CASO DE ESTUDIO Institucin de Educacin Superior: Universidad de la Excelencia -UE

La UE constantemente ha visto afectados sus recursos informticos debido a ataques de personas mal intencionadas. Preocupados por sta situacin, la UE ha decidido contratar a un grupo de ingenieros expertos en el rea de la seguridad de la informacin, para realizar el anlisis de riesgos que pueda conducir a conocer el estado actual de aseguramiento de la informacin y a generar estrategias claras para gestionar la seguridad de la informacin y a disear su arquitectura de seguridad informtica. A continuacin se detalla informacin importante de la institucin para tener en cuenta en el diseo de la solucin:

Informacin de la institucin
La UE tiene como misin la formacin integral de las personas, mediante la bsqueda de la verdad y la excelencia en los procesos de docencia, investigacin y extensin, promoviendo los valores en sus educandos para el bien de la sociedad. La UE tiene como visin ser una institucin de excelencia educativa, formando personas con gran capacidad de liderazgo empresarial, social, cientfico al servicio de la sociedad.

Caractersticas de la institucin
Los profesionales que laboran en la organizacin en general son responsables, puntuales y dispuestos a aceptar y seguir los nuevos retos organizacionales. Los Directivos, conformados por el Rector, Vicerrectores y Decanos, ven el tema de seguridad como un rea importante pero no se considera prioritario en los procesos del negocio. El nivel de comunicacin y apoyo entre las dependencias para el cumplimiento de los objetivos de la organizacin es alto. Debido a que es una institucin educativa se podr contar con el apoyo de las dependencias que se requieran para el proceso de sensibilizacin y educacin en el tema de seguridad de la informacin.

Anlisis de la infraestructura de red

La UE se encuentra interconectada con una topologa en estrella de la cual hacen parte: Doce (12) Switches y siete (7) Acces Points (AP) distribuidos en los diferentes edificios de la institucin; adems de ello, cuenta con 477 computadores de escritorio y 44 porttiles los cuales estn distribuidos en las nueve aulas de informtica y en las diferentes oficinas de la Institucin, 16 porttiles hacen parte de un aula mvil y los 32 restantes se encuentran asignados entre los docentes, administrativos y directivos. Dos canales de Internet contratados con diversos Service Providers (ISP), uno para proveer servicio a los empleados administrativos y acadmicos y el otro para los estudiantes. La UE cuenta con conectividad a travs de LAN y WLAN, sta ltima no permite conexin directa a la red LAN, solo a Internet por el servicio de los estudiantes.

Adems de ello la sede principal de la EU est interconectada con su seccional ubicada en otra ciudad a travs de un canal WAN.

Como plan de contingencia en caso de fallas en el servicio de energa, la universidad cuenta con una planta que provee energa a todo el campus, adems de ello el cuarto de comunicaciones cuenta con UPS.

La red LAN presta servicios a: Estudiantes: Administrativos: Docentes: Directivos: 4.000 150 180 9 ______ Total: 4.339

La Institucin realiza copias de seguridad de la informacin relevante en DVD. Los proyectos de grado de los estudiantes son almacenados en CD de acuerdo a las caractersticas definidas en la UE. Se tiene un servidor de archivos donde se solicita a los usuarios que se conecten mensualmente a hacer la copia de seguridad de sus equipos de escritorio. Cada usuario es responsable de la copia de seguridad; el personal tcnico slo recuerda las fechas mximas de las mismas, pero no verifica s se realiza o no la copia.

Los servicios de red se encuentran configurados y distribuidos en los siguientes servidores: NOMBRE andromeda.ue CONFIGURACIN S.O: Linux Fedora Core 6 D.D: Uno de 120 GB RAM: 512MB S.O: Linux Fedora Core 5 D.D: Dos de 80 GB c/u RAM: 4GB SERVICIOS WEB MySQL FTP DNS HTTPD Mail Scaner Spam Imap HTTPD MySQL Postgres FTP HTTPD MySQL Postgres FTP DNS HTTPD Tomcat Posgres FTP

orion.ue

pegasus.ue

S.O: Linux Fedora Core 4 D.D: Uno de 40 GB RAM: 1GB S.O: Linux Fedora Core 5 D.D: Uno de 80 GB RAM: 1GB S.O: Linux Red Hat 9 D.D: Uno de 100 GB RAM: 512MB

lepus.ue

Draco.ue

Tucana.ue

S.O. Windows 2003 Server D.D. Cuatro de 40 GB c/u RAM. 1 GB

Auriga.ue

S.O: Linux Fedora Core 7 D.D: Dos de 70 GB c/u RAM: 2GB

Cetus.ue

S.O: Linux CentOS D.D: Dos de 70 GB c/u RAM: 3GB

DHCP WINS Consola Antivirus Admon. Lic. Matlab Servidor de Archivos DNS HTTPD DHCP FTP Proxy MRTG Monitorizacin Proxy Samba IpTables Firewall Nagios Monitorizacin

Aplicaciones Institucionales
La institucin cuenta con tres (3) aplicaciones web de desarrollo in-house que gestionan los requerimientos internos: requerimientos de soporte tcnico, requerimientos de servicios generales y prstamo de equipos audiovisuales. Estas aplicaciones son servicios para los empleados (acadmicos y administrativos), tambin cuenta con un sistema para la gestin tanto de la parte acadmica como administrativa. Estos aplicativos no cuentan con administracin de usuarios nica, esto quiere decir que cada aplicacin cuenta con una base de datos de usuarios. Consultando a los usuarios se encuentran los siguientes comportamientos para el manejo de sus usuarios y contraseas de autenticacin: Un usuario y contraseas diferentes para cada servicio Diferentes usuarios y diferentes contraseas para cada servicio Un usuario y una contrasea igual para cada servicio No se tienen polticas ni directrices claras sobre el nmero mnimo y la conformacin de caracteres para las contraseas. Tampoco se maneja la caducidad de las contraseas.

Existe un sistema de informacin para la gestin de la informacin acadmica y administrativa en la UE, el cual se sistematizan los procesos: Acadmicos: gestin de la informacin acadmica de los estudiantes. Acceso por parte de estudiantes y docentes. Administrativos: gestin de la informacin de los procesos administrativos. Acceso del personal administrativo y acadmico-administrativo de la UE.

Se puede acceder al sistema a travs de la red interna y desde Internet.

Anlisis de seguridad de la red

El Director del Departamento de Tecnologas y su equipo de trabajo, al enfrentarse a constantes fallos en la seguridad de la red, se dieron a la tarea de realizar una revisin interna del nivel de seguridad de la red, mediante la aplicacin de: Pruebas de Anlisis de trfico de red, Anlisis de puertos, Anlisis de vulnerabilidades, Pruebas de comportamiento de usuarios. El resultado de esta revisin, entre otras cosas se tiene:

Anlisis de trfico
Mediante ste se identific que los servicios web institucionales en su proceso de autenticacin, envan los datos de las contraseas en texto claro.

Anlisis de vulnerabilidades
Al realizar el anlisis se encontraron una serie de vulnerabilidades dentro de las cuales se encuentran: En el acceso a la plataforma de desarrollo, se encuentra que un usuario de desarrollo de una aplicacin particular en la Base de Datos (BD) puede consultar no solo la informacin de sus BD, si no que puede consultar los tables spaces de todas las BD de la institucin. Un ejemplo que se hizo, es que se puede acceder a las tablas de autenticacin de usuarios de cualquier servicio o aplicacin de la UE. Tambin se encontraron, entre otras, las siguientes vulnerabilidades: DNS permite El DNS enva informacin de las auriga realizar zonas a cualquiera que se lo Medio transferencias de solicite. zona Solucin: Permitir las transferencias de zona solo con el DNS secundario. Error de Buffer La versin que se est utilizando de Overflow en BIND BIND (Berkeley Internet Name Alto Draco 9. Domain) es vulnerable al ataque Buffer Overflow. Versin La versin de apache que se Alto Draco desactualizada de encuentra instalada presenta Apache errores, lo que puede causar que personas mal intencionadas ejecuten cdigos que causen problemas de denegacin de servicios a los usuarios de la red.

10595

11318 14748

Nivel de Vulnerabilidades encontradas

Listado de Vulnerabilidades

Anlisis de Puertos
Diagrama de Gantt Nmero de puerto Vs. nmero de veces abierto

Pruebas de comportamiento de usuarios

Se aplic una encuesta para determinar el comportamiento de los usuarios con respecto al uso de la informacin y los recursos informticos; para la aplicacin de la misma se defini un instrumento de acuerdo al rol de cada persona en la institucin. Con base en estas encuestas se pudo obtener: Resultados encuesta aplicada a estudiantes Uso de los servicios Web Institucionales
Prstamo de Equipos de video

Correo

Software Biblioteca

Software administrativo

Software acadmico

Soporte Tcnico

Otros

24%

0%

55%

0%

100%

0%

0%

Con qu frecuencia, cambia su(s) contrasea(s)?

Quincenal

Mensual

Bimestral

Nunca

Otro

5%

14%

22%

48%

11%

De cuntos caracteres alfanumricos (letras, caracteres especiales y nmeros) est compuesta su contrasea?

Cuatro

Seis

Ocho

Ms de ocho

2%

80%

8%

10%

Usted utiliza la red inalmbrica para?

Descargar

Investigar

Chatear

Jugar en Lnea

Otro

27%

49%

39%

14%

0%

Qu tipo de informacin almacena en los computadores que son de uso pblico en la universidad?

Informacin personal

Trabajos

Otra

50%

50%

0%

Almacena informacin en los computadores que son de uso pblico en la universidad?

SI 16%

NO 84%

Usa el servicio de Internet inalmbrico?

SI 46%

NO 54%

Para acceder a cada uno de estos servicios/aplicativos usted debe ingresar un usuario y una contrasea por servicio/aplicativo. Especifique la forma como usted ingresa a cada uno de ellos.
a. b. c.

a.

b.

c.

d.

10%

30%

10%

50%

Un usuario y una contrasea igual para todos los servicios Con usuarios y contraseas diferentes para cada servicio Un usuario para todos los servicios pero con contrasea diferente

d. Con usuario diferente pero igual contrasea para todos los servicios

Resultados encuesta aplicada a la parte administrativa y acadmica Uso de los servicios Web Institucionales Prstamo de equipos Software Correo de video Biblioteca 94% 60% 50% Software Financiero 28% Software acadmico 62% Soporte Tcnico 65%

Otros 21%

Qu tipo de documentos son dejados sobre el escritorio?

Datos Personales 10%

Info.de su dependencia 18%

Info. de la Institucin 60%

Datos de otras Personas 2%

Otra 10%

Tiene su contrasea escrita en:

Agenda 13%

Post-it 2%

Ninguna 83%

Otros 2%

Con qu frecuencia, cambia su(s) contrasea(s)?

Quincenal 8%

Mensual 33%

Bimestral 33%

Nunca 13%

Otro 13%

A quin llama cuando ocurre un problema con su equipo?

Dpto. de Tecnologa 72%

Compaeros de Trabajo 14%

Jefe Inmediato 6%

Otros 7%

Est su equipo de trabajo (porttil o el de la sala de profesores) protegido por algn tipo de autenticacin?

Contrasea BIOS 6%

Contrasea de sesin 34%

Ninguna 61%

Contrasea Sesin y BIOS 1%

Cierra sesin Cuando se levanta de su sitio de trabajo porque necesita ausentarse usted: 41%

Activa el protector de pantalla 8%

Activa el protector de pantalla suspende el PC 7%

Apaga el PC 20%

Otra 25%

Qu tipo de informacin almacena en su computador personal (porttil)?

Relativa a sus Funciones Personal 6% 34%

Personal y de la Institucin 61%

Otra 1%

En su sitio de trabajo se dispone de un lugar seguro donde se guarden los documentos impresos?

SI 66%

NO 34%

Usted deja algunos documentos sobre el escritorio? Utiliza como papel reciclaje documentos que hayan sido impresos con informacin personal, informes, proyectos, entre otros?

SI 72%

NO 28%

SI 64%

NO 36%

Se realiza una inspeccin de los documentos que se van a reutilizar?

SI 44%

NO 66%

Comparte archivos o carpetas en su computador para que sean vistos por otros usuarios de la red?

SI 26%

NO 74%

Utiliza su computador personal (Porttil) como el equipo de trabajo en la institucin?

SI 40%

NO 60%

Para acceder a cada uno de estos servicios/aplicativos usted debe ingresar un usuario y una contrasea por servicio/aplicativo. Especifique la forma como usted ingresa a cada uno de ellos.
a. b. c.

a.

b.

c.

d.

32%

48%

23%

2%

Un usuario y una contrasea igual para todos los servicios Con usuarios y contraseas diferentes para cada servicio Un usuario para todos los servicios pero con contrasea diferente

d. Con usuario diferente pero igual contrasea para todos los servicios

Anlisis de Riesgos
Costos de Activos Para calcular el valor real de los activos es importante tener en cuenta tanto su valor comercial como el valor del activo para el negocio, es decir, se debe pensar en todos los factores en los que afectara a la organizacin si el activo no estuviera disponible, todo esto sin llegar a sobrevalorar los activos. Listado de Amenazas Cdigo Amenaza Cdigo Amenaza Falta de Administracin de Incidentes Errores de configuracin (Administradores) Falta Mantenimiento General Falta de Documentacin de los procesos de Administracin de dispositivos y del sistema Falta de actualizaciones (Sistema Operativo, Antivirus, Gestor de B.D)

A1

Replicacin de Malware

A14

A2 A3

Fugas de Informacin Alteracin de la Informacin

A15 A16

A4

Destruccin de la Informacin

A17

A5

Divulgacin de la informacin Vulnerabilidad de Sw. (Servicios y Aplicaciones) Sw desactualizado (Servicios y Aplicaciones) Acceso no Autorizado Intercepcin de Trfico e Informacin DoS Falta Backup de Informacin Falta Backup de Configuracin de Dispositivos Falta de Administracin de Logs

A18

A6

A19

Dao fsico de dispositivos Falta de Aplicacin de Buenas Prcticas en el desarrollo in House Falta de Personal disponible

A7 A8

A20 A21

A9 A10 A11

A22 A23 A24

Renuncia del Personal Cada del canal WAN Cada del canal Internet Personal

A12 A13

A25 A26

Cada del canal Internet Estudiantes Cada de la red LAN

Listado de salvaguardas Cdigo

Salvaguarda Cifrado Copias de Respaldo Controles de Acceso Registro de Actuaciones Deteccin de Intrusos (Monitorizacin) Hardening de Dispositivos y Aplicaciones Gestin y administracin de claves Definicin de Roles de Seguridad Administracin de Continuidad del Negocio Auditora Interna Antivirus Actualizado Anlisis de Requerimientos Desarrollo bajo metodologas de calidad CMMI Actualizacin de Versiones Aplicacin de Pruebas de Funcionamiento Mantenimiento de Equipos Definicin exacta de Funciones Definicin de Polticas de Seguridad Topologas Redundantes Documentacin de los Procesos Administrativos y de Configuraciones IDS/IPS PKI ISDN Canal de Contingencia VPN

S1 S2 S3 S4 S5 S6 S7 S8 S9 S10 S11 S12 S13 S14 S15 S16 S17 S18 S19 S20 S21 S22 S23 S24 S25

Directrices de Seguridad Informtica

Se ha definido que como mnimo en las directrices se debe contemplar la siguiente ya definida por el Departamento de Tecnologas de la UE: ID Ttulo de la Directriz Cultura de Seguridad Informtica Dirigida a Comunidad Universitaria Involucrar a la comunidad universitaria en el mejoramiento de los esquemas de la Seguridad Informtica en la Institucin, mediante el cumplimento de reglas de comportamiento que faciliten el aseguramiento y proteccin de los recursos y servicios informticos.

Objetivo

Normas Los usuarios deben firmar clusulas de cumplimiento de las Polticas de Seguridad en los contratos laborales y acadmicos. El Departamento de Tecnologas debe realizar actividades de concienciacin y capacitacin a los usuarios respecto a la importancia y la forma de proteger la informacin manejada al interior de la Institucin. El Departamento de Desarrollo del Personal debe reportar al Departamento de Tecnologas de la renuncia o despido de empleados, con el fin de retirar los permisos de acceso a los servicios. El manejo de la informacin en medio impreso es responsabilidad de cada dependencia, se debe tener en cuenta que: o Debe estar almacenada en un lugar seguro. o El manejo de la correspondencia debe guiarse bajo las tcnicas de oficina vigentes. o La informacin deber resguardarse en lugares de difcil acceso a terceros y protegidos de condiciones ambientales que puedan afectarle. o Por ningn motivo se debe dejar documentacin e informacin relevante sobre los escritorios cuando la persona a cargo se ausente del sitio de trabajo. Todos los integrantes de la Institucin deben propender por el cumplimiento de las directrices establecidas. Departamento de Tecnologas y Seguridad de la Informacin Desarrollada por Revisada por Rige a partir de Su fecha de publicacin

TRABAJO A DESARROLLAR EN EQUIPO

En equipos de trabajo se debe revisar el estudio de caso, de tal manera que se logre proponer lo siguiente: 1) Definicin de dos directrices de seguridad que debe tener la Institucin en particular con respecto al Activo indicado. 2) Detallar las normas que se generan para esas directrices.