
que se produzca alguna contingencia durante la implantacin en produccin;

Mantener actualizada la documentacin de configuracin de los sistemas;

Analista de aplicaciones:
o

Analizar que los cambios a realizar en el entorno no afecten la funcionalidad


del mismo, evaluando no solo el impacto sino tambin la criticidad;

Planificar e implantar el cambio, y en caso de ser necesario realizar las


pruebas adecuadas y las acciones necesarios para volver a atrs en caso
que se produzca alguna contingencia durante la implantacin en produccin;

Mantener actualizada la documentacin de configuracin de los sistemas;

Oficial de Seguridad:
o

Evaluar el impacto de los cambios para que no se realicen cambios en


configuraciones que estn en contra de la normativa de seguridad.

6.2.1 Procedimiento de Control de Cambios


A continuacin se muestra el procedimiento de control de cambios en una tabla,
donde las filas grisadas corresponden a pasos de cumplimiento obligatorio.

197

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Paso Descripcin

Objetivo

Involucrados

Resultado

Fase de Anlisis

01

Detecta la necesidad de realizar un cambio en la


configuracin de los sistemas con los que esta vinculado Involucrar a las distintas personas
en la ejecucin de su labor diaria.
en la identificacin de cambios a
realizar en los sistemas.
Estos cambios pueden ser solicitados por cualquier

Usuario solicitante

persona que trabaja en la compaa.


Comunica la necesidad de realizar un cambio en la
configuracin de los sistemas.

Los datos mnimos necesarios que se deben completar


para realizar el requerimiento son:
Tipo de cambio a realizar.
02

Sistema donde se aplica el cambio.


Si se necesita o un la realizacin de una evaluacin
detallada.

Fomentar el anlisis por parte del


solicitante de los requerimientos
que realiza.

Usuario solicitante

Documentacin detallada
del requerimiento de
cambio en el Formulario
de Control de cambios

Si afecta la funcionalidad de otros sistemas.


Fecha lmite aceptable para la implantacin de la
solicitud.
Nombres y apellidos del solicitante.

198

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Comit de cambios
(coordinacin)

Reciben la solicitud de cambio de configuracin.


Analizan todos los elementos del entorno que podran
verse afectados por el cambio solicitado.
03

Una vez comprendidos todos los factores afectados por


el cambio, se realiza una evaluacin del posible impacto
y la criticidad que tendr el cambio solicitado.

Identificar la necesidad real del


cambio y las implicancias en el
resto de los sistemas de la
Compaa.

Administrador de la
infraestructura tcnica
(responsable)
Administrador de base de datos
(responsable)
Analista de aplicaciones
(responsable)

Registro de la solicitud en
el Formulario de Control
de Cambios
Documentacin tcnica
del cambio a realizar junto
con todos los sistemas
afectados y el evaluacin
del impacto

Oficial de Seguridad (implicado)


Comit de cambios
(coordinacin)

En funcin al anlisis realizado se determinada si el


cambio podr ser aplicado o no.

04

Administrador de la
infraestructura tcnica
(responsable)

Algunos de los motivos por los cuales no se aplicar


un cambio solicitado son:
No recomendado por el proveedor.
Costos no aceptados.
Alto impacto y muy pocos beneficios.

Administrador de base de
datos (responsable)
Analista de aplicaciones
(responsable)

En caso que el cambio no se vaya a implantar, se


contina en el paso # 20.

Oficial De Seguridad
(implicado)
Comit de cambios
(coordinacin)

Identifican todas las actividades necesarias para realizar


el cambio, entre las que se encuentran:
05

Identificacin exacta de los cambios a realizar.


Identificacin de los sectores involucrados en el cambio.
Identificacin del momento ms adecuado para realizar
el cambio.

Documentacin con las


conclusiones del
anlisis realizado

Determinar las tareas a realizar


para realizar el requerimiento

Administrador de la
infraestructura tcnica
(responsable)
Administrador de base de datos
(responsable)

Plan de implantacin del


cambio

Analista de aplicaciones
(responsable)

199

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Comit de cambios
(coordinacin)

06

Luego de la planificacin de las actividades a realizar


para implantar los cambios, se determina la necesidad
de realizar pruebas previas en entornos no productivos
antes de realizarlos en produccin.

Administrador de la
infraestructura tcnica
(responsable)
Administrador de base de datos
(responsable)

En caso de no ser necesarias las pruebas se contina en


el paso # 11.

Analista de aplicaciones
(responsable)
Fase de Pruebas

07

Definen las pruebas unitarias e integrales que se deben


realizar para garantizar que los cambios realizados sean
los adecuados y no generen inconvenientes a los
sistemas vigentes.

Prever adecuadamente las


actividades a realizar durante la
ejecucin de las pruebas

Planifican la realizacin de las pruebas identificadas.

08

Ejecutan las pruebas segn la planificacin realizada


oportunamente, identificando los problemas que se
suscitan y las posibles causas.

Administrador de la
infraestructura tcnica
(responsable)
Administrador de base de datos
(responsable)

Documentacin con el
detalle de las pruebas a
realizar junto su
planificacin

Analista de aplicaciones
(responsable)
Administrador de la
infraestructura tcnica
(responsable)
Identificar los problemas que
pueden ocasionar los cambios.

Administrador de base de datos


(responsable)

Documentacin con el
resultado de las pruebas

Analista de aplicaciones
(responsable)
Administrador de la
infraestructura tcnica
(responsable)
09

Si las pruebas no han sido satisfactorias, continan en


el paso # 20.

Administrador de base de datos


(responsable)
Analista de aplicaciones
(responsable)

200

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Comit de cambios
(coordinacin)
Otorgan la aceptacin formal a la realizacin de los
cambios planificados en el entorno de produccin.
10
En caso de ser necesario modifican las especificaciones
realizadas en la etapa de planificacin.

Infundir la toma de
responsabilidad en las decisiones
tomadas.

Administrador de la
infraestructura tcnica
(responsable)
Administrador de base de datos
(responsable)

Documentacin formal de
la aceptacin de la
implantacin del cambio
en produccin

Analista de aplicaciones
(responsable)
Fase de Implantacin
Identifican todas las actividades necesarias para realizar
el cambio y todas las precauciones a considerar antes
de realizarlo a fin de poder volver atrs sin mayores
inconvenientes.
11

Comit de cambios
(coordinacin)

Coordinar las tareas entre todas


las reas.

Adicionalmente se planificar con todos los


Administradores y Analistas involucrados el momento
ms adecuado de implantacin.

12

Ejecutan todas las tareas identificadas en la


planificacin para realizar la vuelta atrs en las
modificaciones de configuracin en caso de existir algn
inconveniente.

Administrador de la
infraestructura tcnica
(responsable)
Administrador de base de datos
(responsable)

Plan de implantacin del


cambio

Analista de aplicaciones
(responsable)

Concientizar a los administradores


de la necesidad de contar con un
plan de recuperacin ante una
contingencia.

Administrador de la
infraestructura tcnica
(responsable)
Administrador de base de datos
(responsable)
Analista de aplicaciones
(responsable)

Documentacin de las
configuraciones anteriores
del entorno y
documentacin de las
acciones para volver al
estado inicial.

201

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

13

Administrador de la
infraestructura tcnica
(responsable)

Si las tareas previas a la implantacin del cambio en


produccin no se han podido realizar, no se realizar el
cambio y se contina en el paso # 20.

Administrador de base de datos


(responsable)
Analista de aplicaciones
(responsable)

14

Ejecutan las tareas acordadas en la planificacin,


realizando previamente la notificacin a los usuarios
afectados en caso de ser necesario.

Administrador de la
infraestructura tcnica
(responsable)
Implantar los cambios en
produccin.

Administrador de base de datos


(responsable)

Configuracin implantada
en produccin

Analista de aplicaciones
(responsable)

15

Administrador de la
infraestructura tcnica
(responsable)

Si los cambios de configuracin de los sistemas en


produccin han sido satisfactorios se contina en el
paso # 17.

Administrador de base de datos


(responsable)
Analista de aplicaciones
(responsable)

16

Ejecutan todas las tareas planificadas para la vuelta a la


configuracin inicial de los sistemas, y continan en el
paso # 20.

Administrador de la
infraestructura tcnica
(responsable)
Conservar el entorno productivo
en caso de contingencia.

Administrador de base de datos


(responsable)

Documentacin de las
acciones de vuelta atrs
realizadas

Analista de aplicaciones
(responsable)

202

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Comit de cambios
(coordinacin)

17

Aceptan formalmente la implantacin del cambio de


configuracin realizado.

Asegurarse de que los sistemas


continan funcionando
correctamente

Administrador de la
infraestructura tcnica
(responsable)
Administrador de base de datos
(responsable)

Documentacin formal de
la aceptacin de la
solucin realizada

Analista de aplicaciones
(responsable)
Administrador de la
infraestructura tcnica
(responsable)
18

Identifican y actualizan toda la documentacin de los


sistemas involucrados en el cambio de configuracin.

Mantener vigente la
documentacin.

Administrador de base de datos


(responsable)

Documentacin
actualizada de las
configuracin de los
sistemas

Analista de aplicaciones
(responsable)
Registran los cambios de configuracin realizados en los
sistemas, incluyendo:
Fecha
Hora
19

Responsable del cambio


Tipo de cambio
Impacto identificado

Identificar adecuadamente los


cambios realizados en los
sistemas

Administrador de la
infraestructura tcnica
(responsable)
Administrador de base de datos
(responsable)

Documentacin
actualizada de la
configuracin realizada en
los sistemas

Analista de aplicaciones
(responsable)

Criticidad
20

Finalizacin del proceso.

203

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

6.2 2 Diagrama de flujo


Fase

Usuario Solicitante

Administrador de la
Infraestructura
Tcnica

Administrador de
Bases de Datos

Analista de
Aplicaciones

Oficial de Seguridad

Inicio

Anlisis

0
1

0
2

0
3

Identifica
necesidad de
cambio en
configuracin

Evalan el impacto del cambio

0
4

No

Comunica
el cambio
a realizar

Se aplicar el cambio?

0
5
Planifican el cambio
0
6

Requiere pruebas?

No

S
0
7

Definen y planifican pruebas necesarias

Pruebas

0
8

Ejecutan pruebas
0
9
Pruebas OK?

No

1
0

Autorizan realizacin del cambio

1
1
Definen y planifican tareas para realizar el cambio
1
2 Ejecutan tareas previas para permitir una vuelta
atrs
1
3
Tareas previas OK?

No

Implantacin

1
4

S
Implantan el cambio
1
5

No
1
6

Cambio OK ?
S

Ejecutan tareas de vuelta atras


1
7
Aceptan formalmente el cambio
1
8

2
0

1
9

Actualizan documentacin
Registran el cambio

Fin

204

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

6.2.3 Formulario de Control de cambios


Para realizar un efectivo control de cambios, a continuacin se presenta un
formulario para documentar el seguimiento de los cambios, desde que surgen como
un requerimiento de usuario hasta su implantacin en produccin.
El objetivo de este registro es dejar asentados los datos de la persona que realiz el
requerimiento (usuario solicitante), las autorizaciones correspondientes, los
requisitos para su implantacin en el entorno productivo y la aceptacin del
responsable del sitio vivo y el personal del rea usuaria.

FORMULARIO DE CONTROL DE CAMBIOS


NMERO:

FECHA:

1. DATOS DEL USUARIO SOLICITANTE


Nombre:
Puesto:
Departamento:
Sede/Sucursal:
Ubicacin (Ciudad/Pas):
E-mail:
Telfono:
2. DESCRIPCIN DEL CAMBIO:
Tamao:
Menor (menor de 50 usuarios afectados)
Medio / grande (ms de 50 usuarios afectados)
Motivo:
Alta
Modificacin
Baja
Descripcin:

Fecha de implantacin programada:


Horario de implantacin programado:
Duracin esperada (horas):
Resultados esperados:

Fecha de implantacin real:

205

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Duracin real (horas):


Impacto:
Responsable:
3. SERVICIO(S) AFECTADO(s)
Aplicacin(es):
Infraestructura:
Observaciones:

4. PRUEBAS
Fecha de prueba programada:
Horario de prueba programado:
Requerimientos:
Duracin esperada (horas):
Resultados esperados:

Responsable:
Aprobacin:

5. CANCELACIN Y RECUPERACIN
Procedimientos de cancelacin de cambios:
Procedimientos de recuperacin:
Notificacin:

6. AUTORIZACIONES

_______________________

_________________________

Firma del usuario

Firma del Jefe del

Solicitante

departamento

206

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

7. AUTORIZACIONES ADICIONALES

_______________________

_________________________

Nombre

Firma

_______________________

_________________________

Nombre

Firma

8. CONFORMIDAD DEL SUPERVISOR DEL CPD


Observaciones:

_______________________

_________________________

Nombre

Firma

Descripcin de los campos


NMERO: Nmero de requerimiento de cambios.
FECHA: Fecha del requerimiento.
1. DATOS DEL USUARIO SOLICITANTE: Este bloque de datos corresponden a
datos personales del usuario que realiza el requerimiento.
Nombre: Nombre del usuario solicitante.
Puesto: Posicin que ocupa el usuario solicitante en la empresa.
Departamento: Departamento o sector al que pertenece el usuario solicitante.

207

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Sede/Sucursal: Sede o sucursal de la empresa en la que trabaja el solicitante.


Ubicacin (Ciudad/Pas): Ciudad o pas donde trabaja el usuario solicitante,
para el caso de empresas distribudas territorialmente.
E-mail: Direccin de correo electrnico del usuario solicitante.
Telfono: Interno o lnea directa del solicitante.
2. DESCRIPCIN DEL CAMBIO: Este bloque corresponde a informacin sobre el
cambio solicitado.
Tamao: Tamao del cambio medido en cantidad de usuarios afectados.
Menor (menor de 50 usuarios afectados)
Medio / grande (ms de 50 usuarios afectados)
Motivo: Motivo de la solicitud del cambio
Alta
Modificacin
Baja
Descripcin: Breve descripcin del cambio.
Fecha de implantacin programada: Fecha programada para la realizacin del
cambio en el entorno de produccin.
Horario de implantacin programado: Horario programada para la realizacin
del cambio en el entorno de produccin.
Duracin esperada (horas): Tiempo que se invertir en la implantacin del
cambio.
Resultados esperados: Efectos de la realizacin del cambio.
Fecha de implantacin real: Fecha real en que se ha realizado el cambio en el
entorno de produccin.
Duracin real (horas): Duracin real de la implantacin del cambio en el entorno
de produccin.
Impacto: Efectos producidos por el cambio.
Responsable: Nombre de la persona responsable de la realizacin del cambio.
3. SERVICIO(S) AFECTADO(s): Este bloque corresponde a informacin sobre el
impacto del cambio solicitado.
Aplicacin(es): Aplicaciones afectadas por el cambio.
Infraestructura: Equipamiento tcnico afectado por el cambio.
Observaciones: Aclaraciones.
4. PRUEBAS: Este bloque corresponde a informacin sobre las pruebas realizadas
antes de implantar el cambio solicitado en el ambiente productivo.

208

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Fecha de prueba programada: Fecha programada para la realizacin de las


pruebas.
Horario de prueba programado: Horario programado para la realizacin de las
pruebas.
Requerimientos: Requisitos para la realizacin de las pruebas.
Duracin esperada (horas): Duracin esperada de las pruebas.
Resultados esperados: Efecto esperado por los cambios a implantarse.
Responsable: Nombre de la persona responsable de la realizacin de las pruebas.
Aprobacin: Nombre de la persona que deber dar la aprobacin de las pruebas
realizadas.
5. CANCELACIN Y RECUPERACIN: Este bloque corresponde a informacin
sobre los procedimientos de cancelacin y vuelta atrs de la implantacin del
cambio solicitado en el ambiente productivo.
Procedimientos de cancelacin de cambios: Informacin sobre los
procedimientos de cancelacin de la implantacin del cambio solicitado en el
ambiente productivo.
Procedimientos de recuperacin: Informacin sobre los procedimientos de
vuelta atrs de la implantacin del cambio solicitado en el ambiente productivo.
Notificacin: Lista de usuarios que deben ser notificados del cambio.
6. AUTORIZACIONES: Este bloque corresponde a informacin sobre las
autorizaciones necesarias para el pasaje al entorno productivo de los cambios
solicitados.
Firma del usuario solicitante: Firma del usuario solicitante.
Firma del Jefe del departamento: Firma del Jefe del departamento.
7. AUTORIZACIONES ADICIONALES: Este bloque corresponde a informacin
sobre las autorizaciones adicionales necesarias para el pasaje al entorno productivo
de los cambios solicitados.
Nombre: Nombre de la persona de la que se le solicita aprobacin adicional.
Firma: Firma de la persona de la que se le solicita aprobacin adicional.
8. CONFORMIDAD DEL SUPERVISOR DEL CPD: Este bloque corresponde a
informacin sobre la aprobacin del pasaje al entorno productivo de los cambios
por parte de la persona responsable del CPD.
Observaciones: Aclaraciones.
Nombre: Nombre de la persona responsable del Centro de Procesamiento de Datos
de la que se le solicita aprobacin adicional.
Firma: Firma de la persona responsable del Centro de Procesamiento de Datos de
la que se le solicita aprobacin adicional.

209

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

6.2.4 ABM Activos


Es un documento creado para implementar el Control de Cambios en los activos,
que sirve para registrar todas las modificaciones inherentes a activos de la
empresa.
[IRAM/ISO/IEC17799] asegura: Se deben controlar los cambios en los sistemas e
instalaciones de procesamiento de informacin. El control inadecuado de estos
cambios es una causa comn de las fallas de seguridad y de sistemas
Por lo que en este trabajo se ofrece una forma de llevar a cabo este control de
cambios de activos mediante un documento con forma de tabla, donde se registra
todo cambio realizado en el sistema ya sea a nivel fsico o lgico:

ALTA: Agregar un nuevo activo;

BAJA: Eliminar un activo del Inventario de Activos;

MODIFICACIN: Registrar cambios sobre un bien.

Se realizar una ALTA cada vez que se agregue al patrimonio de la organizacin un


activo, por ejemplo, cuando se adquiere un nuevo elemento de hardware como un
dispositivo de red, o un scanner, cuando se adquiera nuevo software, por ejemplo
en la actualizacin de utilitarios, o cuando se produzcan nuevos datos, por ejemplo
al realizar un backup.
Una BAJA de un activo corresponde a la eliminacin del catlogo o Inventario de
Activos de un bien por distintas causas: fin de concesin de uso de bienes,
caducidad de contrato de alquiler de equipos, terminacin de la vida til de datos,
etc.
Se registrar una MODIFICACIN en el caso en que un activo sufra cambios en sus
caractersticas, por ejemplo en su tamao y ubicacin.
Tiene directa relacin con el Inventario de Activos ya que ABM Activos hace
referencia a los activos registrados de la compaa.
Formato del ABM Activos

FECHA

CDIGO

ABM

CAUSA

ACTIVOS
RELACIONADOS

210

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Descripcin de los campos


FECHA: Fecha en que se produjo el ABM.
Se registrar con la siguiente codificacin: dd/mm/aaaa.
CDIGO: Es el cdigo rotulador que se le asign a cada elemento en el Inventario
de Activos que permitir identificar cada bien unvocamente, para su identificacin
y seguimiento.
NOTA: Ver detalles sobre la codificacin de activos en el apartado Inventario de
Activos.
ABM: En este campo se debe indicar el tipo de operacin que se est registrando:

A: Alta;

B: Baja;

M: Modificacin;
CAUSA: es una descripcin de la razn por la que el elemento sufri el ABM en
cuestin.
ACTIVOS RELACIONADOS: En este campo se deben mencionar los activos que se
ven afectados por el cambio, por ejemplo unidades de hardware en que se ubicaba
un elemento de software al que se le da de baja.

6.2.5 Ejemplo - AMB Activos


En el ABM Activos:

FECHA
20/06/2003

CDIGO
BK0102

ABM
B

ACTIVOS
RELACIONADOS

CAUSA
Expiracin de validez los datos. Unidad
sobrescrita.

BK0174,

HW0243

En el Inventario de Activos:

CDIGO

HW0001

DESCRIPCIN

Mouse

UBICACIN

RESPONSABLE

serie Piso 9, sector Mara Martinez

FECHA
CREACIN

12/2001

FECHA
EXPIRACIN

CRI
TICID
AD

211

ESTADO
A

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Logitech

QA,
HW0017

---

---

---

HW0034

Router Cisco 8000

---

---

BK0102

cpu:
---

---

---

Piso 7, sector Manuel Belgrano


comunicacione
s

7/2003

---

---

---

---

---

Backup
de HW0024
Srv01/externo/pro
y5.mbd

Juan Perez

20/05/2003

20/06/2003

---

---

---

---

---

---

BK0174

Backup
de HW0024
Srv01/externo/pro
y5.mbd

Juan Perez

20/06/2003

20/07/2003

---

---

Este ejemplo se trata de un backup que, llegada su fecha de expiracin, de elimina


sobrescribiendo la unidad fsica con el nuevo backup.
En la tabla de ABM Activos est indicado con azul el cdigo del activo que ingres
en el documento para registrar un cambio.
En el campo ABM se indica la eliminacin del activo ingresando una B, se indica la
causa de la baja y los activos relacionados: HW0024 (indicado en verde, la
unidad de cinta que lo contena) y BK0174 (el nuevo backup que reemplaza al
eliminado, indicado en rojo)
En este caso se trata de una baja, lo que significa que el activo dejar el estado A
(dado de Alta) para pasar al estado B (dado de Baja). Esto se debe ver reflejado en
el Inventario de Activos.
En la tabla Inventario de Activos se debe modificar el campo ESTADO del activo,
ingresando Bde Baja. Tambin se deber insertar una nueva fila que dar de alta
la nueva versin.
Indicado con color rojo, se muestra el cdigo de la nueva copia de backup
(nuevo activo) que ha sido dado de alta al reemplazar el backup anterior (vencido).

6.2.6 Actualizaciones de Software


Cada vez que se realicen upgrades, o sea, actualizaciones de versiones de
software se deber llevar un control estricto de las mquinas donde se instal y la
fecha.

212

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Esta sirve no solo para ordenar y organizar la instalacin, sino para controlar el
comportamiento de las mquinas actualizadas.
Muchas veces las actualizaciones pueden dejar la mquina inestable o provocar
otros efectos que se pueden revertir llevando una completa y rigurosa
documentacin de los parches instalados.

6.2.6.1 Documento de Actualizaciones de Software


El documento de actualizaciones de software tiene como fin registrar la instalacin
de todo upgradede software realizado en las mquinas del dominio.
Tiene el siguiente formato:

SOFT

DESCRIPCIN

FECHA

CPU#

CPU#

CPU#

CPU#

Descripcin de los campos


SOFT: nombre del archivo de actualizacin instalado.
DESCRIPCIN: nombre de la aplicacin que se est instalando, versin, etc.
FECHA: fecha de la actualizacin.
CPU#: cdigo de la mquina donde se instala.

213

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

V.

CONCLUSIN

En la introduccin de este trabajo mencionamos la necesidad de una herramienta


que les permita a los profesionales de Informtica descubrir y analizar las
vulnerabilidades de los entornos informatizados e implantar tcnicas para
asegurarlos.
A la largo de esta tesis hemos analizado objetivos de control que llevan al ES a
lograr el aseguramiento del entorno objetivo (que se pretende asegurar) basados
en los principales estndares internacionales de seguridad, la normativa argentina
vigente y las mejores prcticas profesionales del mundo.
Con este anlisis logramos formalizar una metodologa prctica, y factible para
convertir entornos informatizados inseguros en entornos protegidos, y lograr una
clara evaluacin de los mismos.
La metodologa fue desarrollada en la parte IV de este trabajo. A travs de los seis
captulos que la componen, describimos las fases necesarias para lograr el completo
y total aseguramiento del entorno.
El Ingeniero que utilice esta metodologa, podr evaluar el contenido y alcance de
las distintas fases y aplicar los controles que considere necesario para el objeto de
su trabajo.
Independientemente del tamao del entrono objetivo y de la clase de negocio que
apoye, esta metodologa permitir conocer el entorno e implantar medidas para
asegurarlo, basndose en las siguientes tareas:

Elaborar un Plan de Trabajo evaluando tiempo, recursos y costos implicados;

Realizar sondeo para descubrir vulnerabilidades;

Analizar las vulnerabilidades para determinar su riesgo;

Evaluar el impacto de los riesgos sobre el entrono, y sobre el negocio;

Analizar la forma de mitigar los riesgos;

Elaborar un Plan de Aseguramiento del entorno teniendo en cuenta aspectos


fsicos, lgicos y de la organizacin, de manera de establecer objetivos de
control que mitiguen los riesgos existentes;

Confeccionar un Inventario de los Activos fsicos y lgicos de la empresa para


identificar y rotular cada uno de los bienes;

Clasificar la Informacin para determinar su criticidad;

Elaborar o adaptar para conveniencia de la empresa la Normativa de Seguridad


que apoye los procesos del negocio;

214

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Confeccionar una campaa de concientizacin de los usuarios involucrados para


lograr una efectiva implantacin de los controles de Seguridad, y una adecuada
aplicacin de las medidas que componen el Manual de seguridad;

Realizar una adecuada capacitacin de los usuarios para garantizar el


conocimiento de las medidas de seguridad aplicadas y la continuidad de los
controles en el tiempo;

Implantar el Plan de Aseguramiento;

Elaborar un Plan de Recuperacin del Entorno ante Desastres (PRED) para la


prevencin de catstrofes y la planificacin de la recuperacin del entorno
informatizado ante situaciones de emergencia, tratando de resguardar el
negocio de la empresa objetivo;

Estabilizar el entorno
Aseguramiento;

Mantener el nivel de seguridad logrado mediante el control de Incidencias y de


cambios;

realizando

los

ajustes

necesarios

al

Plan

de

Todas estas tareas estarn documentadas, y se apoyarn en registros y tablas que


las facilitarn y tambin guiarn al ES interviniente en su tarea.
Estos son los documentos asociados a las distintas tareas que desarrollamos en
esta metodologa:

Documento de Requerimientos de Usuario: formaliza la voluntad del cliente y de


los usuarios respecto de los requerimientos de seguridad del entorno;

Alcance: establece es espectro que abarcar el proyecto. En este documento se


define el entorno a asegurar, se delimita su extensin y se establecen los
distintos niveles que se evaluarn.
Este punto es muy importante porque la metodologa permite efectuar un
aseguramiento a nivel:
o

Fsico;

Lgico;

De la organizacin.

A su vez este anlisis se puede reducir a un nivel o dos, segn el deseo del cliente y
su presupuesto.
Es importante recalcar que, como vimos en todo el desarrollo de la MAEI, no es
necesario aplicar todas las fases, ni en los tres niveles. Pueden saltearse fases,
cambiarlas de orden, investigarse aspectos netamente fsicos, netamente lgicos,
netamente de la organizacin o una combinacin de ellos.

Plan de Trabajo: ofrece una organizacin del proyecto con las tareas a realizar
con su duracin aproximada y los recursos destinamos a cada una;
215

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Relevamiento General: ofrece un marco de referencia para comenzar a trabajar.


El objetivo de este documento es registrar el sondeo inicial que realiza el ES
para conocer el entorno a asegurar;

Relevamiento de Usuario: consiste en un test que tiene por objetivo determinar


el grado de conocimiento y concientizacin respecto de la seguridad que poseen
los usuarios finales;

Mapa de Vulnerabilidades: es un registro que recompila las vulnerabilidades


halladas;

Informe de Riesgos: esta tabla ofrece una forma de documentar las


vulnerabilidades halladas asocindoles su riesgo, su probabilidad de ocurrencia,
el impacto en el entorno y en el negocio y su criticidad;

Plan de Aseguramiento: recompila todas las medidas, controles y


procedimientos que se llevarn a cabo para asegurar el entorno en estudio y
mitigar los riesgos hallados en los distintos niveles (fsico, lgico y de la
organizacin);

Mapa de Elementos de Red: es una lista de los elementos fsicos presentes en la


red de datos;

Mapa de Usuarios: permite organizar los usuarios en grupos, y a su ver


visualizar los distintos grupos a los que pertenece un usuario;

Documento de Actualizacin de software: Permite llevar un control de las


actualizaciones aplicadas a los distintos equipos de la red;

Tabla de Permisos sobre Activos Lgicos: Permite documentar la relacin directa


entre recursos y usuarios, asignando permisos a usuarios y perfiles sobre
activos lgicos;

Archivos de log: son registros (archivos de texto, bases de datos u otros) que
permiten el registro de las pistas de auditora que emite el sistema informtico;

Inventario de Activos: documento que sirve para llevar un control de los activos
lgicos y fsicos presentes en el entorno:
o

Inventario de Activos Fsicos: recompila todos los activos de tipo fsico y los
enumera y clasifica;

Inventario de Activos Lgicos: recompila todos los activos de tipo lgico y


los enumera y clasifica;

Inventario de Backups: es un registro de las copias de respaldo de los datos que


se realiza junto con la fecha, el medio fsico que los contiene y un cdigo
identificatorio. Est directamente ligado al Inventario de Activos ya que el
cdigo es el utilizado para identificar el activo lgico backup y el nmero de
dispositivo identifica a la cinta o medio fsico;

ABM Activos: es un registro de los cambios que sufren los activos, y su relacin
entre con otros activos;

Manual de Seguridad: compuesto por la normativa de la organizacin:


o

Poltica general;

Normas;

Procedimientos;

Estndares tcnicos;

Manuales de usuario;
216

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Instructivos;

Comunicados: medios escritos por los cuales se informan los usuarios y


empleados;

Presentaciones: medios por los cuales se capacita a los usuarios y empleados;

Documentacin de Capacitacin: documentos que sirven para la capacitacin de


los usuarios y empleados;

Tabla de Criticidades por Equipo: documento que sirve para establecer las
criticidades de los equipos del entorno;

Tabla de Criticidades por Servicio: documento que sirve para establecer las
criticidades de los servicios del entorno;

Tabla de Criticidades por Aplicacin: documento que sirve para establecer las
criticidades de las aplicaciones del entorno;

PRED: Plan de Recuperacin del Entorno ante Desastres: establece las medidas
a tomar para prevenir catstrofes y recuperar el entorno una vez ocurridas,
preservando los objetivos del negocio:
o

Procedimiento de Declaracin de la Emergencia: conjunto de tareas a


realizar ante un acontecimiento que afecte las prestaciones del entorno;

Procedimiento de Recuperacin de las Prestaciones: tareas a realizar una


vez declarada la emergencia, para recuperar el funcionamiento en
emergencia de los equipos y servicios

Procedimiento de Reestablecimiento de las Condiciones Normales: tareas a


realizar una vez recuperadas las prestaciones en contingencia, para
recuperar el funcionamiento normal de los equipos y servicios;

Informe de Implantacin: documento con los detalles del avance del proyecto
de aseguramiento del entorno y de los cambios realizados;

Informe de Cierre de Implantacin: es un documento que contiene los detalles


de los resultados del proyecto de aseguramiento del entorno y de los cambios
realizados;

Manual de Procedimientos sobre Reporte de Incidencias: manual que capacita a


los usuarios en el proceso de reporte de incidencias de seguridad en el entorno;

Reportes de Incidencias: documento que se utiliza para registrar las incidencias


ocurridas en el entorno;

Registro de Incidencias: es un documento que recompila todas las incidencias


ocurridas y las centraliza para su posterior anlisis y estudio estadstico;

Formulario de Control de Cambios: es un documento que creamos con el fin de


registrar todos los requerimientos de cambios surgidos en el entorno, y su
prueba e implantacin;

La idea de este conjunto de herramientas es seleccionar las apropiadas para el


entorno que se est estudiando, quizs combinarlas, y utilizarlas como constante
fuente de control y auditora de la vida del entorno.
Como fuente de control estos documentos sirven ya que su constante
mantenimiento garantiza el conocimiento de los distintos aspectos que traten. Por
ejemplo, mantener actualizado el Inventario de Activos Fsicos implica tener un
217

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

completo conocimiento de los bienes fsicos de la empresa, lo que permitira


detectar hurtos que, de otra manera, pasaran desapercibidos.
Como fuentes de auditora estos documentos tambin proporcionan pruebas de
violaciones a las Normas de la compaa, actos ilcitos y falta de control interno en
los procesos del negocio.
Todos los sistemas informticos sufren cambios constantemente. El entorno cambia
con ellos, y es por eso que considero fundamental registrar todos esos cambios, no
solo especficamente utilizando los procedimientos recomendados en la fase de
Control de Cambios, sino considerar todo el proyecto como una oportunidad para
documentar el entorno para detectar fallas en los objetivos de control fijados por el
Experto, para depurar los procesos no documentados y perfeccionarlos, para
mejorar el flujo de la informacin y la comunicacin de los datos, para verificar que
se tenga en cuenta la contraposicin de intereses en los roles de control y ejecucin
de las tareas y procesos, para dejar pistas de auditora y para incrementar la base
de conocimiento de todos los empleados de la compaa.
Entonces, la Metodologa de Aseguramiento de Entornos Informatizados provee a
los Ingenieros en Informtica y Licenciados en Anlisis de Sistemas de una
herramienta con modelos estructurados para que, de forma ordenada y efectiva, les
facilite y les gue en la tarea de dar informe de las vulnerabilidades presentes en el
entorno en que trabajan, su criticidad e impacto, los riesgos tecnolgicos y
funcionales asociados, determinar las posibles formas de mitigarlos, planificar la
forma de implantar la solucin ms conveniente para el entorno en estudio y para
el cliente, para luego implantarlas con xito y as lograr una efectiva proteccin y
documentacin del entorno objetivo, que era el propsito de este trabajo.

218

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

VI. BIBLIOGRAFA

[IRAM/ISO/IEC17799] IRAM/ISO/IEC 17799 Julio 2002. Proyecto 1 de norma


argentina. Cdigo de prctica para la gestin de la seguridad de la informacin.
Basada en ISO/IEC Standard 17799: Information Technology Code of Practice
for Information Security Management.

[BS7799] British Standard

- Information technology. Code of practice for

information security management.

[Cobit] Cobit Standard- Objetivos de Control para la Informacin y Tecnologas 2000, emitido por el Comit directivo del Cobit y la Information Systems audit.
And Control Fundation.

[Huerta2000] Huerta, A. 2000. Seguridad en Unx y redes. 2da edicin. Espaa.

[Tackett-Burnett2000] Tackett, j. y Burnett S. 2000. Linux. 4ta edicin. Prentice


Hall Iberia. Espaa.

[Scambray-McClure-Kurtz2001] Scambray, J., McClure, S. Y Kurtz, G. 2001.


Hackers 2. McGraw-Hill/Interamericana de Espaa.

[Stallings1999] Stallings, W. 1999. Cryptography and Network Security:


Principles and Practice, 2da edicin, Prentice Hall, Inc.

[Martorell] Martorell, M. Control de Accesos. Escola Universitaria Politecnica de


Mataro.

[hispasec] Hispasec Sistemas.


o

http://www.hispasec.com

[isecom] ISECOM - Institute for security and Open Methodologies.


o

http://www.isecom.org

[ iss.net] ISS- Internet Security Systems.


o

http://iss.net

[xforce.iss] Base de datos de vulnerabilidades y amenazas de ISS.


219

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

http://xforce.iss.net/

[bsi] British Standards Online.


o

http://www.bsi-global.com/index.xalter

[Benson] Microsoft Solutions Framework. Estrategias de Seguridad. Christopher


Benson, Inobits Consulting (Pty) Ltd.
o

http://microsoft.com/latam/technet/articulos/200011/art04

[Consid-MS] Microsoft Solutions Framework. Consideraciones de seguridad para


la autoridad administrativa.
o

http://msn.com

.
[10laws-MS] Microsoft Technet. The Ten Immutable Laws of Security. 2003
o

http://microsoft.com/technet/colums/security/assays/10imlaws.asp

[Technet] Microsoft Technet.


o

http://microsoft.com/technet

[MMC] Conjunto de herramientas de configuracin de seguridad de MicrosoftMMC. 2003.


o

http://microsoft.com

[ISACA] ISACA (Information Systems Audit and Control Association).


o

http://www.isaca.org

[MRSA-ISACA]Metodologa de revisin de software aplicativo (Application


Software Audit Methodology). ISACA (Information Systems Audit and Control
Association).
o

http://www.isaca.org

[AAW-ISI] Auditora de aplicaciones web. Instituto Seguridad Internet (ISI).


o

http://www.instisec.com

220

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

[OSSTMM-ISECOM] Open Source Security Testing Methodology Manual


OSSTMM. Pete Herzog. Isecom.
o

http://www.isecom.org

[AACF-ROBOTA] Auditora de aplicaciones y Cdigo fuente. Robota.


o

http://www.robota.net

221

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

VII. ANEXO I. MAEI RESUMEN DE FASES Y TAREAS


1 Definicin del Alcance.
1.1 Anlisis de Requerimientos de Usuario.
1.2 Elaboracin del Alcance.
1.3 Aprobacin del Alcance.
1.4 Estimacin de tiempos y costos.
1.5 Elaboracin del Plan de Trabajo.
2 Relevamiento.
2.1 Elaboracin del Relevamiento General.
2.2 Elaboracin del Relevamiento de Usuario.
2.3 Anlisis de vulnerabilidades.
2.4 Anlisis de Riesgos.
3 Planificacin

3.1 Elaboracin del Plan de Aseguramiento.


3.2 Aprobacin del Plan de Aseguramiento.
4 Implantacin.
4.1 Elaboracin del Relevamiento de Activos.
4.2 Clasificacin de la Informacin.
4.3 Elaboracin/ adaptacin de la Normativa de Seguridad.
4.4 Publicacin de la Normativa de Seguridad.
4.5 Implantacin del Plan de Aseguramiento.
4.6 Elaboracin del Plan de Recuperacin del Entorno ante Desastres (PRED).
5 Estabilizacin.
5.1 Anlisis de resultados.
5.2 Ajuste.
5.3 Cierre de la implantacin.
5.4 Capacitacin de usuarios.
6 Mantenimiento.
6.1 Control de incidencias.
6.2 Control de cambios.

222

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

VIII. ANEXO II. ESTNDARES INTERNACIONALES. RESEA


INTRODUCTORIA.

ISO/IEC estndar 17799


Information Technology Code of Practice for Information Security
Management
El ISO/IEC estndar 17799 es un marco que brinda recomendaciones para la
gestin de la seguridad de la informacin.
Su origen es el estndar britnico BS7799.
Su objetivo es proveer de una base comn para el desarrollo de estndares de
seguridad de la organizacin y una prctica efectiva de su administracin,
brindando asimismo, confianza en las relaciones llevadas a cabo entre las
organizaciones.
Estas recomendaciones han de ser aplicadas por los responsables de iniciar,
implantar o mantener la seguridad en sus organizaciones, entre las que se
encuentran la definicin de seguridad de la informacin, la organizacin de la
seguridad, controles en los distintos aspectos fsicos, lgicos, en el personal, en los
activos de la compaa, control de accesos y gestin de comunicaciones, desarrollo
y mantenimiento de sistemas, administracin de la continuidad del negocio, entre
otros.
En particular, este estndar trata el anlisis de Requerimientos de seguridad de los
sistemas, que se ha tomado en esta metodologa como parte de los controles a
realizar en la etapa de relevamiento y de anlisis de vulnerabilidades.
Esta seccin describe cmo se deben tratar los datos de entrada: Los datos de
entrada en sistemas de aplicacin deben ser validados para asegurar que son
correctos y apropiados. Los controles deben ser aplicados a las entradas de las
transacciones de negocios, datos permanentes (nombres y direcciones, lmites de
crdito, nmeros de referencia al cliente) y tablas de parmetros (precios de venta,
tasa de impuestos, ndice de conversin de dinero). Tambin especifica controles
de procesamiento interno, asegurando que el diseo de aplicaciones debe asegurar
que las restricciones se implementen para minimizar los riesgos de fallas de
procesamiento, conducentes a una prdida de la integridad. Y controles en los
datos de salida.
Asimismo, encontramos la seccin Controles criptogrficos que establece criterios
para aplicar controles criptogrficos, firma digital, servicios de no repudio, y la
administracin de las claves criptogrficas, afirmando que Decidir si una solucin
criptogrfica es apropiada, debe ser visto como parte de un proceso ms amplio de
evaluacin de riesgos, para determinar el nivel de proteccin que debe darse a la

223

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

informacin. Se realiza este anlisis de riesgos en la etapa 2.4 de esta


metodologa.
La seccin Seguridad de los archivos del sistema trata el control del software
operativo y la proteccin de los datos de prueba del sistema. Los relevamientos que
forman parte de esta tesis se efectan segn lo dispuesto en la Ley Orgnica
espaola 15/1999, de 13 de Diciembre, de Proteccin de datos de carcter
personal, en adelante LOPD y Real Decreto 994/1999, de 11 de Junio, por el que se
aprueba el Reglamento de Medidas de Seguridad (en adelante RMS) de los archivos
automatizados que contengan datos de carcter personal.
Finalmente, este trabajo se referencia en la verificacin de la seguridad de los
procesos de desarrollo y soporte, y de los procedimientos de control de cambios en
donde el estndar afirma que se debe imponer el cumplimiento de los
procedimientos formales de control de cambios. Estos deben garantizar que no se
comprometan los procedimientos de seguridad y control, que los programadores de
soporte solo tengan acceso a aquellas partes del sistema necesarias para el
desempeo de sus tareas, y que se obtenga un acuerdo y aprobacin formal para
cualquier cambio.
En el apartado Desarrollo y mantenimiento de sistemas del estndar se hace
referencia a los controles considerados en la etapa de Anlisis de vulnerabilidades
en las aplicaciones.
Para validar la forma de realizacin de los cambios se han considerado los puntos
referidos en la seccin Seguridad de los procesos de desarrollo y soporte.
Para el registro y seguimiento de pistas de auditora se toma en cuenta la
Monitorizacin del acceso y uso de los sistemas.
Las secciones Validacin de los datos de entrada, Controles de procesamiento
interno, y Validacin de los datos de salida se manifiestan como parte de la
etapa 2.3.2.
Para la ltima fase de esta metodologa (Mantenimiento) se han adaptado los
controles y las recomendaciones de la seccin Respuesta a incidencias y anomalas
en materia de seguridad.

Cobit
Objetivos de Control para la Informacin y Tecnologas - 2000, emitido por
el Comit directivo del Cobit y la Information Systems audit. and Control
Fundation

224

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Cobit es un estndar que pretende conciliar el negocio con los recursos (personas,
aplicaciones, datos, tecnologa, instalaciones) del ambiente de IT, haciendo nfasis
en la organizacin y en la planificacin.
Define 34 procesos de IT que considera como unidades controlables, sobre los que
establece objetivos de control. stos se agrupan en cuatro dominios:

Planificacin y organizacin

Adquisicin e implantacin

Entrega y soporte

Monitorizacin

Cobit define 318 objetivos detallados que involucran a todas las reas de la
empresa.
Estos objetivos permiten determinar la situacin actual, es decir, el nivel de
madurez, segn el modelo de madurez o Capability Maturity Model (MMC), y
permite fijar objetivos para subir el nivel mediante estos puntos de control.
Para la elaboracin de esta metodologa se consideraron los siguientes puntos de
control:

Planificacin y organizacin:

Objetivos de Determinacin de la direccin tecnolgica para la verificacin de


temas tcnicos de la aplicacin como la estrategia de recuperacin ante desastres.
Objetivos de Definicin de la organizacin y las relaciones de IT para el anlisis
del control interno y separacin de funciones.
Los objetivos de Administracin de proyectos fueron considerados para los
controles a realizar a nivel de metodologa de desarrollo de proyectos.
Los de Administracin de calidad conforman la base para el estudio de la
separacin de ambientes, el anlisis de los entornos y de las pruebas.

Adquisicin e implantacin:

Para el anlisis de las interfases con los usuarios, el anlisis de la documentacin,


aprobacin del diseo y de cambios como parte del control de cambios analizado en
la etapa 2.3, se han analizado los objetivos de control de Adquisicin y
mantenimiento del software de aplicacin, los de Desarrollo y mantenimiento de
procedimientos y Administracin de cambios.

225

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Entrega y soporte:

En el anlisis de la administracin de la seguridad informtica se estudiaron los


objetivos de control de Garanta de la seguridad de los sistemas.
Los objetivos de Administracin de problemas e incidenciasse consideran en la
etapa de manejo de incidencias.
El anlisis de manejo de datos es efectuado siguiendo los procedimientos
presentados en Administracin de datos.
El anlisis de las operaciones se basa en los objetivos de control de Administracin
de operaciones.

Monitoreo:

Los objetivos agrupados en Evaluacin de la idoneidad del control interno se


consideran a la hora de evaluar la coherencia, efectividad y adecuacin del control
interno.

MAGERIT
Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de
Informacin de las Administraciones Pblicas
MAGERIT, es una metodologa formal destinada a investigar los riesgos que
soportan los Sistemas de Informacin, y recomendar las medidas apropiadas que
deberan adoptarse para controlar estos riesgos.
Las recomendaciones de MAGERIT permiten conocer, prevenir, impedir, reducir o
controlar los riesgos investigados, mediante la gestin de riesgos.
En particular, se han considerado las presentes en la Gua Para Responsables Del
Dominio Protegible, entre las que se encuentran: Conocimiento de las Amenazas,
Estimacin de las Vulnerabilidades, Identificacin de Impactos, Estimacin de
Impactos, Riesgos
Segn MAGERIT, el anlisis de riegos identifica seis elementos:

Activos

Amenazas

Vulnerabilidades

Impactos
226

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Riesgo

Salvaguardas

Estos seis elementos son estudiados durante todo el proceso que presentamos en
nuestra metodologa de revisin de aplicaciones, donde se realiza el relevamiento
que abarca, entre otras cosas, la evaluacin de la aplicacin a revisar como activo
lgico de la organizacin, y los elementos relacionados con sta como bases de
datos y otras aplicaciones, para pasar a la etapa donde se identifican las amenazas,
las vulnerabilidades y se estudia su riesgo asociado, para finalmente recomendar la
mejor salvaguarda que corresponda.

227

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

IX. ANEXO III. GLOSARIO DE TRMINOS.


Los siguientes son trminos utilizados en este trabajo,
[IRAM/ISO/IEC17799], [Huerta2000] , [Stallings1999], [Technet]:

obtenidos

de

Accesos autorizados: autorizaciones concedidas a un usuario para la utilizacin


de los diversos recursos.
Anlisis de riesgos: Evaluacin de las amenazas, impactos y vulnerabilidades
relativos a la informacin y a las instalaciones de procesamiento de la misma, y a la
probabilidad de que ocurran.
Autenticacin: procedimiento de comprobacin de la identidad de un usuario.
Autorizacin: Garantizar que todos los accesos a datos y/o transacciones que los
utilicen, cumplan con los niveles de autorizacin correspondientes para su
utilizacin y divulgacin.
Backup: copia de los datos de un archivo automatizado en un soporte que
posibilite su recuperacin.
Basurero: La informacin de los desperdicios dejados alrededor de un sistema
puede ser aprovechada por intrusos provocar un hurto o dao.
Bombas lgicas: Programas que se activan al producirse un acontecimiento
determinado. La condicin suele ser una fecha (Bombas de Tiempo), una
combinacin de teclas, o un estilo tcnico Bombas Lgicas), etc. Si no se produce la
condicin permanece oculto al usuario.
Backdors y trapdors: Son instrucciones que permiten a un usuario acceder a
otros procesos o a una lnea de comandos, y suelen ser aprovechados por intrusos
malintencionados para tomar control sobre las computadoras.
Challenge-response: Metodologa utilizada para la autenticacin de usuarios
denominada usualmente desafo-respuesta. Se realiza un interrogante o una serie
de ellos que slo el usuario autorizado puede conocer la respuesta.
Chip-cards: Tarjetas que poseen integrado un circuito impreso, en el cual se
almacenan datos que posibilitan la autenticacin del usuario.
Cliente: toda entidad, empresa, organismo o persona que presente su entorno
informatizado con el fin de que el ES lo analice y lo asegure.
228

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Conejos: Programas que no daan directamente al sistema por alguna accin


destructiva, sino que tienen la facilidad de reproducirse exponencialmente de
manera de provocar en poco tiempo una negacin de servicio al consumir los
recursos (memoria, disco, procesador, etc).
Confiabilidad: Garantizar que los sistemas informticos brinden informacin
correcta para ser utilizada en la operatoria de cada uno de los procesos.
Confidencialidad: Garantizar que toda la informacin est protegida del uso no
autorizado, revelaciones accidentales, espionaje industrial, violacin de la
privacidad y otras acciones similares de accesos de terceros no permitidos.
Contrasea: informacin confidencial, frecuentemente constituida por una cadena
de caracteres, que puede ser usada en la autenticacin de un usuario.
Control de acceso: mecanismo que en funcin de la identificacin ya autenticada
permite acceder a datos o recursos.
Copia del respaldo o resguardo: ver backup.
Courier: Mensajero, correo. Persona o dispositivo mediante el cual se envan
mensajes o elementos.
Desktop environments: Configuraciones de escritorio.
Dial-back: Metodologa de rellamado ante la recepcin de peticin para establecer
una comunicacin con un servidor. Al recibir este dicho requerimiento produce el
corte de la llamada y luego se comunica mediante una direccin preestablecida.
Disponibilidad: Garantizar que la informacin y la capacidad de su tratamiento
manual y automtico, sean resguardados y recuperados eventualmente cuando sea
necesario, de manera tal que no se interrumpa significativamente la marcha de las
actividades.
Download: (descargar, bajar, bajarse) En Internet proceso de transferir
informacin desde un servidor de informacin al propio ordenador personal.
Eaves dropping: Es la escucha no autorizada de conversaciones, claves, datos,
etc.

229

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Eficacia: Garantizar que toda informacin que sea utilizada es necesaria y


entregada de forma oportuna, correcta, consistente y til para el desarrollo de las
actividades.
Eficiencia: Asegurar que el tratamiento de la informacin se realice mediante una
ptima utilizacin de los recursos humanos y materiales.
Entorno: Se considera entorno un amplio espectro de ambientes, desde empresas
multinacionales distribuidas fsicamente en el mundo hasta datos individuales, una
empresa informatizada, puede definirse como el edificio que alberga a la empresa
objetivo o como el Centro de Cmputos (CC) o Centro de Procesamiento de Datos
(CPD) donde se encuentran los servidores, un sector informatizado de un negocio,
una red de telecomunicaciones, un equipo de cmputos, una aplicacin, archivos
lgicos o cualquier elemento susceptible a ataques informticos.
ES: Experto en Seguridad. En este trabajo se lo considera el principal actor, que
utiliza la metodologa AEI para asegurar un entorno informatizado.
Exactitud: Asegurar que toda la informacin se encuentre libre de errores y/o
irregularidades de cualquier tipo.
Fallback: Metodologa de emergencia ante fallas que posibilitan la recuperacin de
informacin perdida.
Firewall (cortafuegos): Dispositivo que se coloca entre una red local e Internet y
cuyo objetivo es asegurar que todas las comunicaciones entre los usuarios de dicha
red e Internet se realicen conforme a las normas de seguridad de la organizacin
que lo instala.
Gateway (pasarela): Punto de una red que acta como punto de entrada a otra
red.
Gusanos (Worms): Son programas independientes (no necesitan insertarse en
otros archivos) que se expanden a travs de la red realizando distintas acciones
como instalar virus, o atacar una PC como un intruso.
Hacker (pirata): Una persona que goza alcanzando un conocimiento profundo
sobre el funcionamiento interno de un sistema, de un ordenador o de una red de
ordenadores. Este trmino se suele utilizar indebidamente como peyorativo, cuando
en este ltimo sentido sera ms correcto utilizar el trmino cracker. Los hackers
proclaman tener una tica y unos principios contestatarios e inconformistas pero no
delictivos.
Hacking (pirateo): Accin de piratear sistemas informticos y redes de
telecomunicacin.
230

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Herramientas de seguridad: Son utilitarios que sirven para identificar


vulnerabilidades en un sistema. Pueden ser una amenaza si un intruso las utiliza en
el sistema y detecta fallas en la seguridad de las que el administrador no est
enterado.
Hoax: (camelo, bulo) Trmino utilizado para denominar a rumores falsos,
especialmente sobre virus inexistentes, que se difunden por la red, a veces con
mucho xito causando al final casi tanto dao como si se tratase de un virus real.
Host system: (sistema anfitrin, sistema principal) Ordenador que, mediante la
utilizacin de los protocolos TCP/IP, permite a los usuarios comunicarse con otros
sistemas anfitriones de una red. Los usuarios se comunican utilizando programas
de aplicacin, tales como el correo electrnico, Telnet, WWW y FTP. La acepcin
verbal (to host) describe el hecho de almacenar algn tipo de informacin en un
servidor ajeno.
Identificacin: procedimiento de reconocimiento de la identidad de un usuario.
ID: Nombre o identificacin de usuario.
Incidencia o incidente: cualquier anomala que afecte o pudiera afectar a la
seguridad del entorno.
Ingeniera social: Consiste en la manipulacin de las personas para que
voluntariamente realicen actos que normalmente no haran, como revelar su
contrasea o cambiarla.
Integridad: Asegurar que sea procesada toda la informacin necesaria y suficiente
para la marcha de las actividades en cada uno de los sistemas informatizados y
procesos transaccionales.
Laptop: (computador porttil, ordenador porttil) Ordenador de tamao pequeomedio, que se puede transportar como un maletn y apoyar en el regazo (lap).
Legalidad: Asegurar que toda la informacin y los medios fsicos que la contienen,
procesen y/o transporten, cumplan con las regulaciones legales vigentes en cada
mbito.
Logged in: Conexin del equipamiento.
Logged out: Desconexin de equipamiento.

231

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Logging: Registro de actividades en un archivo informtico, de diferentes


situaciones, se utiliza normalmente como evidencia de auditoria.
Login: Conexin. Entrada en una red.
Logon: Procedimiento de conexin o entrada al sistema por parte de un usuario.
Logs: Registros de situaciones en un sistema informtico, tales como actividades
de usuarios, control de contraseas, etc. Es el resultado de puesta en marcha del
logging.
Mainframe: Estructura principal.
multiusuario, utilizada en empresas.

Computadora

de

gran

tamao

de

tipo

Masquerading: Un intruso puede usar la identidad de un usuario autorizado que


no le pertenece simplemente apoderndose de un nombre de usuario y contrasea
vlidos.
No Repudio: Garantizar los medios necesarios para que el receptor de una
comunicacin pueda corroborar fehacientemente la autenticidad del emisor.
Notebook: Computador u ordenador porttil.
Normativa de Seguridad: Conjunto de reglas, normas, procedimientos,
estndares e instructivos que regulan los aspectos funcionales y tcnicos de la
seguridad informtica en una organizacin.
Outputs: Salida. Se refiere al producto del proceso de datos, con relacin a su
presentacin, bien puede ser impresa o por pantalla u otro medio idneo.
Over-classification: Clasificacin en exceso. Se refiere al proceso de clasificacin
de la informacin con relacin a la categorizacin respecto a su publicidad o no.
PABXs: Centralita privada automtica (Private Automatic Branch eXchange) (ramal
de intercomunicacin telefnica privada). Son ramales de intercomunicacin digital
interno que permiten manejar tanto la circulacin de voz como la de los datos,
utiliza conmutacin de circuitos.
Palmtop: (computador de palma, ordenador de palma) Ordenador de pequeo
tamao, algo mayor que un paquete de cigarrillos, que se puede llevar en la palma
de la mano (palm) y que, adems de otras funciones, permite la conexin con
Internet.

232

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Password: (palabra de paso, contrasea) Conjunto de caracteres alfanumricos


que permite a un usuario el acceso a un determinado recurso o la utilizacin de un
servicio dado.
PC: Personal Computer. Computadora Personal.

Piggy backing: Ocurre cuando un usuario no autorizado accede a una zona


restringida gracias al permiso otorgado a otra persona que s est autorizada.
PIN: Personal Identification Number. Nmero de identificacin personal, clave
utilizada para el acceso a cajeros automticos, asociada con una tarjeta de dbito o
de credito.
Proteccin Fsica: Garantizar que todos los medios de procesamiento y/o
conservacin de informacin cuenten con medidas de proteccin fsica que eviten el
acceso y/o utilizacin indebida por personal no autorizado.
Propiedad: (derecho a propiedad) Asegurar que todos los derechos de propiedad
sobre la informacin utilizada en el desarrollo de las tareas, estn adecuadamente
establecidos a favor de sus propietarios.
Recurso: cualquier parte componente de un entorno informatizado.
Router: Sistema constituido por hardware y software para la transmisin de datos
en una red. El emisor y el receptor deben utilizar el mismo protocolo de
comunicaciones.
Scanners: Software, a veces asociado a equipamiento que permite realizar la
inspeccin de comunicaciones, usualmente mediante el barrido de frecuencias.
Schedulling: Planificacin, se utiliza como requerimiento para el desarrollo de
tareas, programacin, ejecucin de procesos, etc.
Shoulder Surfing: Consiste en espiar fsicamente a los usuarios para obtener
claves de acceso al sistema, nmeros vlidos de tarjetas de crdito, etc.
Spooled data: Datos en cola de espera. Los mismos pueden hallarse en dicha
situacin para su ingreso o su salida, impresin.
Start-up: Inicio del sistema. Tanto de software, programa o aplicacin, como de
hardware, equipamiento.

233

Metodologa para el Aseguramiento de Entornos Informatizados.


MAEI - Mara Victoria Bisogno.

Stop: Cierre del sistema. Tanto de software, programa o aplicacin, como de


hardware, equipamiento.
Seguridad de la informacin: La preservacin de la confidencialidad, integridad y
disponibilidad de la informacin.
Sistemas de informacin: conjunto de archivos automatizados, programas,
soportes y equipos empleados para el almacenamiento y tratamiento de datos.
Software malicioso: (malware) Es un trmino comn que se utiliza al referirse a
cualquier programa malicioso o inesperado o a cdigos mviles como virus,
troyanos, gusanos o programas de broma.
Soporte: objeto fsico susceptible de ser tratado en un entorno informatizado y
sobre el cual se pueden grabar o recuperar datos.
Teleworking site: Sitio de trabajo remoto o a distancia.
Timeouts: Son programas que se pueden utilizar durante un perodo de tiempo
determinado;
Tokens: Dispositivos de hardware que posibilitan la generacin aleatoria de claves
de acceso.
Troyanos: Similar al famoso Caballo de Troya, estos programas maliciosos ocultan
sus intenciones reales bajo la apariencia de un juego, una animacin, etc. Algunos
troyanos permiten el acceso al equipo infectado, otros borran archivos, introducen
un virus o comprometen la seguridad del sistema atacado de diferentes maneras.
Upgrading: Ascender de nivel, actualizar, modernizar.
UPS: Usage Parameter Control. Parmetros de control de uso.
Usuario: sujeto o proceso autorizado para acceder a datos o recursos.
Web: World Wide Web, o simplemente Web, es el universo de informacin
accesible a travs de Internet, una fuente inagotable del conocimiento humano.
Worms: (Gusanos) Son programas que tratan de reproducirse a si mismo, no
produciendo efectos destructivos sino el fin de dicho programa es el de colapsar el
sistema o ancho de banda, replicndose a si mismo.
234