DESARROLLO DE LA ACTIVIDAD PROPUESTA

AP4-AA4-EV1 MECANISMOS DE CONTROL Y SEGURIDAD

POR:
JORGE LUIS PEREZ SEVERICHE

ANALISIS Y DESARROLLO DE SISTEMAS INFORMÁTICOS - ADSI 1412904

SENA
2018
 INTRODUCCIÓN

Un mecanismo de seguridad (también llamado herramienta de seguridad o control) es una

técnica que se utiliza para implementar un servicio, es decir, es aquel mecanismo que está
diseñado para detectar, prevenir o recobrarse de un ataque de seguridad. Los mecanismos de
seguridad implementan varios servicios básicos de seguridad o combinaciones de estos
servicios básicos – los servicios de seguridad especifican "qué" controles son requeridos y
los mecanismos de seguridad especifican "cómo" deben ser ejecutados los controles.

No existe un único mecanismo capaz de proveer todos los servicios, sin embargo, la mayoría
de ellos hace uso de técnicas criptográficas basadas en el cifrado de la información. Los
mecanismos pueden ser clasificados como preventivos, detectivos, y recuperables.

Los mecanismos de seguridad se pueden clasificar en general en dos categorías:

a) Mecanismos de seguridad generalizados: se relacionan directamente con los niveles de

seguridad requeridos y algunos de estos mecanismos están relacionados al manejo de la
seguridad y permiten determinar el grado de seguridad del sistema ya que se aplican a éste
para cumplir la política general.

b) Mecanismos de seguridad específicos definen la implementación de servicios concretos.

Los más importantes son los siguientes: Confidencialidad, No repudio, Integridad,
Autenticación, Control de acceso y Disponibilidad De manera particular, por las acciones
que realizan se clasifican en:

a) Controles disuasivos: reducen la probabilidad de un ataque deliberado.

b) Controles preventivos: protegen vulnerabilidades y hacen que un ataque fracase o reduzca

su impacto.

c) Controles correctivos reducen el efecto de un ataque.

d) Controles detectores: descubren ataques y disparan controles preventivos o correctivos.

 Descripción de la Evidencia:

De acuerdo con el contexto de su proyecto de formación y tomando como referencia el

material suministrado y las plantillas de especificación de requerimientos y análisis del
sistema, elabore junto con su equipo de trabajo un informe escrito en un archivo donde se
describan los siguientes elementos:

•Segmentación de procesos, perfiles y roles.

•Mecanismo de autenticación a implementar en el sistema
•Cifrado de datos: tipo de algoritmos a implementar.
•Procedimientos adicionales de Seguridad a implementar

El documento debe ser elaborado con normas Icontec vigentes para trabajos escritos, además
de buenas prácticas de redacción y ortografía.

Producto entregable:
Documento PDF, con el desarrollo de los ítems propuestos para determinar el diseño de
controles y seguridad asociado al proyecto.

.
1. Segmentación de procesos, perfiles y roles.

La Clínica dental Sermedent es una empresa pequeña que cuenta con 8 empleados, de los
cuales solo a seis empleados se les generará un usuario, cada uno de estos usuarios tendrá
ciertas características de acceso, y manipulación de la información como borrado, consulta,
modificación, generación de informes, visualización de la información e impresión de copia
dura.

De acuerdo al perfil, obligaciones y actividades de cada uno de los empleados se le asigna el

rol o roles que este usuario va a tener en el sistema de información. Entre los empleados de
la empresa tenemos Auxiliares de odontología, Odontólogos, Técnico de sistemas y Director
general

El Director general, es el encargado de coordinar, planificar, verificar, asesorar y controlar

todos los procesos que se realizan en la empresa, como por ejemplo generar informes,
consultas, registros para una buena toma de decisiones etc.

Los Odontólogos y los auxiliares desarrollan el componente misional.

El técnico de sistema sirve de soporte a todo el personal médico y administrativo

El aplicativo tendrá un superusuario, dos usuarios administradores y los usuarios serán

usuarios con restricciones para los auxiliares de odontológía. El superusuario es una cuenta
que no tiene restricciones para configurar el sistema y estará a cargo del administrador
principal que puede ser el técnico de sistemas por sus conocimientos en el área, este
superusuario permite crear o convertir una cuenta común en una cuenta administradora y la
dota de permisos para instalar, modificar, borrar, otorgar permisos, acceso a carpetas y
archivos, realizar configuraciones personalizadas etc.
2. Mecanismo de autenticación a implementar en el sistema.

El software que se desarrollará para la clínica odontológica contará con un mecanismo de

seguridad y control basado en dos puntos, el primero el diseño de autenticación que estará
contemplado por autenticación por contraseña, es decir el usuario debe estar registrado en el
sistema, además de tener la autorización para poder ingresar. En este punto se tendrá en
cuenta recomendaciones como, características de la contraseña, confidencialidad, control de
acceso etc.

El segundo punto se relaciona con el diseño de autorización, en donde se contempla los roles,
permisos y privilegios de la aplicación. El Director general es el encargado de coordinar,
planificar, verificar, asesorar y controlar todos los procesos que se realizan en la empresa y
puede entre los requerimientos funcionales generar informes, consultas, registros para una
buena toma de decisiones, teniendo en cuenta el cargo y los proceso que debe realizar le serán
asignados los permisos para el manejo de la información, es decir modificar, consultar,
registrar etc.

De esta forma se le asignaran los roles a cada empleado teniendo en cuenta sus cargos y
procesos a realizar en el aplicativo.

3. Cifrado de datos: tipo de algoritmos a implementar

El cifrado de datos es un procedimiento que utiliza un algoritmo de cifrado con una clave
(clave cifrada) para transformar un mensaje, sin atender a su estructura lingüística o
significado, de tal forma que sea incomprensible o al menos difícil de comprender para toda
persona que no tenga la clave secreta (clave de descifrado) del algoritmo.

Entre los datos que podemos cifrar tenemos los emails, toda la información digital de un PC,
como documentos, fotos, vídeos, particiones individuales e, incluso, el disco duro completo
(por ejemplo, con TrueCrypt) es susceptible de ser cifrado, además de las claves o
contraseñas.
Tipos de cifrado según sus claves

Los métodos de cifrado actuales se basan en fórmulas matemáticas complejas, se utilizan

los siguientes tipos de sistemas:

Simétrico: en caso de los sistemas simétricos se utiliza la misma clave para el cifrado y el
descifrado. Por lo tanto, debe ser conocida por todos los que deseen acceder a los datos
cifrados. En consecuencia, es importante mantenerlo en secreto. Este método es
particularmente adecuado para grandes conjuntos de datos. Entre los tipos de cifrados
simétricos tenemos:

DES: Estándar de cifrado de flujo de 52 bits usado en 1976. La cadena de 56 bits es muy
corta, por lo que es capaz de comprometerse en menos de 24 horas.

Longitud de clave: 52 bits.

Tamaño de bloque: No

GOST: Es un algoritmo de cifrado de origen ruso que podría ser considerado el análogo ruso
al AES. Emplea bloques de 64 bits y claves de 256 bits y no ha podido ser vulnerado a pesar
de haber sido uno de los más estudiados. El mensaje de entrada se divide en trozos de bloques
de 256 bits (ocho de 32 bits enteros Endian) y el mensaje se rellena añadiendo tantos ceros
como se requiere para llevar la longitud del mensaje hasta 256 bits. También se utiliza como
función hash.

Longitud de clave: 256 bits.

Tamaño de bloque: 64 bits.

AES: Este funciona básicamente dividiendo los datos en muchos bloques pequeños y los
mezcla. Con la longitud de clave más grande (256 bits) este método es considerado como
inviolable, ya que, incluso los superordenadores más potentes necesitarían de un tiempo
infinito para dar con el cifrado.

Asimétrico: este método es especialmente popular para cifrar mensajes de correo

electrónico. El principio: el remitente utiliza la “clave pública” del destinatario para cifrar el
mensaje. Para que sea otra vez legible, el receptor utiliza su llave “privada” que únicamente
él conoce. Entre los tipos de cifrados Asimétricos tenemos:

El Gamal: Sistema de cifrado asimétrico libre de patentes y utilizado tanto para generar
firmas digitales como para cifrar/descifrar. Su funcionamiento se basa en cálculos sobre
“logaritmos discretos”, factorizando números muy grandes, de 150 dígitos o más. Usa para
ello un número primo y dos enteros. La velocidad de cifrado y autenticación es inferior a la
obtenida con RSA, las firmas producidas son más largas y los mensajes cifrados ocupan el
doble que el mensaje plano.

Longitud de clave: Sin límite. El límite lo marca el protocolo usado.

RSA: Sistema de cifrado asimétrico, que, a diferencia de los anteriores sistemas, trabaja con
dos claves diferentes: una clave “pública”, y otra “privada”. Ambas son complementarias
entre sí, así que un mensaje cifrado con una de ellas sólo puede ser descifrado por su
contraparte. La longitud de clave va desde los 128 bits a los 4096.

Longitud de clave: Variable: 128, 256, 1024, 2048 y 4096 bits.

La criptografía híbrida es un método criptográfico que usa tanto un cifrado simétrico como
un asimétrico. Emplea el cifrado de clave pública para compartir una clave para el cifrado
simétrico. El mensaje que se esté enviando en el momento, se cifra usando su propia clave
privada, luego el mensaje cifrado se envía al destinatario. Ya que compartir una clave
simétrica no es seguro, ésta es diferente para cada sesión.

Tipos de cifrado según sus algoritmos:

Según la forma en la que operan los algoritmos de cifrado o descifrado, es posible

distinguir varios tipos:

Cifrado en flujo: En estos algoritmos el cifrado se realiza bit a bit. Están basados en la
utilización de claves muy largas que son utilizadas tanto para cifrar como para descifrar.
Estas claves pueden estar predeterminadas (libreta de un solo uso) o generarse usando un
generador de claves pseudoaleatorias o RKG(acrónimo del inglés random key generator),
que genera una secuencia binaria pseudoaleatoria a partir de una clave de inicialización K. A
veces, en el cálculo de la clave pseudoaleatoria tambié n interviene el mensaje cifrado hasta
ese momento. Por otra parte, el cifrador propiamente dicho: habitualmente en este tipo de
algoritmos hay que mantener en secreto tanto la clave como el cifrador.

Cifrado por bloques: En este tipo de algoritmos, el cifrado se realiza bloque a bloque. En
primera instancia, se descompone el mensaje en bloques de la misma longitud. A
continuación, cada bloque se va convirtiendo en un bloque del mensaje cifrado mediante una
secuencia de operaciones.

Ejemplos típicos de operaciones realizadas para conseguir cada mensaje cifrado son la
sustitución y la permutación (cifrado por transposición) de elementos.

Este tipo de algoritmos pueden ser tanto de clave simétrica como de clave asimétrica. Sin
embargo, en la bibliografía suele haber confusión y es frecuente ver casos en que se refieren
sólo a algoritmos de clave simétrica.

Teniendo en cuenta toda la información anterior al cifrado de datos estaremos

implementando un tipo de cifrado que presente la mayor seguridad posible para nuestro
sistema de información, pero para escoger que tipo de algoritmo implementar también
dependemos de nuestra capacidad para programar o desarrollar este tipo de algoritmo, y
teniendo en cuenta que estamos en una etapa de inicio a la programación, conocimiento y
orientación tomo la decisión de llegar a esa etapa de programar y de esta forma ir aplicando
las características que harían del sistema lo más seguro e infalible posible, contando
lógicamente con la orientación de los tutores del programa análisis y desarrollo de sistemas
de información.
4. Procedimientos adicionales de Seguridad a implementar

Seguridad del recurso humano:

Este dominio está relacionado con el personal que labora dentro de la entidad, se pueden
definir los siguientes procedimientos:

Procedimiento de capacitación y sensibilización del personal: Indica la metodología

empleada por la entidad para realizar la capacitación y sensibilización del personal en temas
de seguridad de la información teniendo en cuenta los diferentes roles y responsabilidades,
la periodicidad de dichas capacitaciones y sensibilizaciones etc…

Procedimiento de ingreso y desvinculación del personal: Este procedimiento indica la manera

como la entidad gestiona de manera segura del ingreso y desvinculación, incluyendo temas
como verificación de antecedentes, firma de acuerdos de confidencialidad, recepción de
entregables requeridos para generar paz y salvos entre otras características.

Este procedimiento va de la mano con el área de gestión de recursos humanos o contratación

puede generarse con su colaboración.

Gestión de Activos:
En este dominio relacionado con la identificación y clasificación de activos de acuerdo a su
criticidad y nivel de confidencialidad se pueden definir los siguientes procedimientos:

Procedimiento de identificación y clasificación de activos: En este procedimiento se debe

indicar la manera en que los activos de información son identificados e inventariados por la
entidad, así como también se debe especificar como son clasificados de acuerdo a su nivel
de confidencialidad o criticidad, como se asignan y se devuelven los activos una vez se
termina la relación laboral con la entidad.

Adicionalmente se debe explicar cómo se hace una correcta disposición de los activos cuando
ya no se requieran y su transferencia hacia otros lugares de manera segura.
Seguridad física y del entorno:
Este dominio está relacionado con la prevención del acceso a áreas no autorizadas, el daño a
la infraestructura, las instalaciones o de la información. Se pueden generar los siguientes
procedimientos (estos procedimientos pueden tener la participación del área de seguridad y
vigilancia de la entidad):

Procedimiento de control de acceso físico: En este procedimiento se debe describir como

se ejecutan los diferentes pasos para garantizar el control de acceso seguro a las instalaciones
al personal autorizado. Este procedimiento puede incluir registros de fecha y hora de ingreso,
seguimiento de los libros o plataforma de registro. Se debe contemplar la solicitud de permiso
a áreas restringidas, quien los otorga y que debe hacerse para poder tener acceso a las áreas
etc…

Procedimiento de protección de activos: Este procedimiento debe contener los pasos con
los cuales los equipos son protegidos por la entidad. Se recomienda que este procedimiento
indique como se determina la ubicación de los equipos que procesan información
confidencial, como se aseguran dichas las instalaciones, los controles que se aplican para
minimizar riesgos de desastres naturales, amenazas físicas, daños, por polvo, agua,
interferencias, descargas eléctricas etc…

Procedimiento de retiro de activos: En este procedimiento debe especificarse como los

activos son retirados de la entidad con previa autorización. Se debe indicar el flujo de las
solicitudes, autorizaciones y el control que tendrá el activo fuera de la entidad, así como
también los controles de seguridad que deberá incluir el equipo cuando esté por fuera
(controles criptográficos, cifrado de discos etc…)

Procedimiento de mantenimiento de equipos: Este procedimiento debe especificar como

se ejecutan mantenimientos preventivos o correctivos dentro de la entidad, indicando los
intervalos en que estos deberán realizarse, con base a las sugerencias de los proveedores o si
existen seguros atados a los equipos y los mantenimientos sean requisitos. Se debe especificar
el modo en que los mantenimientos se llevarán a cabo y el personal que deberá ejecutarlo,
llevando el registro apropiado.
Adquisición, desarrollo y mantenimiento de sistemas de información:

Procedimiento De Control Software: En este procedimiento la entidad deberá indicar como

realiza el control de software, es decir, como limita el uso o instalación de software no
autorizado dentro de la entidad, quienes están autorizados para realizar la instalación de
software, como se realizaría la gestión de las solicitudes de instalación de software para los
usuarios, cómo se realiza el inventario de software dentro de la entidad entre otros aspectos.

Gestión de incidentes de seguridad de la información:

Procedimiento de gestión de incidentes de seguridad de la información: Este procedimiento
debe indicar como responde la entidad en caso de presentarse algún incidente que afecte
alguno de los 3 servicios fundamentales de la información: Disponibilidad, Integridad o
confidencialidad. Deben especificarse los roles, las responsabilidades y acciones requeridas
para identificar, contener, documentar, recolectar evidencias y mejorar la respuesta ante un
incidente de seguridad de la información, así mismo, deberá indicar en qué casos sería
necesario pasar a la activación de los planes de BCP (Planes De Continuidad) dependiendo
de la criticidad de la información.
 Bibliografía

Internet ministerio de tecnologías de información y comunicación

http://www.mintic.gov.co

Documento SENA

Diseñar los mecanismos de seguridad y control

YouTube

Videos de seguridad de la información