Professional Documents
Culture Documents
La UE constantemente ha visto afectados sus recursos informticos debido a ataques de personas mal intencionadas. Preocupados por sta situacin, la UE ha decidido contratar a un grupo de ingenieros expertos en el rea de la seguridad de la informacin, para realizar el anlisis de riesgos que pueda conducir a conocer el estado actual de aseguramiento de la informacin y a generar estrategias claras para gestionar la seguridad de la informacin y a disear su arquitectura de seguridad informtica. A continuacin se detalla informacin importante de la institucin para tener en cuenta en el diseo de la solucin:
Informacin de la institucin
La UE tiene como misin la formacin integral de las personas, mediante la bsqueda de la verdad y la excelencia en los procesos de docencia, investigacin y extensin, promoviendo los valores en sus educandos para el bien de la sociedad. La UE tiene como visin ser una institucin de excelencia educativa, formando personas con gran capacidad de liderazgo empresarial, social, cientfico al servicio de la sociedad.
Caractersticas de la institucin
Los profesionales que laboran en la organizacin en general son responsables, puntuales y dispuestos a aceptar y seguir los nuevos retos organizacionales. Los Directivos, conformados por el Rector, Vicerrectores y Decanos, ven el tema de seguridad como un rea importante pero no se considera prioritario en los procesos del negocio. El nivel de comunicacin y apoyo entre las dependencias para el cumplimiento de los objetivos de la organizacin es alto. Debido a que es una institucin educativa se podr contar con el apoyo de las dependencias que se requieran para el proceso de sensibilizacin y educacin en el tema de seguridad de la informacin.
Adems de ello la sede principal de la EU est interconectada con su seccional ubicada en otra ciudad a travs de un canal WAN.
Como plan de contingencia en caso de fallas en el servicio de energa, la universidad cuenta con una planta que provee energa a todo el campus, adems de ello el cuarto de comunicaciones cuenta con UPS.
La red LAN presta servicios a: Estudiantes: Administrativos: Docentes: Directivos: 4.000 150 180 9 ______ Total: 4.339
La Institucin realiza copias de seguridad de la informacin relevante en DVD. Los proyectos de grado de los estudiantes son almacenados en CD de acuerdo a las caractersticas definidas en la UE. Se tiene un servidor de archivos donde se solicita a los usuarios que se conecten mensualmente a hacer la copia de seguridad de sus equipos de escritorio. Cada usuario es responsable de la copia de seguridad; el personal tcnico slo recuerda las fechas mximas de las mismas, pero no verifica s se realiza o no la copia.
Los servicios de red se encuentran configurados y distribuidos en los siguientes servidores: NOMBRE andromeda.ue CONFIGURACIN S.O: Linux Fedora Core 6 D.D: Uno de 120 GB RAM: 512MB S.O: Linux Fedora Core 5 D.D: Dos de 80 GB c/u RAM: 4GB SERVICIOS WEB MySQL FTP DNS HTTPD Mail Scaner Spam Imap HTTPD MySQL Postgres FTP HTTPD MySQL Postgres FTP DNS HTTPD Tomcat Posgres FTP
orion.ue
pegasus.ue
S.O: Linux Fedora Core 4 D.D: Uno de 40 GB RAM: 1GB S.O: Linux Fedora Core 5 D.D: Uno de 80 GB RAM: 1GB S.O: Linux Red Hat 9 D.D: Uno de 100 GB RAM: 512MB
lepus.ue
Draco.ue
Tucana.ue
Auriga.ue
Cetus.ue
DHCP WINS Consola Antivirus Admon. Lic. Matlab Servidor de Archivos DNS HTTPD DHCP FTP Proxy MRTG Monitorizacin Proxy Samba IpTables Firewall Nagios Monitorizacin
Aplicaciones Institucionales
La institucin cuenta con tres (3) aplicaciones web de desarrollo in-house que gestionan los requerimientos internos: requerimientos de soporte tcnico, requerimientos de servicios generales y prstamo de equipos audiovisuales. Estas aplicaciones son servicios para los empleados (acadmicos y administrativos), tambin cuenta con un sistema para la gestin tanto de la parte acadmica como administrativa. Estos aplicativos no cuentan con administracin de usuarios nica, esto quiere decir que cada aplicacin cuenta con una base de datos de usuarios. Consultando a los usuarios se encuentran los siguientes comportamientos para el manejo de sus usuarios y contraseas de autenticacin: Un usuario y contraseas diferentes para cada servicio Diferentes usuarios y diferentes contraseas para cada servicio Un usuario y una contrasea igual para cada servicio No se tienen polticas ni directrices claras sobre el nmero mnimo y la conformacin de caracteres para las contraseas. Tampoco se maneja la caducidad de las contraseas.
Existe un sistema de informacin para la gestin de la informacin acadmica y administrativa en la UE, el cual se sistematizan los procesos: Acadmicos: gestin de la informacin acadmica de los estudiantes. Acceso por parte de estudiantes y docentes. Administrativos: gestin de la informacin de los procesos administrativos. Acceso del personal administrativo y acadmico-administrativo de la UE.
El Director del Departamento de Tecnologas y su equipo de trabajo, al enfrentarse a constantes fallos en la seguridad de la red, se dieron a la tarea de realizar una revisin interna del nivel de seguridad de la red, mediante la aplicacin de: Pruebas de Anlisis de trfico de red, Anlisis de puertos, Anlisis de vulnerabilidades, Pruebas de comportamiento de usuarios. El resultado de esta revisin, entre otras cosas se tiene:
Anlisis de trfico
Mediante ste se identific que los servicios web institucionales en su proceso de autenticacin, envan los datos de las contraseas en texto claro.
Anlisis de vulnerabilidades
Al realizar el anlisis se encontraron una serie de vulnerabilidades dentro de las cuales se encuentran: En el acceso a la plataforma de desarrollo, se encuentra que un usuario de desarrollo de una aplicacin particular en la Base de Datos (BD) puede consultar no solo la informacin de sus BD, si no que puede consultar los tables spaces de todas las BD de la institucin. Un ejemplo que se hizo, es que se puede acceder a las tablas de autenticacin de usuarios de cualquier servicio o aplicacin de la UE. Tambin se encontraron, entre otras, las siguientes vulnerabilidades: DNS permite El DNS enva informacin de las auriga realizar zonas a cualquiera que se lo Medio transferencias de solicite. zona Solucin: Permitir las transferencias de zona solo con el DNS secundario. Error de Buffer La versin que se est utilizando de Overflow en BIND BIND (Berkeley Internet Name Alto Draco 9. Domain) es vulnerable al ataque Buffer Overflow. Versin La versin de apache que se Alto Draco desactualizada de encuentra instalada presenta Apache errores, lo que puede causar que personas mal intencionadas ejecuten cdigos que causen problemas de denegacin de servicios a los usuarios de la red.
10595
11318 14748
Listado de Vulnerabilidades
Anlisis de Puertos
Diagrama de Gantt Nmero de puerto Vs. nmero de veces abierto
Correo
Software Biblioteca
Software administrativo
Software acadmico
Soporte Tcnico
Otros
24%
0%
55%
0%
100%
0%
0%
Quincenal
Mensual
Bimestral
Nunca
Otro
5%
14%
22%
48%
11%
De cuntos caracteres alfanumricos (letras, caracteres especiales y nmeros) est compuesta su contrasea?
Cuatro
Seis
Ocho
Ms de ocho
2%
80%
8%
10%
Descargar
Investigar
Chatear
Jugar en Lnea
Otro
27%
49%
39%
14%
0%
Qu tipo de informacin almacena en los computadores que son de uso pblico en la universidad?
Informacin personal
Trabajos
Otra
50%
50%
0%
SI 16%
NO 84%
SI 46%
NO 54%
Para acceder a cada uno de estos servicios/aplicativos usted debe ingresar un usuario y una contrasea por servicio/aplicativo. Especifique la forma como usted ingresa a cada uno de ellos.
a. b. c.
a.
b.
c.
d.
10%
30%
10%
50%
Un usuario y una contrasea igual para todos los servicios Con usuarios y contraseas diferentes para cada servicio Un usuario para todos los servicios pero con contrasea diferente
d. Con usuario diferente pero igual contrasea para todos los servicios
Resultados encuesta aplicada a la parte administrativa y acadmica Uso de los servicios Web Institucionales Prstamo de equipos Software Correo de video Biblioteca 94% 60% 50% Software Financiero 28% Software acadmico 62% Soporte Tcnico 65%
Otros 21%
Otra 10%
Agenda 13%
Post-it 2%
Ninguna 83%
Otros 2%
Quincenal 8%
Mensual 33%
Bimestral 33%
Nunca 13%
Otro 13%
Jefe Inmediato 6%
Otros 7%
Est su equipo de trabajo (porttil o el de la sala de profesores) protegido por algn tipo de autenticacin?
Contrasea BIOS 6%
Ninguna 61%
Cierra sesin Cuando se levanta de su sitio de trabajo porque necesita ausentarse usted: 41%
Apaga el PC 20%
Otra 25%
Otra 1%
En su sitio de trabajo se dispone de un lugar seguro donde se guarden los documentos impresos?
SI 66%
NO 34%
Usted deja algunos documentos sobre el escritorio? Utiliza como papel reciclaje documentos que hayan sido impresos con informacin personal, informes, proyectos, entre otros?
SI 72%
NO 28%
SI 64%
NO 36%
SI 44%
NO 66%
Comparte archivos o carpetas en su computador para que sean vistos por otros usuarios de la red?
SI 26%
NO 74%
SI 40%
NO 60%
Para acceder a cada uno de estos servicios/aplicativos usted debe ingresar un usuario y una contrasea por servicio/aplicativo. Especifique la forma como usted ingresa a cada uno de ellos.
a. b. c.
a.
b.
c.
d.
32%
48%
23%
2%
Un usuario y una contrasea igual para todos los servicios Con usuarios y contraseas diferentes para cada servicio Un usuario para todos los servicios pero con contrasea diferente
d. Con usuario diferente pero igual contrasea para todos los servicios
Anlisis de Riesgos
Costos de Activos Para calcular el valor real de los activos es importante tener en cuenta tanto su valor comercial como el valor del activo para el negocio, es decir, se debe pensar en todos los factores en los que afectara a la organizacin si el activo no estuviera disponible, todo esto sin llegar a sobrevalorar los activos. Listado de Amenazas Cdigo Amenaza Cdigo Amenaza Falta de Administracin de Incidentes Errores de configuracin (Administradores) Falta Mantenimiento General Falta de Documentacin de los procesos de Administracin de dispositivos y del sistema Falta de actualizaciones (Sistema Operativo, Antivirus, Gestor de B.D)
A1
Replicacin de Malware
A14
A2 A3
A15 A16
A4
Destruccin de la Informacin
A17
A5
Divulgacin de la informacin Vulnerabilidad de Sw. (Servicios y Aplicaciones) Sw desactualizado (Servicios y Aplicaciones) Acceso no Autorizado Intercepcin de Trfico e Informacin DoS Falta Backup de Informacin Falta Backup de Configuracin de Dispositivos Falta de Administracin de Logs
A18
A6
A19
Dao fsico de dispositivos Falta de Aplicacin de Buenas Prcticas en el desarrollo in House Falta de Personal disponible
A7 A8
A20 A21
A9 A10 A11
Renuncia del Personal Cada del canal WAN Cada del canal Internet Personal
A12 A13
A25 A26
Salvaguarda Cifrado Copias de Respaldo Controles de Acceso Registro de Actuaciones Deteccin de Intrusos (Monitorizacin) Hardening de Dispositivos y Aplicaciones Gestin y administracin de claves Definicin de Roles de Seguridad Administracin de Continuidad del Negocio Auditora Interna Antivirus Actualizado Anlisis de Requerimientos Desarrollo bajo metodologas de calidad CMMI Actualizacin de Versiones Aplicacin de Pruebas de Funcionamiento Mantenimiento de Equipos Definicin exacta de Funciones Definicin de Polticas de Seguridad Topologas Redundantes Documentacin de los Procesos Administrativos y de Configuraciones IDS/IPS PKI ISDN Canal de Contingencia VPN
S1 S2 S3 S4 S5 S6 S7 S8 S9 S10 S11 S12 S13 S14 S15 S16 S17 S18 S19 S20 S21 S22 S23 S24 S25
Objetivo
Normas Los usuarios deben firmar clusulas de cumplimiento de las Polticas de Seguridad en los contratos laborales y acadmicos. El Departamento de Tecnologas debe realizar actividades de concienciacin y capacitacin a los usuarios respecto a la importancia y la forma de proteger la informacin manejada al interior de la Institucin. El Departamento de Desarrollo del Personal debe reportar al Departamento de Tecnologas de la renuncia o despido de empleados, con el fin de retirar los permisos de acceso a los servicios. El manejo de la informacin en medio impreso es responsabilidad de cada dependencia, se debe tener en cuenta que: o Debe estar almacenada en un lugar seguro. o El manejo de la correspondencia debe guiarse bajo las tcnicas de oficina vigentes. o La informacin deber resguardarse en lugares de difcil acceso a terceros y protegidos de condiciones ambientales que puedan afectarle. o Por ningn motivo se debe dejar documentacin e informacin relevante sobre los escritorios cuando la persona a cargo se ausente del sitio de trabajo. Todos los integrantes de la Institucin deben propender por el cumplimiento de las directrices establecidas. Departamento de Tecnologas y Seguridad de la Informacin Desarrollada por Revisada por Rige a partir de Su fecha de publicacin