Professional Documents
Culture Documents
UNIVERSIDAD ANDINA DEL CUSCO FACULTAD DE INGENIERA CARRERA PROFESIONAL DE INGENIERA DE SISTEMAS
IMPLEMENTACIN DE CONTROLES DE LA NORMA TCNICA PERUANA NTP-ISO/IEC 17799: 2007 CLAUSULA 10 GESTIN DE COMUNICACINES Y OPERACIONES
Integrantes: Marco Antonio Mendoza Huillca Edgar Saloma Luis Gustavo Choque Yupanqui Docente: Ing. Emilio Palomino Olivera
INTRODUCCIN
La Norma Tcnica Peruana NTP-ISO/IEC 17799: 2007 EDI. Tecnologa de la informacin. Cdigo de buenas prcticas para la gestin de la seguridad de la informacin , fue elaborada por el Comit Tcnico de Normalizacin de Codificacin en Intercambio de Datos (EDI) junto a otras instituciones que participaron en la elaboracin; para la Comisin de Reglamentos Tcnicos y Comerciales de INDECOPI en Enero del 2007, teniendo como antecedente la norma ISO/IEC 17799: 2005, el cual es un estndar internacional para la seguridad de la informacin. Dicha norma es de uso obligatorio para las instituciones del Estado y es recomendable y opcional para las instituciones privadas. En resumen esta norma es una gua para la implementacin de controles de seguridad de la informacin en las organizaciones, esto para una consecuente identificacin, evaluacin y tratamiento de los riesgos de seguridad de la informacin que puedan existir. Ya que se trata a la informacin, en sus diversas formas, como un activo importante que debido a diversos factores est expuesta a amenazas y vulnerabilidades, y por ello se debe salvaguardar su seguridad para asegurar la continuidad del negocio, minimizar los daos a la organizacin, mantener su competitividad, entre otros beneficios. Para conseguir dicha seguridad la norma sugiere la implantacin de un conjunto adecuado de controles, que si bien es cierto en esta norma es tomada de forma general, estos controles pueden ser ms especficos en cada organizacin. Estos controles pueden ser polticas, prcticas, estructuras organizativas y funciones de hardware o software. La estructura de este estndar consta de 11 clusulas de control de seguridad y un total de 39 categoras principales, nuestro equipo de trabajo tom como punto de trabajo la clusula que trata sobre Gestin de Comunicaciones y Operaciones. La Gestin de Comunicaciones y Operaciones asegura la operacin correcta y segura de los recursos de tratamiento de la informacin manteniendo su integridad y disponibilidad; protege la integridad del hardware, software, informacin, e infraestructura de apoyo, evita interrupciones de actividades. Llevar controles sobre este apartado es importante porque permite organizar de manera ptima las actividades y tareas que se llevan a cabo indicando los procedimientos, documentos de referencia, dependencias, personal interviniente, supervisiones, tiempos de duracin, frecuencia, recursos de software y de hardware.
CAPITULO I
AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS 1. IDENTIFICACIN DEL PROBLEMA 1.1. Descripcin del problema
Las instituciones pblicas en el transcurso del tiempo siguen sin contar con los controles adecuados para la Gestin de la Seguridad de la Informacin, por lo general se debe implementar varios controles de respaldo con la finalidad de responder adecuadamente a las normas que se exige ya que en muchos casos hacen caso omiso a las normas o simplemente desconocen de ellas. Las organizaciones y sus sistemas de informacin se enfrentan, cada vez ms, con riesgos e inseguridades procedentes de una amplia variedad de fuentes, incluyendo fraudes basados en informtica, espionaje, sabotaje, vandalismo, incendios o inundaciones. Ciertas fuentes de daos como virus informticos y ataques de intrusin o de negacin de servicios se estn volviendo cada vez ms comunes, ambiciosos y sofisticados.
Las entidades pblicas en la actualidad, presentan diferentes tipos de problemas, como se pueden describir de la siguiente manera: La mayora de los usuarios, desconocen los procedimientos correctos para realizar sus actividades como por ejemplo, el uso correcto de los equipos de cmputo, como realizar backups, utilizar el correo electrnico, etc. Las diferentes reas de las instituciones pblicas, realizan cambios y modificaciones indebidas y sin contar con la autorizacin respetiva. Cada personal de las diferentes reas no cumplen con sus tareas y responsabilidades, ya que en varias oportunidades no cumplen con sus metas, lo cual conlleva a realizar una atencin al pblico de forma lenta e inadecuada por lo que existen quejas de diferentes clientes, y las reas responsables a su cargo, tampoco cumplen con sus objetivos, lo cual genera problemas internos en la organizacin. Existen diferentes trabajadores, que contratan a personal tercero para el mantenimiento e implementacin de sistemas; pero muchos de estos terceros no son autorizados para realizar estos servicios, por lo que generan fallas en el funcionamiento del sistema. Los trabajadores tambin realizan modificaciones o actualizacin de los sistemas operativos sin la debida aceptacin o aprobacin. Los diferentes trabajadores que laboran en las diferentes instituciones pblicas, no realizan copias de seguridad de toda su informacin que realizan al da.
1.4. Alcances
Con esta clusula 10 de la norma NTP-ISO-IEC-17799-2007 contara con las siguientes caractersticas: 1. Procedimientos y responsabilidades de operacin 2. Gestin de servicios externos 3. Planificacin y aceptacin del sistema 4. Proteccin contra software malicioso 5. Gestin de respaldo y recuperacin 6. Gestin de seguridad en redes 7. Utilizacin de los medios de informacin 8. Intercambio de informacin 9. Servicios de correo electrnico 10. Monitoreo
1.5. Metas
Diagrama de actividades. Diagrama de procesos. Formatos auditables. Automatizacin de los formatos auditables.
1.6. Limitaciones En el desarrollo del presente Proyecto, no se utiliz ningn tipo de bibliografa, de tal manera que no existe ningn tipo de gua para el desarrollo de este Proyecto, por lo que todo el desarrollo es creacin propia de nuestros conocimientos y esfuerzo.
1.7. Justificacin Este Proyecto se pretende gestionar la comunicacin y operaciones que exista dentro una empresa y as mejorar la seguridad de la informacin y agilizar el proceso de registros, facilitando y mejorando con la atencin a beneficio de los clientes Con este proyecto se pretende mejorar y repotenciar la gestin de comunicaciones y operaciones, lo que conlleva a realizar controles adecuados. Las necesidades de establecer controles para las responsabilidades y procedimientos para la gestin y operaciones de todos los recursos de tratamiento de formacin. Verificar que los contratistas terceros, cumplan con todos los requerimientos establecidos y acordados. Establecer procedimientos rutinarios para realizar las copias de seguridad. Establecer un monitoreo a los sistemas y los eventos de seguridad de informacin deben ser grabadas.
1.8. Metodologa
Tipo de investigacin: Descriptiva y explicativa.
CAPITULO II
Procesos del Negocio
AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS 2. Identificacin de Controles La clusula N 10 de la NTP 12207 Tecnologa de la Informacin. Cdigo de buenas prcticas para la gestin de la seguridad de la informacin, realizara los siguientes controles: 1. Procedimientos y responsabilidades de operacin 2. Gestin de servicios externos 3. Planificacin y aceptacin del sistema 4. Proteccin contra software malicioso 5. Gestin de respaldo y recuperacin 6. Gestin de seguridad en redes 7. Utilizacin de los medios de informacin 8. Intercambio de informacin 9. Servicios de correo electrnico 10. Monitoreo
OBJETIVO: Asegurar la operacin correcta y segura de los recursos de tratamiento de informacin. 10.1.1. DOCUMENTACIN DE PROCEDIMIENTOS OPERATIVOS
Control Se deberan documentar y mantener los procedimientos de operacin y ponerlos a disposicin de todos los usuarios que lo requieran. Gua de implementacin Se debe preparar los procedimientos documentados para actividades del sistema asociados con el procesamiento de informacin y los recursos de comunicacin, como los procedimientos de prendido y apagado de la computadora, backups, mantenimiento de equipos, manipulacin de medios, ambientes de cmputo y manipulacin de correos, y seguridad.
Dichos procedimientos deberan especificar las instrucciones necesarias para la ejecucin detallada de cada tarea, incluyendo:
a) b)
c) Los requisitos de planificacin, incluyendo las interdependencias con otros sistemas, con los tiempos de comienzo ms temprano y final ms tardo posibles de cada tarea. d) Las instrucciones para manejar errores u otras condiciones excepcionales que puedan ocurrir durante la tarea de ejecucin, incluyendo restricciones en el uso de servicios del sistema. e) Los contactos de apoyo en caso de dificultades inesperadas operacionales o tcnicas. f) Las instrucciones especiales de utilizacin de resultados, como el uso de papel especial o la gestin de resultados confidenciales, incluyendo procedimientos de destruccin segura de resultados producidos como consecuencia de tareas fallidas. g) El reinicio del sistema y los procedimientos de recuperacin a utilizar en caso de fallo del sistema.
h)
Se deberan preparar procedimientos documentados para las actividades de administracin del sistema y cualquier cambio que se deba realizar debe ser autorizado por la gerencia. Donde sea tcnicamente viable, los sistemas de informacin deben ser gestionados consistentemente usando los mismos procedimientos, herramientas y recursos.
FICHA AUDITABLE
Control
Usuario
FIRMA
Control Se deberan controlar los cambios en los sistemas y recursos de tratamiento de informacin. Gua de Implementacin Los sistemas operacionales y el software de aplicacin deben ser sujetos a un estricto control de la gestin de cambios.
En particular se deberan considerar los siguientes controles y medidas. a) b) c) d) e) la identificacin y registro de cambios significativos. planeamiento y prueba de los cambios. la evaluacin de los posibles impactos, incluyendo impactos de seguridad, de dichos cambios. un procedimiento formal de aprobacin de los cambios propuestos. la comunicacin de los detalles de cambio a todas las personas que corresponda.
f) procedimientos que identifiquen las responsabilidades de abortar y recobrarse de los cambios sin xito y de acontecimientos imprevistos.
Se deberan implantar responsabilidades y procedimientos formales de gestin para asegurar un control satisfactorio de todos los cambios en los equipos, el software o los procedimientos. Cuando se cambien los programas se debera conservar un registro de auditoria conteniendo toda la informacin importante.
Otra informacin El control inadecuado de los cambios a los sistemas y recursos de procesamiento de informacin es una causa comn de fallas del sistema o de seguridad. Cambios en el ambiente operacional, especialmente cuando se transfiere un sistema de la etapa de desarrollo a la de operacin, pueden impactar en la fidelidad de las aplicaciones (vase el inciso 12.5.1). Los cambios a los sistemas operacionales deben realizarse solamente cuando existe una razn de negocio valida, como un incremento en el riesgo al sistema. Actualizando los sistemas con la ultima versin de los sistemas operativos o aplicaciones, no siempre se encuentra en los intereses del negocio adems de que puede introducir mayores vulnerabilidades e inestabilidad que la versin
AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS actual. Tambin se puede necesitar de un entrenamiento adicional, costos de licencias, apoyo, mantenimiento y administracin, y un nuevo hardware especialmente durante la migracin.
Finalidad
Posibles impactos Autorizacin Responsable del cambio Persona que autoriza Cargo/Puesto rea Observaciones
FIRMA
Se deberan segregar las tareas y las reas de responsabilidad con el fin de reducir las oportunidades de una modificacin no autorizada o no intencional, o el de un mal uso de los activos de la organizacin.
Gua de implementacin
La segregacin de tareas es un mtodo para reducir el riesgo de mal uso accidental o deliberado de un sistema. Se debe tener cuidado de que cualquier persona puede acceder, modificar o utilizar los activos sin autorizacin o sin ser detectado. La iniciacin de un evento debe estar separado de su autorizacin. La posibilidad de confabulacin debe ser considerada en el diseo de los controles.
Las organizaciones pequeas pueden considerar que este mtodo de control es difcil de lograr, pero el principio debera aplicarse en la medida en que sea posible y practicable. Cuando la segregacin sea difcil, se considerarn otros controles como la monitorizacin de las actividades, las pistas de auditoria y la supervisin de la gestin. Es importante que la auditoria de seguridad permanezca independiente
CONTROL
Personal
rea
Responsable
FIRMA
Control La separacin de los recursos para desarrollo, prueba y produccin es importante para reducir los riesgos de un acceso no autorizado o de cambios al sistema operacional.
Gua de Implementacin Se debera identificar e implementar controles adecuados para el nivel de separacin entre los entornos de desarrollo, prueba y produccin que es necesario para evitar problemas operacionales. Se debera considerar lo siguiente:
a)
las reglas de transferencia del software desde un estado de desarrollo al de produccin deben ser definidos y documentados. el software de desarrollo y el de produccin deberan, si es posible, funcionar en procesadores diferentes, o en dominios o directorios distintos. los compiladores, editores y otros servicios del sistema no deberan ser accesibles desde los sistemas de produccin, cuando no se necesiten. el entorno de prueba del sistema debe emular el entorno del sistema operacional lo ms cercano posible. los usuarios deben utilizar diferentes perfiles de usuario para los sistemas operacionales y de prueba; y los mens deben exhibir mensajes de identificacin apropiados con el fin de reducir el riesgo por error. los datos sensibles no deben ser copiados en el entorno del sistema de prueba. Otra Informacin Las actividades de desarrollo y prueba pueden causar serios problemas, por ejemplo, cambios no deseados en los archivos o en el entorno del sistema o fallos del sistema. En este caso es necesario mantener un entorno conocido y estable para poder realizar las pruebas significativas y evitar el acceso inapropiado del personal de desarrollo. Si el personal de desarrollo y el de prueba tuvieran acceso al sistema de produccin y a su informacin, podran introducir un cdigo no autorizado o no probado o alterar los datos operacionales. En algunos sistemas esta posibilidad podra utilizarse de forma indebida,
b)
c)
d)
e)
f)
AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS para cometer fraudes o para introducir un cdigo no probado o malicioso, lo que podra causar problemas operacionales serios.
Los encargados del desarrollo o de las pruebas tambin suponen una amenaza a la confidencialidad de la informacin de produccin. Las actividades de desarrollo y de prueba pueden causar cambios inesperados en el software y la informacin si comparten el mismo entorno de tratamiento. La segregacin de los recursos de desarrollo, prueba y produccin es conveniente para reducir el riesgo de cambios accidentales o del acceso no autorizado al software de produccin y a los datos de la organizacin.
Autorizado por
Firma
AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS Responsable de las pruebas Supervisor Para el rea Fecha de inicio Fecha de fin Prueba general Pruebas especificas
Usuario
Cdigo de identificacin
Observaciones
Resultados
Recomendaciones
AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS Responsable de la produccin Para el rea Responsable del rea Fecha inicio Fecha fin Deficiencias encontradas
Observaciones
Nombre de la organizacin Servicio que presta Contrato Fecha de inicio de contrato Supervisor Arreglos de seguridad Definicin de servicio
Nombre de Organizacin Servicio que Presta Documento de Contrato Fecha Inicio Contrato Monitoreo de Niveles de funcionamiento Responsable Responsable Fecha Caducidad Contrato Revisiones de servicios
AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS Supervisor fecha Acuerdo al que se le hace referencia: Cumple con los acuerdos?: REPORTES Supervisor Frecuencia de Revisiones
Observaciones:
Nombre de Organizacin Servicio Que Presta Documento de Contrato Fecha Inicio Contrato Fecha Caducidad Contrato Cambios realizados por la organizacin para implementar Actividad. Estado descripcin
AUDITORIA, SEGURIDAD Y CONTROL DE SISTEMAS Realces en servicio ofrecido. Aplicacin o sistema nuevo. Polticas y procedimientos. Organizacionales. Controles nuevos en seguridad. Cambios Servicios externos para implementar Actividad. Redes. Nuevos productos. Nuevas herramientas. Cambios de Locacin. Uso de Nuevas Tecnologas. Estado descripcin
10.3.
10.3.1. PLANIFICACION DE LA CAPACIDAD 10.3.2. ACEPTACION DEL SISTEMA 10.4. PROTECCION CONTRA SOFTWARE MALICIOSO
Verificacin de archivos
Usuario rea Dependencia Responsable del rea Fecha de inicio Fecha de final Anlisis de ejecucin del cdigo mvil Anlisis del uso y las recepciones del cdigo mvil Verificar las autentificaciones del cdigo mvil Verificacin de todo archivo adjunto Observaciones
FIRMA
10.5.
10.5.1. RECUPERACION DE LA INFORMACION Responsable del rea rea Fecha y hora Copiado a servidor 1 Copiado a servidor 2 Tipo de Seguridad Pruebas de recuperacin Resultado Usuario
FIRMA