UNIVERSIDAD DE BUENOS AIRES FACULTAD DE INGENIERÍA Ingeniería en informática

Tesis de grado:

“Metodología para Aseguramiento de el Entornos Informatizados” – MAEI.

Alumna: María Victoria Bisogno Padrón: 74.784 E-mail: vickybisogno@hotmail.com; vbisogno@fi.uba.ar Tutor: Prof. Lic. Sergio Villagra Co-tutores: Andrea Morales, Saverio Locane, y Héctor Dinamarca 12 de octubre de 2004

Metodología para el Aseguramiento de Entornos Informatizados. MAEI - María Victoria Bisogno.

I. ÍNDICE:
I. Índice:..................................................................................................... 1 II. Prefacio...................................................................................... 6 1. Propósito de la tesis..................................................................................6 2. Estado del Arte de la Seguridad Informática.................................................8 3. Motivación para la realización de este trabajo............................................. 10 4. Alcance de la tesis.................................................................................. 11 5. Organización del documento .................................................................... 12 III. Introducción. ............................................................................ 13 1.1 El estudio del entorno......................................................................... 13 1.2 La implantación de la solución. ............................................................ 13 2. Descripción de las fases. ......................................................................... 15 IV. Desarrollo de la metodología AEI ................................................. 23 1 Definición del Alcance................................................................................. 25 Contenido: ............................................................................................. 25 1.1 Análisis de Requerimientos de Usuario..................................................... 26 1.1.1 Documento de Requerimientos de Usuario .......................................... 26 1.1.2 Ejemplo - Requerimientos de Usuario................................................. 27 1.2 Elaboración del Alcance ......................................................................... 27 1.2.1 Alcance.......................................................................................... 28 1.2.2 Ejemplo - Alcance ........................................................................... 30 1.3 Aprobación del Alcance.......................................................................... 33 1.4 Estimación de tiempos y costos. ............................................................. 33 1.4.1 Costos capitales.............................................................................. 34 1.4.2 Costos recurrentes .......................................................................... 35 1.4.3 Costos No recurrentes...................................................................... 37 1.5 Elaboración del Plan de Trabajo .............................................................. 37 2 Relevamiento ............................................................................................ 40 Contenido: ............................................................................................. 40 2.1 Elaboración del Relevamiento General. .................................................... 41 2.1.1 Relevamiento General...................................................................... 43 2.2 Elaboración del Relevamiento de Usuario ................................................. 45 2.2.1 Relevamiento de Usuario.................................................................. 48 2.2.2 Asignación de puntaje...................................................................... 49 2.2.3 Aclaración sobre las preguntas.......................................................... 51 1. La metodología. ..................................................................................... 13

1

Metodología para el Aseguramiento de Entornos Informatizados. MAEI - María Victoria Bisogno.

2.2.4 Resultados de la evaluación.............................................................. 55 2.2.5 Evaluación del entorno..................................................................... 56 2.2.5.1 Referencias al puntaje obtenido en el test por nivel:.......................... 56 2.2.5.2 Configuraciones de resultados:....................................................... 56 2.3 Análisis de vulnerabilidades.................................................................... 57 2.3.1 Conocer al enemigo......................................................................... 57 2.3.2 Ejemplo – Atacantes........................................................................ 58 2.3.3 Las amenazas................................................................................. 59 2.3.4 Análisis de Vulnerabilidades.............................................................. 61 2.3.4.1 Aspectos funcionales..................................................................... 61 2.3.4.2 Análisis de la documentación.......................................................... 65 2.3.4.3 Análisis de las aplicaciones y equipos .............................................. 66 2.3.4.3.1 Intento de Penetración ............................................................... 69 2.3.4.3.2 Herramientas de análisis de vulnerabilidades ................................. 70 2.3.5 Mapa de Vulnerabilidades................................................................. 70 2.3.5.1 Vulnerabilidades a nivel físico......................................................... 71 2.3.5.2 Vulnerabilidades a nivel lógico........................................................ 75 2.3.5.3 Vulnerabilidades a nivel de la organización....................................... 82 2.4 Análisis de Riesgos ............................................................................... 83 2.4.1 Informe de Riesgos ......................................................................... 85 2.4.2 Ejemplo – Informe de Riesgos........................................................... 86 3 Planificación .............................................................................................. 89 Contenido: ............................................................................................. 89 3.1 Elaboración del Plan de Aseguramiento....................................................... 90 3.1.1 Protección física.............................................................................. 90 3.1.1.1 Protección de las Instalaciones ....................................................... 91 3.1.1.2 Protección de los equipos............................................................... 94 3.1.2 Protección lógica........................................................................... 100 3.1.2.1 Protección de la información ........................................................ 100 3.1.2.2 Protección del Sistema Operativo.................................................. 104 3.1.2.3 Protección de los datos................................................................ 115 3.1.3 Protección a nivel de la organización................................................ 122 3.2 Aprobación del Plan de Aseguramiento ..................................................... 130 4 Implantación........................................................................................... 132 Contenido: ........................................................................................... 132 4.1 Elaboración del Relevamiento de Activos................................................ 135 4.1.1 Inventario de Activos..................................................................... 135 2

......3............... 4...........................6......... 144 4..............3...............1 Implantación de una campaña de concientización ..........2 Determinación de los tipos de operación en una contingencia .. 159 4..........................1 Definición ........... 161 4.............1 Interiorización del experto con la política y negocio de la organización ....... Esquemas y Manuales de usuarios .............1...................2 Elaboración/adaptación de la Normativa de Seguridad.................................... 163 4.....2...3 Tabla de Criticidades por Servicios...............................................................3 Rotulación de activos....2..... 140 4...................................................... 150 4.................................................2 Clasificación de la Información...... 161 4.......6................6 Elaboración del Plan de Recuperación del Entorno ante Desastres (PRED) .......................1..3.......... 144 4..2 Tipos de información........... 157 4......3....1 Política de Seguridad.................4..........María Victoria Bisogno..2.........3........................4 Publicación de la Normativa de Seguridad ...................................Tabla de Criticidades por Equipo.......................3 Estándares...3.........2............... 160 4..2................2.3..... 145 4.2........3..2 Espectro de las Normas y los Procedimientos.....................4 Análisis de Criticidades..3......3..1 Definición ...........................................3..................................................2 Ejemplo ...................3 Aprobación de la Política de Seguridad ..2.......................1 Definición ........................5 Convenio de Confidencialidad.............1 Determinación del escenario considerado........................................................................4 Riesgos de la información. 165 4...................... 163 4............5 Implantación del Plan de Aseguramiento...........3..3 Beneficios de la clasificación de la información....... 157 4...........................4........2..................2...........2..2...3 Elaboración/ adaptación de la Normativa de Seguridad.......1 Implantación a nivel físico ......................1.........3 Establecimiento de criticidades.................................2 Normas y Procedimientos .....2.. 165 3 ......................3........... 142 4...........5.................................... 143 4................. 152 4......................2..........................5.3...........6...... 165 4......................................................3.............2................. 158 4.......2 Ejemplo – Inventario de Activos .... 140 4..........3..... 159 4...........3..........6...........1.............. 139 4................... 149 4...........................3................ 147 4... 160 4.........1..............5...................3 Ejemplo – Normas y Procedimientos......... 156 4........... 164 4.... 158 4.............................. 144 4.................................... 156 4...... MAEI .. 147 4..1 Identificación de la información..6.2........3 Implantación a nivel de la organización . 149 4....Metodología para el Aseguramiento de Entornos Informatizados....................1 Tabla de Criticidades por Equipo...... 142 4...........2.6... 156 4...... 149 4............2 Capacitación de los usuarios ..........................................2.......2 Ámbitos de aplicación y personal afectado....2 Implantación a nivel lógico .................................. 144 4..........4 Implantación y uso de la Normativa de Seguridad .....

........................................2 Descripción de la estrategia .......................3........ 191 4 .... 170 4........................................................................ MAEI ....8................................4 Esquemas técnicos .................1.. 4............ 169 4........ 184 6........... 183 6.......4....8.........................8......4............ 188 6............................6 Presentación de las distintas estrategias posibles de recuperación............................................. ..... 177 5.................. 167 4........................6....6................ 168 4..................... 168 4.................5.........1 Incidencias de seguridad.. 183 Contenido: .........................6...1 Control de incidencias.......6...........6..7 Selección de la estrategia de recuperación..........1 Probabilidad de ocurrencia de desastres......6.............1 Declaración de la emergencia ............................................................... 180 5.......5................................8.......2 Determinación de los niveles de desastre.................................. 184 6.................. 179 5..5...............4 Capacitación de usuarios.8.............. 185 6...4 Determinación de las prestaciones mínimas .................................6......................... 167 4........................María Victoria Bisogno..........................................................................8................................. 176 5 Estabilización................ ...........5 Formación del Equipo de Recuperación del Entorno ante Desastres (ERED) ........ 169 4..........................................5..............................1 Análisis de resultados.............6...... 172 4...... ............. 170 4......6................................2 Asignación de roles.................................6........................6........................................6...... 179 5...............6.............6. 175 4......................................1 Mitigación de riesgos – Medidas preventivas.........6 Establecimiento de los procedimientos.............. 171 4....3 Documentación..8 Elaboración de la estrategia de recuperación........ .........6..5 Tabla de Criticidades por Aplicaciones..... 177 Contenido: ................................6...6...6................ 169 4..................................6.......... 175 4. 168 4.......Tabla de Criticidades por Servicios.............. 188 6...3........................ 180 6 Mantenimiento...1 Manual de Procedimientos sobre Reporte de Incidencias..........................8.......3 Requerimientos para llevar a cabo el Plan .2 Recuperación de las prestaciones..................1.........1...................3 Cierre de la implantación........... 166 4............8....................................2 Notificación de incidencias....................Metodología para el Aseguramiento de Entornos Informatizados....Tabla de Criticidades por Aplicaciones.....6 Ejemplo .................4 Reporte de Incidencias.................. 168 4...........2 Ajuste.............5 Análisis de riesgos...................................................1 Roles y responsabilidades ........................... 174 4........... 175 4...............................................4 Ejemplo ...................................6.........6.....6... 171 4..........................................8.. 169 4......8....1 Técnicas para la capacitación de usuarios:..8.......................................6.......3 Reestablecimiento de las condiciones normales..............................6....1......................................1.......... 178 5...........3........................

....... 195 6..........2................................................. MAEI .................................................................... 197 6..... 222 Anexo II.................................. 226 IX..... Reseña introductoria...........Metodología para el Aseguramiento de Entornos Informatizados....... 210 6.........5 Ejemplo ................2 2 Diagrama de flujo........ 212 6........... 204 6..............2 Control de cambios...... VI..................... 192 6.................................... 192 6..........2.......2.............. 223 ISO/IEC estándar 17799 .............1.................5 Respuesta a incidencias ......2......................................................6...........1........... Estándares Internacionales..María Victoria Bisogno..................................... 205 6.......................6 Actualizaciones de Software.. VIII....................................1 Documento de Actualizaciones de Software............................. 6............................................................................................................... 213 V....................2........................................ VII.......2.....................1........7 Registro de incidencias......4 ABM Activos ..........1............................. 191 6...................1..AMB Activos....... Conclusión............................... 194 6................................................................... 219 Anexo I........................................................................................... 223 Cobit ...................................................................................................6 Recolección de incidencias............ 194 6................................3 Formulario de Control de cambios........................................................... Glosario de términos...10 Prevención de incidencias .....1.................1 Procedimiento de Control de Cambios ...... 224 MAGERIT. 211 6.......... 228 5 .............................................................. MAEI – Resumen de Fases y Tareas..................8 Investigación................ 214 Bibliografía................. Anexo III................... 194 6.9 Seguimiento de incidencias......

PREFACIO 1. [IRAM/ISO/IEC17799] también agrega “La seguridad de la información se logra implementando un conjunto adecuado de controles. por lo que es considerada de vital importancia. Confidencialidad: que la información sea accesible sólo a las personas autorizadas. imposible) por lo que se pasa a hablar de confiabilidad”.. Disponibilidad: que los usuarios autorizados tengan acceso a la información y a los recursos cuando los necesiten. estructuras organizacionales y funciones del software”.Metodología para el Aseguramiento de Entornos Informatizados. la preservación de tres características: Integridad: que se proteja la exactitud y totalidad de los datos y los métodos de procesamiento. “para el caso de sistemas informáticos. Aunque la seguridad es un concepto difícil de medir. II. daño o riesgo. minimizar el daño al negocio y maximizar el retorno sobre las inversiones y las oportunidades. en cierta manera. es muy difícil de conseguir (según la mayoría de los expertos.. y que es. infalible”. según la visión que se adquiere con la formación en la Universidad.María Victoria Bisogno. [Huerta2000] define la seguridad como “una característica de cualquier sistema (informático o no) que nos indica que ese sistema está libre de todo peligro. Para la realización de este trabajo se han estudiado diversas metodologías de seguridad citadas en el Anexo I. Propósito de la tesis La Seguridad Informática es una disciplina cuya importancia crece día a día. a fin de garantizar la continuidad comercial. MAEI . que abarca políticas. pero ninguna tiene un enfoque estructural similar al que un Ingeniero en Informática le da a los problemas. fundamentalmente.” En cualquier entorno informatizado es necesario estar protegido de las múltiples (y hasta desconocidas) amenazas. su influencia afecta directamente a todas las actividades de cualquier entorno informatizado en los que interviene el Ingeniero en Informática. 6 . garantizando. procedimientos. prácticas. que cubren distintos aspectos. [IRAM/ISO/IEC17799] sostiene que “la seguridad de la información protege a ésta de una amplia gama de amenazas.

etc. La motivación de este trabajo es la falta de una herramienta que les permita a los profesionales de Informática analizar e implementar técnicas de seguridad en entornos informatizados bajo la visión del Ingeniero. una completa documentación que avale y acompañe al proyecto y que sirva de referente a lo largo de la vida operativa del entorno. Al hablar de sistema “inseguro” se hace referencia a un sistema no confiable. además de una conciencia integral de la importancia de la seguridad en entornos informatizados y las implicancias de las falencias en este tema. y a su vez. teniendo en cuenta el objetivo y los procesos del negocio. Esta metodología estará compuesta por una serie de fases en las que se aplicarán procedimientos y se buscará el conocimiento de los procesos. la bibliografía relacionada ofrece soluciones puntuales para problemas específicos de seguridad. NOTA: De ahora en más se hará referencia al experto en seguridad.). pero no da una solución integral al problema. como “ES”. no auditado. Se pretende que esta metodología cree un cambio cultural en el ambiente donde se implementa (una empresa informatizada. y factible para convertir entornos informatizados inseguros en entornos protegidos. les facilite y les guíe en la tarea de dar informe de las vulnerabilidades presentes en el entorno en que trabajan y las posibles soluciones. sobre el que se desea evaluar su efectividad.Metodología para el Aseguramiento de Entornos Informatizados. al uso de los recursos y a la forma de trabajo. para luego implementarlas con éxito y así lograr una efectiva protección y documentación del entorno objetivo. es proveer a los Ingenieros en Informática y Licenciados en Análisis de Sistemas de una herramienta con modelos estructurados para que.María Victoria Bisogno. MAEI . 7 . de forma ordenada y efectiva. no controlado o mal administrado con respecto a la seguridad. un sector informatizado de un negocio. Este proyecto está destinado a aplicarse en entornos en los que nunca se han realizado controles de seguridad. o comprobar su completitud. como en los que están bajo un régimen de seguridad controlado. Además. entonces. y lograr una clara evaluación de los mismos. actor protagonista del proceso de aseguramiento aquí presentado. al aplicar políticas que afecten al personal. El principal objetivo. El propósito del presente proyecto es formalizar una metodología práctica.

en la mayor parte de los casos. Prácticamente toda la información vital para el negocio de una compañía comercial se encuentra informatizada. Es por eso que se pone énfasis en el crecimiento de soluciones para el problema de la Seguridad Informática. Descubrimiento de información. o problemas de Seguridad Informática nos referimos a: Acceso no autorizado a la información. Cada vez más los procesos comerciales se ven estrechamente ligados a procesos informáticos. en particular en los aspectos concernientes a la seguridad. se encuentra distribuida físicamente y viaja constantemente a través de medios públicos como redes de telefonía e Internet. MAEI . sino que. Modificación no autorizada de datos. por lo que el conocimiento en esta área ha crecido 8 . software base y dispositivos físicos. no sólo almacenada en dispositivos electrónicos. Etc. Hoy en día la amenaza más común en los ambientes informatizados se centra en la eliminación o disminución de la disponibilidad de los recursos y servicios que utiliza el usuario. La mayoría son inesperados. Denegación de servicios. es distinta la forma en que se tratan los datos. y maneja distintos tipos de información. El crecimiento de las telecomunicaciones y la estricta dependencia que existe entre el negocio de las empresas y la tecnología informática hace crítica la inversión en seguridad. por lo que las especificaciones de seguridad asociadas a cada uno varía notablemente dependiendo de la tecnología utilizada a nivel de plataforma. Cada entorno informatizado es diferente.María Victoria Bisogno. Básicamente. aunque en muchos casos se pueden prevenir.Metodología para el Aseguramiento de Entornos Informatizados. Cuando hablamos de incidentes de Seguridad. 2. y por ende. los problemas de Seguridad Informática son sucesos que no deseamos que ocurran. La funcionalidad y características técnicas de los componentes de los entornos varían notablemente según la marca. Estado del Arte de la Seguridad Informática. Invasión a la privacidad. Los componentes de los entornos informatizados son distintos.

Desafortunadamente. de resguardo de la confidencialidad y de protección de los activos utilizados a diario en el trabajo de cada individuo. Si esto sucede. desde el diseño para garantizar la evaluación de todos los factores funcionales (y no solamente los técnicos) a tener en cuenta para el uso seguro del entorno. de la correcta formación de la estructura de la organización. no es suficiente simplemente arreglar los errores o eliminar las fallas técnicas de seguridad. para el intercambio seguro de información. La responsabilidad sobre la seguridad de los datos y equipos ya no recae solamente en el personal técnico especializado encargado de resguardar los bienes y servicios brindados por el entorno. que se ha traducido en herramientas capaces de proporcionar soluciones rápidas y sencillas a problemas técnicos de seguridad. en el que el usuario juega un rol protagónico. sino que ha salido de los laboratorios y los centros de cómputo para instalarse en el escritorio del usuario. para garantizar el correcto funcionamiento del software. entonces. MAEI .Metodología para el Aseguramiento de Entornos Informatizados. y la disponibilidad de los mismos. al punto en que somos capaces de afirmar que es posible lograr una completa enumeración de las fallas de seguridad de los sistemas y los entornos en los que viven. El problema va mucho más allá. enormemente en los últimos años. Estas fallas de seguridad son las que se convierten en amenazas susceptibles de ser aprovechadas por usuarios malintencionados para causar daño o algún tipo de invasión a la confidencialidad. La Seguridad Informática es un problema cultural. en donde nacen los problemas de Seguridad. ya que durante años se han desarrollado y perfeccionado algoritmos matemáticos para la encripción de datos. sino que es el usuario el que debe velar por la seguridad de los bienes físicos y lógicos que maneja. de la adecuada distribución de tareas y contraposición de intereses en los roles de control y ejecución de tareas.María Victoria Bisogno. Para ello debe existir una conciencia de trabajo seguro. 9 . Luego de lograr eso se deben implantar medidas de índole técnica que garanticen el adecuado uso de los recursos y servicios solamente a los usuarios autorizados. Protegerse contra accesos no autorizados es el problema más sencillo a resolver. Pero lo importante es ver que la Seguridad Informática ya no es un problema de la gente especializada en sistemas. debe nacer en el diseño seguro de los sistemas. Por esta razón la seguridad Informática debe estar incorporada desde el principio de todo proceso. el objetivo inicial de la seguridad habrá sido logrado. La seguridad.

no solo de los problemas de la ingeniería. 10 .Metodología para el Aseguramiento de Entornos Informatizados. Durante los años transcurridos en la facultad. transformando. Inmediatamente me interesé en la misma y realicé los trámites correspondientes para lograr la autorización para cursarla y la aceptación de los créditos como materia optativa. Luego. el de los bancos. el de los laboratorios químicos. ya sea de conocimiento público o el privado al que pueda acceder. pero especialmente logró despertar mi interés personal. puliendo. agregando a esta línea de pensamiento la incursión en los procesos de negocio del cliente con que se trabaje. MAEI . el de entidades estatales. para crear una herramienta de trabajo que siga la línea de pensamiento del Ingeniero de la UBA. el tema me fue atrapando luego de cursar la materia “Introducción a los sistemas distribuidos” en la que se vieron técnicas de seguridad en el contexto del modelo TCP/IP. En esa oportunidad la seguridad informática fue presentada con seriedad. mi forma de pensar se fue modelando. formas de trabajo. como el de la industria petrolera. Motivación para la realización de este trabajo Este trabajo es la culminación de muchos años de estudio. Particularmente como alumna. incluido el de las soluciones informáticas.María Victoria Bisogno. Es por eso que en este trabajo pretendo traducir el conocimiento en seguridad informática disperso por el mundo en sus distintas formas. aunque de forma escueta. descubrí que los aspectos del negocio tienen una influencia crucial en la toma de decisiones en todos los aspectos. y conociendo su negocio. observando distintas realidades. 3. estudios y descubrimientos y a través de ellos me empapé de conocimientos en las distintas formas en que los presenta la ciencia. entre otros. al ingresar en el mundo laboral. teorías. para ofrecerle la mejor solución. aprendí que es fundamental tener en cuenta los procesos del negocio al evaluar los procesos informáticos. modelos. En el tiempo que llevo tratando clientes. Un tiempo después descubrí de la existencia de la asignatura “Criptografía y Seguridad Informática” dictada como materia optativa en la carrera Ingeniería Electrónica. de modo de lograr una visión distinta de la vida. el de las líneas aéreas. el de la industria del maíz. por lo que comencé a investigar sobre el tema. en los que incursioné en técnicas.

se indicará un orden para realizarlas. se servirá de documentación a desarrollar para completar informes y relevamientos.Metodología para el Aseguramiento de Entornos Informatizados. ya que son tareas puramente administrativas que no hacen al problema de aseguramiento del entorno informatizado. Vulnerabilidades conocidas en sistemas operativos y aplicaciones: No se enumerarán las vulnerabilidades conocidas en software base ni en aplicativos. lo que restaría escalabilidad y vigencia en el tiempo a la tesis. Luego continué investigando sobre el tema. Es por esto que decidí realizar este trabajo con la idea de que sirva de guía para los colegas en el trabajo de detectar fallas de seguridad y recomendar soluciones en el aspecto del entorno en que se esté trabajando. Cualquier profesional de esta carrera debería poseer un mínimo conocimiento sobre el tema que le permita profundizar en el aspecto que considere necesario. Se describirán las tareas y subtareas a realizar para obtener resultados específicos. Considero muy importante para la formación de los Ingenieros en Informática la educación en Seguridad Informática. que a fin de cuentas este es el trabajo del ingeniero: dar soluciones. 4.María Victoria Bisogno. pero noté que la información se encontraba dispersa y desordenada. lo cual dejó una marca importante en mi formación profesional ya desde mi condición de alumna. MAEI . Pude cursarla efectivamente y aprobarla en el segundo cuatrimestre del año 2002. sin embargo también noté que la bibliografía era en general muy específica. se dará un marco general para el desarrollo del proyecto de aseguramiento del entorno en estudio. Alcance de la tesis En esta tesis se desarrollará una metodología de trabajo. ni en la estimación de tiempos y costos del proyecto. pero no se entrará en detalle en los siguientes temas: Administración del proyecto: No se entrará en detalles en la formalización del Alcance. Implantación de las soluciones en plataformas tecnológicas específicas: 11 . ya que éstas cambian y se incrementan día a día.

5. está organizada en seis capítulos correspondientes a cada una de las fases de la metodología que aquí se presenta. Introducción IV.Metodología para el Aseguramiento de Entornos Informatizados. la parte IV. Mantenimiento. Estabilización. 4. Anexo II. MAEI – Resumen de Fases y Tareas Anexo III. Los capítulos son los siguientes: 1. Glosario de términos. Reseña introductoria. VII. Desarrollo de la Metodología AEI V.María Victoria Bisogno. Bibliografía Anexo I. Implantación. Organización del documento El trabajo ha sido desarrollado en seis partes: I. 6. Definición del Alcance. Relevamiento. independiente de la plataforma tecnológica. 2. Prefacio III. IX. Desarrollo de la Metodología AEI. 5. MAEI . Índice II. A su vez. VIII. Conclusión VI. 3. 12 . Planificación. No se entrará en detalle en configuraciones ni ejecución de procesos específicos para solucionar problemas de seguridad en sistemas operativos ni software aplicativo pues se pretende hacer una metodología portable. Estándares Internacionales.

III. para el intercambio con el usuario.María Victoria Bisogno. al manejo de la información y de los bienes. organismo o persona que presente su entorno informatizado con el fin de que el ES lo analice y lo asegure. el ES investiga. Observa cómo se manejan los empleados. El Relevamiento. 1. y como fuente para el desarrollo de la solución de la próxima etapa de la metodología. cuáles son las políticas implícitas en el entorno con respecto al trabajo. Este conocimiento implica la intervención del usuario. Cliente es toda entidad. a su vez. La metodología propuesta se compone de seis fases que agrupan etapas. INTRODUCCIÓN. empresa. desde un aspecto macroscópico se pueden generalizar en dos grandes grupos: el estudio del entorno y la implantación de la solución. documenta. qué tecnología posee. Investiga cómo se trabaja. 1. 1. Este segundo grupo de fases comprende: 13 . Aquí se fija como objetivo conocer al entorno informatizado donde se implementará la metodología.Metodología para el Aseguramiento de Entornos Informatizados. En este estudio. MAEI . La metodología. observa. cómo está formada la empresa. también aportará inquietudes y necesidades que ayudarán al ES a dar la solución más satisfactoria para el cliente. La Planificación. Estas fases. a fin de asegurarlo. En este primer grupo de fases se encuentran: La definición del Alcance. que aportará el conocimiento personal desde su perspectiva. cómo ésta es utilizada.1 El estudio del entorno. Documenta en un formato comprensible el conocimiento que él adquiere.2 La implantación de la solución.

En esta parte el ES ya conoce el entorno objetivo. durante toda la vida del ambiente. El Mantenimiento de la solución. aunque siempre queda latente una extensión de la misma que se ocupará del registro de incidencias. Vuelca la planificación a la práctica. por lo que se dedica a hallar la solución que mejor se adapte al mismo. de cambios en los bienes físicos y lógicos. el entorno objetivo se estabiliza determinando una adecuada capacitación de los usuarios.María Victoria Bisogno. La implantación se cierra. MAEI . Luego de la ejecución del Plan de Aseguramiento. a través de la implantación de las técnicas que se eligieron en la etapa anterior. y verificando los beneficios logrados como resultado. para guardar el entorno en condiciones confiables de seguridad.Metodología para el Aseguramiento de Entornos Informatizados. entre los que se considerarán las periódicas actualizaciones de software antivirus y otras técnicas a aplicarse con regularidad para mantener el nivel de seguridad a medida que el entorno cambia. La Implantación de la solución. La Estabilización del entorno. genera y desarrolla los modelos de análisis que forman parte del Plan de Aseguramiento y que le servirán de ahí en adelante. A continuación se exhibe un diagrama que muestra las fases: 14 .

Definición del Alcance En esta fase se determinan qué aspectos.2 Elaboración del Alcance Se confecciona un documento detallando objetivos claros y puntuales que se deberán cumplir en el proceso de aseguramiento. sectores.Metodología para el Aseguramiento de Entornos Informatizados.3 Aprobación del Alcance 15 . 1. sectores.María Victoria Bisogno. 1. áreas y recursos se van a proteger. Las siguientes son las fases de la metodología AEI. Se desarrolla en cinco subfases: 1. servicios y activos a proteger en función de los requerimientos que hace el usuario. con las principales etapas que las constituyen. Desarrollo de la metodología AEI.1 Análisis de requerimientos de usuario En esta etapa se realiza la negociación con el cliente sobre los niveles. Plan de aseguramient o aprobado? Sí No Planificación Implantación de la solución Implantación Relevamiento Estabilización Definición delAlcance Estudio del Entorn o Entorn o protegido Entorn o inseguro Mantenimiento 2. Descripción de las fases. Las mismas se desarrollarán en detalle en la parte IV de este trabajo. MAEI . 1.

asignación de recursos y fechas de presentación de los entregables.Metodología para el Aseguramiento de Entornos Informatizados. Comprende las siguientes etapas: 2. En esta etapa el cliente determina la aprobación o el rechazo del Alcance.1 Elaboración del Relevamiento General El ES realiza una inspección general sobre los aspectos de la organización. y el nivel de conciencia del usuario respecto a las potenciales amenazas existentes en su entorno.2 Elaboración del Relevamiento de Usuario Consiste en obtener información del usuario respecto de las costumbres y usos del sistema. 3. recursos recurrentes y no recurrentes.1 Elaboración del Plan de Aseguramiento 16 . de manera de continuar o no con el proyecto. el lógico y el de la organización. el ES confecciona el plan a seguir estimando períodos de trabajo.4 Estimación de tiempos y costos Parte destinada a la determinación aproximada de la duración del proyecto y de los costos asociados: recursos financieros. de su negocio y de los bienes. 1. o ver las modificaciones que él propone. 2. mediante la identificación de los elementos que lo componen. y con el objetivo bien claro. Relevamiento En esta etapa el ES comienza a familiarizarse con el entorno a proteger. 2.5 Elaboración del Plan de Trabajo Luego del análisis anterior. 1. recursos humanos. etc. 2. MAEI . 2. el manejo de la información. Planificación Esta fase comprende el análisis detallado de los puntos a proteger estudiando el entorno en distintos aspectos: el físico.3 Análisis de vulnerabilidades Determinación de las amenazas presentes en la organización respecto de la seguridad. el riesgo que implican y los potenciales nuevos riesgos a los que esté expuesto el entorno.María Victoria Bisogno. 3. Se elabora el Relevamiento de Usuario.4 Análisis de riesgos Se analiza el impacto y la probabilidad de ocurrencia de las vulnerabilidades detectadas en la etapa anterior.

que serán analizadas por el ES quien deberá exigir una justificación por todos los cambios solicitados. sus socios comerciales. los contratistas y los prestadores de servicios. de política.3 Elaboración/adaptación de la Normativa de Seguridad Esta etapa de la implantación consiste en el punto de partida del proceso de aseguramiento de un entorno. 4. según los objetivos planteados en el Alcance. u otras causas el responsable del proyecto por parte del cliente puede solicitar recortes o ampliaciones del Plan. Pretende establecer las pautas. reglamentarios y contractuales que deben cumplir todos los miembros de la organización. haciendo firmar los convenios de confidencialidad existentes y la confirmación de lectura y conocimiento de las Normas por parte de los usuarios. y la clasificación de la información en cuanto a su criticidad. En esta etapa se elabora el Inventario de Activos 4. 3. Vemos a continuación las etapas de esta fase: 4.2 Aprobación del Plan de Aseguramiento El Plan de Aseguramiento debe ser consensuado por el cliente para comenzar su implantación. Implantación En esta fase se llevará a cabo el Plan de Aseguramiento antes propuesto (y aprobado) y las etapas de ajuste político y organizativo que el ES considere necesarias .María Victoria Bisogno.1 Elaboración del Relevamiento de Activos Es una enumeración detallada de los bienes físicos y lógicos de la empresa. El Plan de Aseguramiento es el documento que describe las medidas que se tomarán para asegurar el sistema.Metodología para el Aseguramiento de Entornos Informatizados. se debe dar a conocer el Manual de Seguridad de la organización. los requisitos legales. normativos. Por motivos de presupuesto.2 Clasificación de la Información A partir del análisis de criticidad de los activos. junto con una asignación de responsabilidades sobre cada activo. confidencialidad e integridad. y la valoración de su criticidad a nivel de la seguridad. y presentar los riesgos que estos generen en el entorno.4 Publicación de la Normativa de Seguridad Una vez elaborada. 4. Esto permitirá determinar las medidas necesarias de seguridad a fijar en el marco normativo de la empresa. 4. se procede a clasificar la información según su grado de criticidad en cuanto a la disponibilidad. 17 . MAEI .

4.Metodología para el Aseguramiento de Entornos Informatizados. según lo estudiado en la etapa 2. 5. provocados intencionalmente (sabotaje. Los desastres pueden ser naturales (inundaciones. destrucción accidental de información) o. seguramente ha sufrido numerosos cambios. y crear un plan de contingencia que garantice la continuidad del negocio y la recuperación del entorno informatizado en un tiempo adecuado. MAEI . placas de red quemadas). negación de servicio).1 Análisis de resultados En esta etapa se cotejan los resultados obtenidos con el Alcance planteado en la fase 1 de esta metodología y se evalúan los resultados obtenidos: los objetivos logrados y los puntos postergados o descartados con su respectiva justificación. 18 . fallas mecánicas o eléctricas inherentes a los equipos (rotura de discos.5 Implantación del Plan de Aseguramiento En esta etapa se implantarán todas las medidas planificadas especialmente para el entorno objetivo. Se hace una observación y evaluación de la implantación en las siguientes etapas: 5. identificar los equipos y aplicaciones críticas para el funcionamiento del negocio. y el riesgo al que están expuestos. hurto. en cada nivel analizado: físico. Estabilización En este período se pretende estabilizar el entorno ya que a esta altura del proyecto. 4.2 Ajuste Esta subfase de estabilización está dedicada a realizar ajustes sobre el Plan de Aseguramiento según los resultados obtenidos y analizados en la etapa anterior de esta misma fase y los inconvenientes o nuevos requerimientos que pudieran surgir en la etapa de implantación.2 de la fase de Alcance. por error humano (incendios.María Victoria Bisogno. 5. caídas de rayos. su probabilidad de ocurrencia. En todos los casos habrá que prever cierto número de accidentes. Para la elaboración de este plan se deberá tener en cuenta la criticidad de las aplicaciones y de los equipos. tormentas eléctricas).6 Elaboración del Plan de Recuperación del Entorno ante Desastres El Plan de Recuperación del Entorno ante Desastres consiste en un plan para garantizar la continuidad del negocio cuando ocurran eventuales catástrofes de distinta índole. lógico y de la organización.

Fallas en procesos.1 Control de incidencias Esta fase se ocupa de analizar y documentar las incidencias ocurridas del uso diario de los recursos. los nuevos procesos y formas de proceder ante incidencias. Los puntos de control que necesiten cambios. 6. El Registro de Incidencias es un documento destinado para tal fin. Etc.3 Cierre de la implantación El cierre de la implantación se realiza cuando se concluyeron los últimos controles que constituyen el Plan de Aseguramiento y concluidas las etapas de concientización y capacitación de usuarios de la fase 4 de esta metodología. Averío de documentación. según lo especificado en la Normativa de seguridad. delimitando nuevamente su Alcance. Detección de virus malignos. Durante la vida del entorno ocurrirán incidencias y cambios que deberán ser analizados y documentados.4 Capacitación de usuarios Se les explica a los usuarios los cambios efectuados. que podrá reducirse a aplicar solamente los cambios surgidos en esta etapa para lograr un completo aseguramiento del entorno. así como también se deberán llevar a cabo controles periódicos y aplicar las correspondientes actualizaciones para mantener un nivel confiable de seguridad en el entorno. Anomalías en productos de software. y asentado en el Registro de Incidencias por el responsable a cargo. 5. Pérdida de bienes. deberá ser reportado a quien corresponda. Mantenimiento Esta fase comienza posteriormente a la implantación del Plan de Aseguramiento. mediante un Reporte de Incidencias.Metodología para el Aseguramiento de Entornos Informatizados. luego de la estabilización del entorno y se mantiene durante toda su vida. MAEI . y la manera en que deben administrar la seguridad para mantener el entorno protegido. Ruptura de elementos de hardware. 19 . 5. Todo incidente. mejoras o los que surjan durante el proyecto se tomarán en cuenta para completar y adaptar el Plan de aseguramiento para una segunda implementación. incluso los no especificados en este trabajo. tales como: Mal funcionamiento de elementos de hardware. en las siguientes subfases: 6.María Victoria Bisogno.

4. El ES establecerá los períodos con que se realizan los controles establecidos en el plan de aseguramiento.4.” 6. la revisión periódica del archivo de los registros de log del sistema.2 Costos recurrentes 1. Aprobación del Alcance cliente 1. debilidades o anomalías en materia de seguridad) que podrían producir un impacto en la seguridad de los activos de la organización.2 Elaboración del Relevamiento de Usuario Relevamiento de Usuario ACTOR ES.2 Control de cambios Durante la vida del sistema se producirán cambios en el aspecto lógico como físico. cliente Documento de Requerimientos de ES ES. Se debe concientizar a todos los empleados y contratistas acerca de los procedimientos de comunicación de los diferentes tipos de incidencias (violaciones.2 Elaboración del Alcance Alcance 1. Se deberá documentar cada Alta. que deberán ser detalladamente registrados.3. Esta etapa incluye la periódica actualización de software antivirus y de detección de intrusos. [IRAM/ISO/IEC17799] hace referencia a este importante punto: “Los incidencias que afectan la seguridad deben ser comunicados mediante canales gerenciales adecuados tan pronto como sea posible.4 Estimación de tiempos y costos ES 1.Metodología para el Aseguramiento de Entornos Informatizados.5 Elaboración del Plan de Trabajo Plan de Trabajo 2 Relevamiento 2.1 Análisis de requerimientos de usuario Usuario 1.4. etc. y que está directamente relacionado con el Inventario de Activos. A continuación se muestra una tabla con las fases y etapas de esta metodología y la documentación propuesta para su implantación: FASE / ETAPA ENTREGABLE 1 Definición del Alcance 1. según él lo crea conveniente para el caso en estudio.1 Costos capitales 1. cliente ES.María Victoria Bisogno. amenazas. MAEI . el mantenimiento de las demás herramientas de las que se hace uso durante la implantación.1 Elaboración del Relevamiento General Relevamiento General 2.3 Costos no recurrentes 1. Baja o Modificación de activos en un archivo específico que llamaremos ABM Activos. usuarios ES 20 .

3 Análisis de vulnerabilidades Mapa de Vulnerabilidades 2. Inventario de backups. Registros y archivos de Log 3. Mapa de Software.1 Inventario de activos Inventario de Activos Lógicos 4.2 Clasificación ES la información de 4. 21 . 4.1 Protección de las Aseguramiento Plan de instalaciones 3.1.1. Mapa de Usuarios. documentación del 4.1.1. Inventario de Backups.2.1.3.4 Publicación de la Normativa Seguridad 4. FASE / ETAPA ENTREGABLE 2. Documentación. Mapa de Plan de Aseguramiento.1.1.1. Organigrama.5 Implantación del Plan de Aseguramiento 4.1 Elaboración Plan de de Aseguramiento del Plan Aseguramiento 3.4.1.1 Elaboración del Relevamiento de Activos Inventario de Activos.5. ABM Activos Inventario de ES 4.María Victoria Bisogno. ABM Activos ES 4.1.Metodología para el Aseguramiento de Entornos Informatizados. proceso comercial.1.2 Capacitación de usuarios Manual de Seguridad 4. Documento de Actualización de Software.2 Protección lógica ACTOR ES ES ES ES ES ES ES Plan de Aseguramiento. ABM Activos Inventario de ES 4.1 Implantación a nivel físico Activos. 3.2. Mapa de Activos Lógicos 3.2 Elaboración/adaptación de Manual de Seguridad Normativa de Seguridad la ES cliente ES ES ES ES Plan de Aseguramiento.4 Protección a nivelAseguramiento Plan de de la organización 3.3. Tabla de Permisos sobre 3.1 Interiorización del experto con la política y negocio de la organización etc. Presentaciones. MAEI .1 Implantación de una campaña de concientización Documentación.2.1.1 Protección física Elementos de Red 3. Tabla de Permisos sobre Activos Lógicos.3 Protección de los datos ES Plan de Aseguramiento. 4.2.3 Análisis deInventario de Activos criticidades 4. Documento de actualización de Inventario de Activos Físicos.2 Implantación a nivel lógicoActivos.5.1.4.1 Protección de la información Plan de Aseguramiento ES Plan de Aseguramiento.3.4 Análisis de riesgos Informe de Riesgos 3 Planificación ES 3. Presentaciones.3 Implantación a nivel de la de Comunicados.3 Elaboración/adaptación de la Normativa Manual de Seguridad de Seguridad 4.2 Protección de los Sistemas Operativos Usuarios.5.2 Aprobación del Plan de aseguramiento cliente 4 Implantación 4.2 Protección de los equipos Elementos de Red 3.2 Rotulación Inventario de Activos de activos 4.3 Aprobación de la Política de Seguridad 4.

Reportes de Incidencias. FASE / ETAPA ENTREGABLE organización 4. presentaciones.3 Cierre de la implantación Cierre de la Implantación Informe de ES 5. Registro de Formulario de Control de Cambios. Manuales. Documento de 22 .1 Control de incidencias Incidencias 6. Cursos. Procedimiento Declaración Recuperació de de las prestaciones. MAEI .Metodología para el Aseguramiento de Entornos Informatizados. cliente Manual de Seguridad. ABM Activos. Manual Procedimientos sobre Reporte de de Incidencias.6 Elaboración del Plan de Recuperación del Entorno ante Desastres ACTOR Tabla de Criticidades por Equipo. Folletos.4 Capacitación de usuarios ES ES Comunicados 6 Mantenimiento 6. Procedimiento de Reestablecimiento n de las Condiciones Normales 5 Estabilización 5. PRED.2 Control de cambios Actualizaciones de software ES.María Victoria Bisogno. Procedimiento de de la emergencia.1 Análisis de resultados de Implantación Informe 5. Tabla de Criticidades por Servicio.2 Ajuste 5. Tabla de Criticidades por Aplicación. cliente ES.

Sin embargo. MAEI . Para finalizar esta primera parte del trabajo. 23 . Esto le permitirá al Experto determinar las mejores medidas a tomar para asegurar el entorno objetivo. Es en esta parte en que el ES delimita el entorno elaborando el Alcance. a través de las primeras tres fases de la MAEI se logra un estudio del entorno que le aporta el ES el conocimiento necesario para encarar la solución de los problemas de seguridad detectados. los empleados.Metodología para el Aseguramiento de Entornos Informatizados. se categorizar formando dos grandes grupos según el objetivo que persiguen: el estudio del entorno y la implantación de la solución. Esta Tesis se basa en estándares internacionales. como vimos en la introducción. Todas las tareas desarrolladas en esta etapa inicial conducen a la familiarización del Experto con el entorno y su conocimiento. IV. 5.María Victoria Bisogno. Definición del Alcance Relevamiento Planificación Implantación Estabilización Mantenimiento Estas fases. DESARROLLO DE LA METODOLOGÍA AEI La metodología de Aseguramiento de Entornos Informatizados (MAEI) de desarrolla en las siguientes fases: 1. se confía en el buen criterio del Ingeniero o Licenciado en Análisis de Sistemas que la utilice para lograr la mejor implementación de la solución. que abarca los activos lógicos y físicos afectados en el análisis. 6. Partiendo de un entorno inseguro o desprotegido. el ES construye el Plan de Aseguramiento del Entorno que contendrá todos los objetivos de control deseados y la forma de implantarlos en el entorno para asegurarlo. Una vez delimitada el área de trabajo o entorno objetivo. por lo que no es necesario poseer un conocimiento especializado en Seguridad Informática para utilizar la Metodología AEI. sus activos. 4. 2. Normas y las mejores prácticas profesionales. los procesos y procedimientos involucrados que se registrará en los respectivos documentos de Relevamiento. se procede a realizar el sondeo que conducirá al conocimiento funcional y técnico detallado del entorno. 3.

la etapa final de la MAEI. la segunda parte del trabajo consiste en llevar a la práctica los controles planificados antes. el ES deberá realizar un balance ponderando los objetivos fijados al principio del proyecto con los resultados obtenidos en la última etapa. Como vimos. En esta etapa. a través de las tres últimas fases compuestas por tareas de implantación. en una primera etapa se logra el conocimiento del entorno. En este caso la metodología EAI permite reiniciar el proceso haciendo mucho más cortas las etapas iniciales. Finalmente nace una fase que se mantendrá a lo largo de toda la vida del entorno: la fase de Mantenimiento. que ya han sido realizados no requieren mayor detalle. control y mejora continua. que acompaña todos los cambios en el entrono persiguiendo la preservación de su seguridad. que es el objetivo de este trabajo.María Victoria Bisogno. en la fase que llamamos Implantación. entonces.Metodología para el Aseguramiento de Entornos Informatizados. Luego de la implantación de los controles y las mejoras en los procesos que conducen a la obtención de los objetivos fijados en el Plan. su grado de éxito y realizar los ajustes al Plan que sean necesarios para completar el aseguramiento del entorno. saltando tareas de sondeo como la realización del Relevamiento General y el Relevamiento de Usuario. el entorno se convierte en seguro y se mantiene de esa forma hasta que se implanten cambios lo suficientemente grandes como para que se deba considerar la construcción de un nuevo Plan de Aseguramiento. realizando las tareas que forman parte de las primeras tres fases de la MAEI. Su trabajo aquí es evaluar la implantación. A esta fase la llamamos Estabilización. 24 . MAEI . Siguiendo con la implantación de la solución. se obtiene un entorno seguro. partiendo de un entorno inseguro. Continuando con la metodología.

2.2.3 Aprobación del Alcance 1.María Victoria Bisogno.5 Elaboración del Plan de Trabajo 25 . 1 DEFINICIÓN DEL ALCANCE Contenido: 1.Documento de Requerimientos de Usuario 1.1 Alcance 1.4.Alcance 1.4.2 Ejemplo .Metodología para el Aseguramiento de Entornos Informatizados.2 Costos recurrentes 1.1 Costos capitales 1.1 Análisis de Requerimientos de Usuario 1.1.3 Costos No recurrentes 1.1.1 Documento de Requerimientos de Usuario 1. MAEI .2 Elaboración del Alcance 1.4.2 Ejemplo .4 Estimación de tiempos y costos 1.

entonces. 1.1 Documento de Requerimientos de Usuario De una forma u otra. Elementos a asegurar por nivel: 26 . Nivel de la Organización. Nivel lógico. El Documento de Requerimientos de Usuario contendrá la siguiente información: Niveles a asegurar: Nivel físico. el ES registrará el pedido del usuario en un documento llamado Documento de Requerimientos de Usuario. lógico u organizacional) y dejará la decisión en manos de ES. 1.1 Análisis de Requerimientos de Usuario En esta etapa el ES se pone en contacto con el cliente (la persona o entidad interesada en asegurar el entorno objetivo) y escucha e interpreta lo que el usuario le pide. Muy probablemente el usuario no tenga claro siquiera qué nivel desea proteger (físico. por eso es tarea de ES orientarlo en el campo mostrándole los distintos aspectos que se deberían asegurar. para determinar a qué nivel el usuario desea que se realice el proyecto de aseguramiento.1. A partir de esta decisión el ES concentrará su esfuerzo en el Relevamiento General y en el Relevamiento de usuario. haciendo foco en el o los aspectos que el usuario señaló. MAEI . El ES puede.Metodología para el Aseguramiento de Entornos Informatizados. En general el usuario no sabe qué es lo que quiere asegurar.María Victoria Bisogno. pasar a las etapas siguientes de esta fase de la MAEI para detectar a grandes rasgos las mayores falencias en cuanto a seguridad por nivel (a so apunta el Relevamiento de Usuario) y ofrecer los resultados al cliente para que este decida el camino a seguir. que contendrá la voluntad del usuario respecto de los niveles y elementos a asegurar.

Elementos a asegurar por nivel: Nivel físico: o o o Protección del acceso a los servidores.Requerimientos de Usuario Niveles a asegurar: Nivel físico.María Victoria Bisogno.2 Ejemplo . Nivel lógico: o o o Poner contraseñas para el acceso a los servidores. Ver que nadie (usuarios no autorizados) puedan leer la base de datos de la nómina de personal. Nivel de la organización: o Elementos a asegurar del nivel de la organización. Controlar el acceso del personal y determinar a qué usuarios se les puede permitir el uso de los distintos recursos y a cuáles se les debe restringir. 1.Metodología para el Aseguramiento de Entornos Informatizados. 1. Nivel lógico: o Elementos a asegurar del nivel lógico. 27 .2 Elaboración del Alcance A partir de los requerimientos obtenidos del usuario se establece el alcance que tendrá el proyecto de aseguramiento del entorno informatizado objetivo.1. Protección de los equipos. Nivel físico: o Elementos a asegurar del nivel físico. Hacer backup de los datos más importantes. Nivel lógico. MAEI .

T: Timelines (líneas de tiempo). Cabe mencionar que el Alcance es elaborado por el ES con una adecuada colaboración del cliente. específico en el tiempo. MAEI . motivante. R: Realístico. específico con un significado preciso. asignable. Éste deberá reflejar objetivos claros y puntuales que se deberán cumplir en el proceso de aseguramiento. En esta etapa se determinan claramente todos los puntos sobre los que se elaborará el Plan de Aseguramiento y se registran en un documento elaborado para tal fin. compensatorio. orientado a resultados. con registro de fecha. mensurable. limitado por el tiempo. 1. susceptible a revision.2. tangible.Metodología para el Aseguramiento de Entornos Informatizados. M: Meaningful (con significado). alcanzable orientado a la acción. que enmarca las prácticas fundamentales necesarias para alcanzar alta motivación y mejora para conseguir el objetivo propuesto: S : Simple.María Victoria Bisogno. A: Aceptable. Este documento se llamará Alcance. 28 . Los objetivos deben responder al acrónimo SMART. que deberá asumir responsabilidad sobre los temas que se decida dejar fuera del proyecto. basado en tiempo. acordado. relacionado con el tiempo. Participantes del proyecto Responsable por la empresa objetivo: Ejecutivo de nivel gerencial que avala el proyecto.1 Alcance El Alcance deberá contener la siguiente información: Objetivo Se define claramente lo que se pretende lograr en el proyecto. activable. relacionado con el tiempo. relative. verdadero. Experto en Seguridad (ES): Profesional responsable del diseño y planificación del Plan de Aseguramiento del entorno. razonable. relevante a una misión.

Planificación del trabajo 29 . El Alcance estará circunscrito a ese entorno y todas las referencias que se hagan a él serán en relación a esta definición. el estudio se puede enfocar en alguno o todos estos niveles: Nivel físico. puede definirse como el edificio que alberga a la empresa objetivo o como el Centro de Cómputos (CC) o Centro de Procesamiento de Datos (CPD) donde se encuentran los servidores. Recursos afectados al proyecto: Son personas que colaborarán durante todo el proyecto liderado por el ES. Niveles que cubrirá el proyecto Esto es. El entorno puede ser desde un equipo informático hasta una Corporación distribuida en distintas regiones geográficas. Definición del Entorno Se debe determinar con precisión cuál será el entorno donde se implementará el proyecto. Elementos fuera del Alcance Ítems que se haya decidido dejar fuera del proyecto por diversos motivos.Metodología para el Aseguramiento de Entornos Informatizados. Nivel de la organización.María Victoria Bisogno. Nivel lógico. MAEI . Hitos a cubrir en cada nivel: Definir a alto nivel qué hitos se deberán cumplir a lo largo del proyecto. definir a qué nivel se hará al estudio para lograr el aseguramiento. Como se definió en la introducción.

Definición de las etapas o fases en que se desarrollará el proyecto.2 Ejemplo .Alcance El siguiente ejemplo pretende mostrar los objetivos planteados en un Alcance genérico.María Victoria Bisogno. 1. Para eso se define una serie de documentos o entregables de cada etapa del proyecto que reflejarán el trabajo hecho. que abarca parte de los elementos susceptibles de ser analizados: Objetivo Crear e implementar los controles y medidas necesarias para cumplir con el nivel medio de seguridad. Consideraciones adicionales Consideraciones que el ES crea necesarias para el proyecto. 30 . según los estándares de la empresa. Entregables de cada etapa El cliente debe ver el avance del proyecto a medida que transcurre el tiempo. 9 Recursos afectados al proyecto: Project leader: ES Recursos: Carina Rodríguez Pablo Benigno Santiago Carpenari Manuel Lopez Cintia Kers Definición del Entorno Se define como entorno al Centro de Procesamiento de Datos (CPD) de la compañía. a nivel macro. en el corto plazo.2. Ing.Metodología para el Aseguramiento de Entornos Informatizados. sin entrar en detalle. Participantes del proyecto 9 Responsable por la empresa objetivo: Gerente del área de sistemas. Francisco López. MAEI .

MAEI . Niveles que cubrirá el proyecto ¾ Nivel físico. Protección del hardware e instalaciones del sector de Cómputos y de Ventas contra el acceso físico no autorizado. ¾ Nivel lógico. ¾ Alcance a nivel Lógico: 9 9 9 9 9 Protección de los autorizado. Protección de la conexión gíreles. Implantación de restricciones de uso de software Implantación de un sistema de administración de usuarios y contraseñas. Protección de las marcas de la empresa. ¾ Nivel de la organización. Protección de la integridad de los datos del sector de Cómputos. Protección de la red de comunicaciones de toda la empresa contra el acceso físico no autorizado. datos del sector de Cómputos contra el acceso no ¾ Alcance a nivel de la organización: 9 9 9 9 Elaboración de la Normativa de Seguridad de la empresa. Protección de las aplicaciones de toda la empresa contra el acceso no autorizado.María Victoria Bisogno. Capacitación de los empleados. Hitos a cubrir en cada nivel ¾ Alcance a nivel Físico: 9 9 9 9 Protección del edificio contra el acceso físico no autorizado. ▪ ▪ ▪ Protección de Cables. Protección de las oficinas del sector de Cómputos contra el acceso físico no autorizado. 31 .Metodología para el Aseguramiento de Entornos Informatizados. Protección de Servidores. Revisión de la estructura de la organización en el sector de Cómputos.

Planificación del trabajo ¾ El proyecto se llevará a cabo en las siguientes etapas: 9 9 9 9 9 Relevamiento. Inundaciones. Implantación de medidas de prevención de catástrofes naturales: ▪ ▪ ▪ ▪ 9 Incendios.María Victoria Bisogno.Metodología para el Aseguramiento de Entornos Informatizados. Elementos fuera del proyecto Los elementos pendientes que no formarán parte de este proyecto de aseguramiento del entorno: 9 9 9 Regularización de la situación de las licencias de software. Etc. Elaboración de un Plan de Recuperación del Entorno ante Desastres. Estabilización. Cortocircuitos. Implantación. Planificación. Documento de Actualización de Software. Informe de Riesgos. Relevamiento de usuario. Mapa de vulnerabilidades. ¾ Etapa 2: 9 9 9 9 9 Plan de Aseguramiento. Mapa de Usuarios. Tabla de Permisos sobre Activos Lógicos. Entregables de cada etapa: ¾ Etapa 1: 9 9 9 9 Relevamiento general. MAEI . Protección del hardware e instalaciones del sector de Diseño y Manufactura. Mantenimiento. Documento de Administración de Backups. 32 .

previo consenso con el ES encargado de la elaboración del Plan de Aseguramiento del entorno informatizado objetivo. 1. de la experiencia de los recursos humanos involucrados. Para la estimación de tiempos no existe una fórmula que determine el tiempo que llevará cada tarea.4 Estimación de tiempos y costos. es necesario realizar una estimación del tiempo que se deberá invertir y los recursos a asignar para culminar con éxito y en un tiempo finito el proyecto de aseguramiento del entorno.3 Aprobación del Alcance Como documento inicial del proyecto el Alcance deberá ser aprobado por los responsables del lado del cliente. de la carga que se les pueda asignar a esos recursos. Estándares Técnicos. La duración de las mismas depende de muchos factores: de la cantidad de recursos asignados. Presentaciones y comunicados a usuarios como medio de capacitación. ¾ Etapa 5: 9 Registro de Incidencias.María Victoria Bisogno. ¾ Etapa 4: 9 9 Informe de Implantación. Manuales de Procedimiento. Informe de cierre de la implantación. MAEI . Como en todo proyecto de IT. 9 Test de viabilidad.Metodología para el Aseguramiento de Entornos Informatizados. Normas. ABM de Activos. Inventario de Activos. ¾ Etapa 3: 9 9 9 9 Políticas de Seguridad. de la calidad de esos recursos. 1. 33 . Procedimientos.

pero no es el fin de este trabajo entrar en detalle al respecto.María Victoria Bisogno. costos no recurrentes. en la que la experiencia del ES se utiliza para la asignación de recursos. es una variable fundamental a determinar. llegue al punto de reflejar el caso en el que está trabajando. Es por eso que la experiencia le dará al ES la capacidad para medir el tiempo que le llevará hacer cada tarea según los parámetros antes mencionados. costos recurrentes. de la estabilidad económico-financiera de la empresa objetivo (pues el proyecto puede perder prioridad ante situaciones de crisis).Metodología para el Aseguramiento de Entornos Informatizados. desarrollar. siguiendo esta Metodología para el Aseguramiento de Entornos Informatizados. o instalar los principales bienes o activos. Como en todo este trabajo. como la aprobación de la política de seguridad). MAEI . Un activo principal es una ventaja palpable que tiene una vida útil de más que un año y se pretende continuar su uso con el tiempo. Activos capitales estándar incluyen hardware de computadora (como computadoras personales e impresoras) y software comprado como un paquete o desarrollado a pedido.1 Costos capitales Son los costos para adquirir. del apoyo del nivel gerencial y la seriedad con que tomen el proyecto (pues muchas decisiones surgirán a ese nivel. del tamaño del entorno. Los siguientes son algunos ejemplos de costos capitales: 34 . por otro lado. La estimación de costos. a partir de la cual se calculan los costos. En esta sección mencionaremos los costos que se deberán tener en cuenta a nivel general. para que. Los costos que genera un proyecto de IT como éste se pueden categorizar en 3 clases : costos capitales. se deja la responsabilidad al ES de bajar el nivel de análisis. Para ello existen métodos. 1.4. de la complejidad del entorno.

Unidades de almacenamiento externo (Discos rígidos externos). Software: o o o o o o Sistemas operativos. Utilitarios. Generadores de energía eléctrica. Otros: o o o UPSs o SAIs. IDSs.María Victoria Bisogno. Workstations. 35 . MAEI . Monitores.4. Equipos de telecomunicaciones: o o o o o o Routers. Laptops. Aplicaciones. Equipos de procesamiento de datos: o o o o o o o CPUs. Firewalls. Mueblería.2 Costos recurrentes Los costos recurrentes son los costos que se presentan con regularidad. Software de comunicaciones. 1. Modems. Impresoras. Cableado de red. Scanners.Metodología para el Aseguramiento de Entornos Informatizados. Servidores. Hubs. Switches.

María Victoria Bisogno. o o Contratos de mantenimiento de software. Recursos humanos: 36 . En contraste con los costos capitales. Mantenimiento interno. encargados del manejo. Contratos de operación externa de IT (outsourcing). En el entorno de IT. Licencias de software. MAEI . como por ejemplo la compra de hardware y software. los costos recurrentes son los siguientes: Salarios Incluye los costos por todos los empleados involucrados directa o indirectamente con el proyecto. Transmisión de datos. que pueden ser tratados como costos capitales o recurrentes. Otros son más difíciles de distinguir de los costos capitales.Metodología para el Aseguramiento de Entornos Informatizados. Mantenimiento. como por ejemplo: o Contratos de mantenimiento de hardware. Telecomunicaciones: o o o Alquileres. Los costos recurrentes en general son costos operativos. Hardware: o o o Alquiler de equipos. Software: o o o Actualización de software. el soporte y la administración del proyecto en todas sus fases. los costos recurrentes deben ser tratados como si fueran a ser pagados completamente al ser facturados. Mantenimiento interno. en muchos casos fáciles de definir como alquileres de equipos y salarios. Actualización de equipos. Contratos Contratos a ser pagados regularmente durante la vida del entorno.

Auditorías internas. Capacitación. y que luego de terminado se retiran sin participar en ningún otro proyecto. es un costo no recurrente. Una vez estimados los tiempos y los costos a invertir en el proyecto. Testing. Seguros. Viajes. Salarios. Aunque aparecen una vez. Estudios Análisis de requerimientos. Contratos. Entrenamiento. Provisiones. Acondicionamiento del entorno. Por ejemplo. 1. Viajes. suelen ser los mayores costos del proyecto. o o o o o Salarios. MAEI . 1.3 Costos No recurrentes Los costos no recurrentes son los que se presentan una sola vez durante la vida del proyecto de seguridad. etc. Conversión de costos.María Victoria Bisogno. diseño.5 Elaboración del Plan de Trabajo 37 .Metodología para el Aseguramiento de Entornos Informatizados. Costos incidentales. Provisión de datos. estudios de viabilidad.4. el ES está en condiciones de elaborar la propuesta de trabajo que contendrá el Plan de trabajo que especifique las tareas y los recursos necesarios para desarrollarlas. Documentación. performance. el costo de los empleados que se contratan para hacer tareas exclusivas en proyecto.

Fases . Las posibilidades de dependencia son múltiples. Fecha de Fin del proyecto. El paso siguiente a la elaboración del Alcance. cuyo resultado alimente otra tarea. MAEI . Solapamiento de tareas.Metodología para el Aseguramiento de Entornos Informatizados. es la elaboración del Plan de Trabajo. Tareas predecesoras o tareas dependientes de otras. Períodos laborales. Una buena práctica es fijar las fechas de inicio y fin de la tarea para que los períodos no se extiendan demasiado. que tendrán un período asignado. Duración total del proyecto. Fecha de Inicio del proyecto. En todo plan se fijan objetivos o “hitos” a cumplir. como mínimo: Nombre del proyecto. el comienzo de una tarea puede depender del resultado de otras tareas. Hitos. Este Plan de Trabajo no es más que la organización de las tareas a desarrollar durante la duración estimada del proyecto.María Victoria Bisogno. Entregables por hito. Fecha de Inicio de cada tarea. por lo que es importante organizarlas con anticipación previendo posibles retrasos o inconvenientes. Tareas. y una vez aprobado por los responsables. etc. El Plan de Trabajo deberá incluir. Fecha de Fin de cada tarea. Estos hitos están asociados a una serie de tareas necesarias para lograr el objetivo. Recursos asignados por tarea. Duración de las tareas. por lo que no podrá comenzar hasta que todas las tareas de las que depende hayan finalizado. documentos o resultados para los que se trabaja en el período asignado. 38 . Cada subetapa del proyecto tendrá (o no) entregables. Puede haber tareas que se solapen. A su vez.

Id Task Name 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 MAEI . MAEI . Ejemplo Como ejemplo incluimos una imagen de un Plan de Trabajo de un proyecto de normativa de seguridad. Este proyecto se desarrolla en dos semanas.Manual de Seguridad Sondeo en sede central Sondeo General Política general de seguridad Responsabilidades de seguridad Comunicaciones de redes de datos Administración de usuarios y recursos Protección ante virus informáticos Protección física Copiasde respaldo (backup) Ambientes de procesamiento Continuidad de procesamiento Generación de registros de eventos Sondeo en planta Revisión documentación Duración ay '04 MMJ 10 días 3 días 1 día 2 días 2 días 2 días 2 días 2 días 2 días 2 días 2 días 2 días 2 días 1 día 1 día 1 día 3 días 3 días 30 may '04 23 may '04 V S D L MMJ V S D L MM Clasificación y tratamiento de la información 2 días Reunión de presentación con directores/gerente Análisis documentación con directores/gerentes Actualización de la documentación Generación versión final día 1 39 . Entregables por tarea.María Victoria Bisogno. y está compuesto de 17 tareas.Metodología para el Aseguramiento de Entornos Informatizados.

4.1 Referencias al puntaje obtenido en el test por nivel 2.2.1 Aspectos funcionales 2.3 Vulnerabilidades a nivel de la organización 2.5.3.3.5.2.5.María Victoria Bisogno. MAEI .2.5.2 Asignación de puntaje 2.4.3 Análisis de vulnerabilidades 2.3.3 Aclaración sobre las preguntas 2.3 Análisis de las aplicaciones y equipos 2.5 Mapa de Vulnerabilidades 2.4.3. 2 RELEVAMIENTO Contenido: 2.1 Conocer al enemigo 2.1.1 Relevamiento General 2.3.2.2 Herramientas de análisis de vulnerabilidades 2.5 Evaluación del entorno 2.1 Intento de Penetración 2.3 Las amenazas 2.4.1 Relevamiento de Usuario 2.2 Vulnerabilidades a nivel lógico 2.4.2.2 Configuraciones de resultados 2.1 Vulnerabilidades a nivel físico 2.2.5.2.4 Resultados de la evaluación 2.4 Análisis de Vulnerabilidades 2.4.2 Análisis de la documentación 2.Metodología para el Aseguramiento de Entornos Informatizados.4.3.3.1 Informe de Riesgos 2.3.3.3.1 Elaboración del Relevamiento General 2.4 Análisis de Riesgos 2.2 Ejemplo – Atacantes 2.3.2 Elaboración del Relevamiento de Usuario 2.3.3.3.3.2 Ejemplo – Informe de Riesgos 40 .

su organización y sus procesos de negocio. Sobre esta información se basará una serie de estudios que dependerá de muchos de los factores aquí relevados. etc.1 Elaboración del Relevamiento General. pisos u oficinas) y su distribución física. pues en estos dos ámbitos suelen ser muy distintos los circuitos de autorización de alta de usuarios. Que exista una definición de funciones y estructura de comunicación en la empresa. comercial. El tamaño de la empresa y su distribución física. el ES debe conocer la empresa objetivo. Que existan roles adecuados para la supervisión de la seguridad de las aplicaciones y equipos que existen en el entorno. para la correcta administración de los usuarios se deberá tener en cuenta si la empresa tiene procesos de manufactura o solamente administrativos. etc). Detalles sobre la infraestructura edilicia (cantidad de edificios. 2. Que exista un encargado de soporte para las aplicaciones y equipos tratados. La tecnología que maneja la empresa (hardware y software). Que exista un área de Seguridad Informática.María Victoria Bisogno. manejo del negocio (Administrativa. y conocer sobre su negocio. La arquitectura de la red. y la realización de controles que garanticen la autorización y el adecuado uso de los recursos. cuestionar y observar: El rubro de la empresa. Es por eso que aquí se propone una serie de puntos de control sobre los que se deberá investigar. Por ejemplo. La calidad de la sede en cuanto al productiva.Metodología para el Aseguramiento de Entornos Informatizados. Organización de personal – jerarquías dentro de la empresa. MAEI . Para desarrollar un Plan de Aseguramiento. 41 .

Analizar la existencia de documentación en relación a: o o o Un marco normativo que defina la política de la empresa. Entrevistar al personal del Área de Sistemas a fin de identificar la documentación existente y los procedimientos formales e informales relacionados con el desarrollo. niveles de aprobación. referidas a la documentación de carácter obligatorio y deseable que debe ser desarrollada y mantenida. autorización y mantenimiento de la misma. Analizar la documentación existente en cuanto a estructura. información adicional sobre el entorno a relevar. Para verificar estos puntos de control el ES puede realizar las siguientes tareas: Revisar la documentación del proceso de negocio de la empresa objetivo con el fin de conocer su estructura y funcionamiento. tales como: o o Satisfacción funcional de los requerimientos de información de los usuarios. Las aplicaciones específicas que apoyan al negocio. de archivos y de interfases para los usuarios. Identificar los componentes de hardware presentes en las instalaciones. Relaciones formales y conocidas por el personal. Obtener de los usuarios. Entrevistar a los responsables del nivel gerencial para obtener información sobre el manejo del negocio y los activos de información que los soportan. contenido.María Victoria Bisogno. Los requerimientos de tecnología. publicación y distribución entre los involucrados. Confianza de los usuarios en la información que manejan estos equipos y aplicaciones. 42 .Metodología para el Aseguramiento de Entornos Informatizados. vigencia. y siente las bases para el desarrollo de procedimientos y estándares técnicos. Entrevistar a los responsables del nivel gerencial para obtener información sobre el manejo del negocio y sobre los aspectos críticos del mismo. MAEI . de procesamiento. Identificar los componentes de software de base.

1. productiva. 2. Listado de países donde opera. Dependencia: o o o o o Es una empresa con presencia multinacional? El negocio se ve afectado por la actividad de la empresa en otros países? El negocio se ve afectado por la actividad de la empresa en otras provincias? El negocio se ve afectado por la actividad de la empresa en otras ciudades? El negocio se ve afectado por la actividad de la empresa en otros edificios? Si es multinacional: o o o Se trata de una sede o de la corporación? Cantidad de países donde opera. Procesos de negocio. comercial.María Victoria Bisogno. Entrevistar al personal de comunicaciones para comprender globalmente las facilidades de acceso a través de Internet y los mecanismos de seguridad implantados para prevenir el acceso a dichas facilidades. Para esto se propone el siguiente esquema que resume los puntos de control básicos a relevar: Rubro de la empresa Calidad de la sede o Administrativa. etc. MAEI .1 Relevamiento General El sondeo propuesto en el Relevamiento General deberá documentarse como parte de los entregables del proyecto de aseguramiento del entorno. Información edilicia: 43 . Actividades excepcionales. Productos. Actividades extraordinarias. Actividades rutinarias. Negocio o o o o o o o Descripción. Servicios.Metodología para el Aseguramiento de Entornos Informatizados.

Red o o o o Arquitectura física. scaners. Cableado. Cantidad de equipos por tipo. Bases de datos. Cantidad total de oficinas. Software de gestión. externos).). 44 . etc. Software o o o o o o Sistemas Operativos. administrativos. Protocolos. Cantidad de áreas.María Victoria Bisogno. Cantidad de pisos por edificio. no usuarios. PCs). Otros. Cantidad de elementos por tipo. Cantidad de oficinas por piso.). Otros elementos (UPSs. Cantidad de sectores. Cantidad de elementos de red. usuarios. teléfonos). MAEI . Cantidad total de pisos. hubs.Metodología para el Aseguramiento de Entornos Informatizados. Arquitectura lógica. Telefonía (centrales telefónicas. Personal o o o o Jerarquía. Cantidad de teléfonos. Elementos de Red (switches. impresoras. Hardware o o o o o o o o Tipos de maquinarias (mainframes. o o o o o Cantidad de edificios. etc. terminales. Cantidad de licencias. routers. Personal: Contabilización por puesto (gerentes. Utilitarios.

Que los equipos informáticos sean utilizados sólo con fines autorizados y siguiendo los procedimientos establecidos. del sector)? ¿Cuántas personas abarca? ¿De quién es la responsabilidad de la operación de los equipos ((de la corporación. Administración o o o o o o o ¿Existe un área de desarrollo de software? ¿Existe un área de control de calidad de software? ¿Existe de un área de Seguridad Informática? ¿De quién es la responsabilidad de la administración de los equipos (de la corporación. de la sucursal. el ES verificará los siguientes objetivos de control: Que se haya definido y documentado un modelo de administración de la seguridad. 45 . En este análisis. del país. del país.Metodología para el Aseguramiento de Entornos Informatizados. fuentes de debilidades para luego realizar un estudio profundo enfocado en los puntos hallados. Que el circuito de trabajo responda a criterios de seguridad. y detectar. Que existan estándares y procedimientos de trabajo definidos para todas las tareas del área. Que se apliquen medidas de seguridad física en el entorno de trabajo de los usuarios finales.María Victoria Bisogno.2 Elaboración del Relevamiento de Usuario En esta etapa del relevamiento el ES realiza una investigación sobre el entorno objetivo con el fin de obtener un panorama de la situación actual y conocer su forma de funcionamiento. eficiencia y productividad. en la etapa llamada Análisis de Vulnerabilidades. Que existan procedimientos de control para la utilización de los recursos. a grandes rasgos. MAEI . de la sucursal. del sector)? ¿Cuántas personas abarca? 2. Que exista un perímetro de seguridad para los equipos de procesamiento crítico.

Para verificar estos puntos de control el ES y su equipo de trabajo puede realizar las siguientes tareas: Entrevistar a los usuarios a fin de obtener información sobre el entorno a relevar. Que exista documentación de usuario que especifique los requerimientos de tecnología. MAEI . Que los usuarios tienen conciencia de los problemas de seguridad informática y están informados acerca de los riesgos existentes. De la organización. Para ello el ES explicará a los usuarios el objetivo de la charla. y dará todo el detalle necesario para que las respuestas de los mismos sean válidas. referidas a la documentación de carácter obligatorio y deseable que debe ser desarrollada y mantenida. en los siguientes aspectos: o o o Físico. y siente las bases para el desarrollo de procedimientos y estándares técnicos. Que existan relaciones formales y conocidas por el personal. Que exista un encargado de soporte del mantenimiento para las aplicaciones analizadas. Que se encuentre implantado adecuadamente un ambiente general de control de accesos propio de las aplicaciones y recursos a efectos de prevenir el uso no autorizado de funciones interactivas. de archivos y de interfases. Que exista un marco normativo que defina la política de la empresa. Que existen acuerdos de confidencialidad firmados por los usuarios para el manejo de la información que tratan los sistemas.María Victoria Bisogno. tanto desde conexiones desde la red interna como desde Internet.Metodología para el Aseguramiento de Entornos Informatizados. Entrevistar a ciertos usuarios finales a efectos de verificar: 46 . de procesamiento. Que existen adecuados procedimientos manuales o automatizados de control de cambios a los programas y de toma de nuevos requerimientos de usuarios. Lógico.

Cómo reaccionan ante incidencias de seguridad y cómo realizan solicitudes de cambios. fallas en la cultura de trabajo. En estas entrevistas. 47 . y evaluar. A continuación se especifica el documento formal que materializa la intervención directa del usuario como referente de las características del entorno en estudio. se sugiere realizar un test en cada uno de los diferentes departamentos de la organización. la Metodología AEI prevé la intervención del usuario como fuente de conocimiento del ES. Esto servirá como introducción al ES para la construcción del Mapa de Vulnerabilidades y para fijar los objetivos del Plan de Aseguramiento del sistema. en los distintos sectores. O sea.María Victoria Bisogno. dentro de estos. o o o Cuán involucrados están con la seguridad en el entorno donde trabajan.Metodología para el Aseguramiento de Entornos Informatizados. el nivel de información que manejan los empleados y su nivel de conciencia respecto de la seguridad. una medida general de lo expuesto que se encuentra el sistema a los ataques informáticos por nivel. etc. MAEI . El siguiente esquema pretende mostrar las principales puertas de ataques que se deben proteger. en un entorno informatizado: Una vez recompilada como mínimo esta información. y. vicios en la organización. Si conocen el marco normativo que define la política de la empresa. Este test tiene por fin obtener una medida de lo expuesto que se encuentra el ambiente a vulnerabilidades.

box del sector. 2. Los módulos corresponden a los niveles físico.Metodología para el Aseguramiento de Entornos Informatizados. etc? ¿Posee conexión física a una LAN? ¿Posee conexión física a una WAN? ¿Tiene acceso a Internet? ¿Hay cables al descubierto? ¿Usa esta Workstation otro usuario regularmente? ¿Trabaja con servidores de uso exclusivo de su sector o son compartidos por más de un sector ( por ejemplo Desarrollo y Prueba)? 48 . evaluará la criticidad de cada punto asignando un valor según la respuesta obtenida.2. CDs. cintas.María Victoria Bisogno. MAEI . lógico y de la organización respectivamente.1 Relevamiento de Usuario AREA: SECTOR: CPU: EMPLEADO: ANTIGÜEDAD: Nº NIVEL PUNTOS SÍ NO NIVEL FÍSICO 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 ¿El espacio es compartido? (oficina propia. El Relevamiento de Usuario consiste en una serie de preguntas separadas en tres módulos por nivel. común) ¿Hay otros sectores de la empresa en el mismo piso? ¿Se accede a esta Workstation con llave propia del sector? ¿Existe algún circuito de circulación abierto hasta esta Workstation? ¿Está cerca de alguna puerta? ¿Está cerca de algún pasillo? ¿Está cerca de alguna ventana? ¿Guarda la documentación impresa o magnética bajo llave propia? ¿Guarda la documentación impresa o magnética bajo llave común al sector? ¿Maneja algún tipo de codificación para la rotulación de diskettes. El Experto en Seguridad.

informa a alguien? ¿Cómo informa los nuevos requerimientos? ¿Ha firmado algún acuerdo de confidencialidad? SUBTOTAL NIVEL DE LA ORGANIZACIÓN TOTAL 2.María Victoria Bisogno. MAEI .net].Metodología para el Aseguramiento de Entornos Informatizados.2. experta en seguridad. Nº NIVEL PUNTOS SÍ NO SUBTOTAL NIVEL FÍSICO NIVEL LÓGICO 17 ¿Posee conexión permanente a Internet? 18 19 20 21 22 23 24 25 26 27 28 29 30 ¿Posee IP fija? ¿Se puede acceder en forma remota a esta Workstation? ¿Tiene acceso solamente a los recursos que necesita para trabajar? ¿Lo ven desde la LAN sólo los que lo necesitan ver? ¿Posee documentación de las aplicaciones que utiliza? ¿Hay más usuarios configurados de los que realmente usan la workstation? ¿Usa un SO monousuario? ¿Es usuario experto de su SO? ¿Usa la misma contraseña para más de un sistema? ¿Cambia las contraseñas con regularidad? ¿realiza copias de respaldo de su información personal sensible? ¿Posee carpetas compartidas en esta PC? ¿Usa el antivirus regularmente para revisar archivos peligrosos? SUBTOTAL NIVEL LÓGICO NIVEL DE LA ORGANIZACIÓN 31 32 33 34 ¿Existe una persona encargada de administrar la seguridad? ¿Existen Normas o procedimientos de seguridad? ¿Existe algún procedimiento para solicitar nuevos requerimientos? ¿Procesa información que es confidencial para gente del mismo departamento? 35 ¿Intercambia datos/información con otros departamentos? 36 ¿Intercambia datos/información con otras empresas? 37 38 39 40 ¿Trabajan terceros en su piso? ¿Cuando ocurre un incidente. considerado adecuado para el estudio que se lleva a cabo en este Relevamiento. 49 .2 Asignación de puntaje Para la asignación del puntaje se siguió el criterio adoptado por la empresa Internet Security Systems [iss.

por ejemplo información de uso interno). Para medir la criticidad se utiliza el siguiente criterio: No representa amenaza alguna: Si están presentes elementos que provean información que no es del sistema que pueda ser usada para efectuar ataques estructurados en un objetivo. o Negación de servicio de elementos no críticos. Amenaza leve: Si existen eventos que tengan el potencial de otorgar acceso o permitir ejecución de código por medio de procedimientos largos o complejos. 50 . 2: Gran amenaza al sistema. MAEI . o la negación de servicios.María Victoria Bisogno. Por ejemplo: o Overflow de buffers. pero que no otorgan acceso autorizado directamente. o Scripting a través de sitios (ejecución de algoritmos malintencionados a través de la web). o la ejecución de código o comandos con privilegios desautorizados. o elementos de bajo riesgo aplicados a componentes importantes. o Descubrimiento de información privada (pero no confidencial. Se definen los valores posibles y su significado como sigue: 0: No representa amenaza alguna. o Descubrimiento de información que no información pública). Por ejemplo: o Ataques de hombre en el medio (ver “Man in the middle attack” en [Stallings1999]). Por ejemplo: o Ataques por fuerza bruta. o Denegación de servicios de elementos críticos. 1: Amenaza leve.Metodología para el Aseguramiento de Entornos Informatizados. es del sistema (datos sueltos. Gran amenaza al sistema: Si existen elementos que permiten acceso local o remoto inmediato.

2.2. box del sector. o Salteo de la seguridad en firewalls y otros componentes de red. o Backdors. o está ubicada en un sector compartido.3.¿Está cerca de algún pasillo? Con CERCA se hace referencia a “pocos metros”.¿Está cerca de alguna ventana? Con CERCA se hace referencia a “pocos metros”.¿Existe algún circuito de circulación abierto hasta esta Workstation? Se apunta a verificar si existe un camino inseguro a la Workstation como podría ser un pasillo que da a una salida no asegurada. o Contraseñas por default o contraseñas en blanco. 2. 2. y no da acceso a otros sectores.3 Aclaración sobre las preguntas 2. 4.¿Se accede a esta Workstation con llave propia del sector? Se refiere a si la Workstation en estudio está ubicada en un lugar físico al que se accede con llave u otro mecanismo de seguridad propio del sector de trabajo.1 Nivel Físico 1. común)? La pregunta apunta a ver si la Workstation en estudio está aislada físicamente de otras. 5. 6. MAEI . 8.¿El espacio es compartido (oficina propia.María Victoria Bisogno.¿Hay otros sectores de la empresa en el mismo piso? La pregunta apunta a si el espacio físico es ocupado por personas de distintos sectores. Un ejemplo típico es la PC de trabajo de una recepcionista que está al alcance del público. 7. 3.Metodología para el Aseguramiento de Entornos Informatizados.¿Guarda la documentación impresa o magnética bajo llave propia? 51 .¿Está cerca de alguna puerta? Con CERCA se hace referencia a “pocos metros”. como un box de trabajo o un lugar abierto.

¿Maneja algún tipo de codificación para la rotulación de diskettes. por ejemplo. 52 . 11.¿Posee conexión a una LAN? Se le debe preguntar al usuario si está conectado a la red local. 16.María Victoria Bisogno. 9. con tubos cobertores e se encuentran subterráneos.Metodología para el Aseguramiento de Entornos Informatizados.¿Trabaja con servidores de uso exclusivo de su sector o son compartidos por más de un sector? Por ejemplo.tar que indica claramente que ese dispositivo contiene un archivo de backup del día 5 de diciembre del 2002. si trabajan los sectores de Desarrollo y Prueba con un mismo servidor.¿Guarda la documentación impresa o magnética bajo llave común al sector? Por ejemplo en un armario de uso común de todo el sector. 15. MAEI . Esto suele darse en situaciones donde los empleados trabajen part-time o simplemente se requiera de monitorización continua durante las 24 hs.¿Posee conexión a una WAN? Se le pregunta al usuario si en su red existen equipos ubicados físicamente en otro edificio. 13. 10. cintas. o simplemente se expanden a la vista. 12. o simplemente se rotulan con nombres legítimos.¿Usa esta Workstation otro usuario regularmente? Esta pregunta apunta a verificar si la Workstation es compartida por distintos usuarios. 14. Un ejemplo de nombre legítimo podría ser: back05122002. CDs. Por ejemplo en un armario de uso particular.¿Hay cables al descubierto? La pregunta apunta a verificar si el cableado está protegido. etc? La pregunta apunta a verificar si se utiliza alguna técnica preestablecida para nomenclar dispositivos de almacenamiento.¿Tiene acceso a Internet? La pregunta apunta a verificar si el usuario tiene acceso a Internet. Un ejemplo de codificación podría ser CDC640 que tiene significado solamente para las personas concernientes.

Cablemodem. apuntando al principio de “otorgar solo los privilegios mínimos y necesarios para la realización del trabajo” 21. 18. 22. 20. que afectará en la definición de un blanco identificable o no.¿Se puede acceder en forma remota a esta Workstation? Por ejemplo a través de conexiones TELNET. (Algunos ataques internos tienen como objetivo la penetración de las barreras de seguridad de ciertos equipos en particular. o haciendo un REMOTE LOGON. 24.¿Posee IP fija? Esta pregunta apunta a conocer cómo se hace la administración de las direcciones de red.¿Posee conexión permanente a Internet? Por ejemplo ADSL. etc.¿Hay más usuarios configurados de los que realmente usan la workstation? Esta pregunta apunta a verificar si existen configurados usuarios que no son estrictamente necesarios. En otros casos puede ocurrir que un empleado deje la organización pero quede configurado el usuario en el sistema. La IP fija facilita la identificación de máquinas para este fin. 2.¿Lo ven desde la LAN sólo los que lo necesitan ver? Para verificar si sectores no autorizados tienen acceso a esta terminal. 19. 23.¿Tiene acceso solamente a los recursos que necesita para trabajar? La pregunta apunta a verificar si desde la Workstation se puede acceder a sectores de al LAN que no son necesarios para realizar el trabajo.¿Usa un SO monousuario? 53 .2 Nivel Lógico 17. etc.¿Posee documentación de las aplicaciones que utiliza? Esta pregunta apunta a chequear si los usuarios poseen documentación suficiente (y adecuada) para el uso de los aplicativos de trabajo (por ejemplo manuales de usuario. MAEI .María Victoria Bisogno. el ES puede solicitarle realizar la verifiación.2.) Si el usuario no sabe si su IP es fija o variable.Metodología para el Aseguramiento de Entornos Informatizados. manuales técnicos de los proveedores.). Por ejemplo en algunos sistemas operativos como ciertas distribuciones de Linux se instala el sistema con un conjunto de usuarios por default de los cuales algunos no son utilizados.3.

¿Cambia las contraseñas con regularidad? REGULARIDAD se podría llegar a considerar hasta un mes. 54 .2.¿Existen Normas o procedimientos de seguridad? La pregunta apunta a descubrir si el usuario está informado de la existencia de un marco normativo de seguridad.¿Existe una persona encargada de administrar la seguridad? 32.3. 29. Windows Millenium. 30. La información personal guardada localmente en las estaciones de trabajo no es resguardada. 2. Esta pregunta apunta a ver si el usuario realiza controles especiales en situaciones particulares. MAEI .¿Posee carpetas compartidas en esta PC? Se refiere a las carpetas que pueden ser accedidas por otros usuarios desde otras workstations. en los que no se realiza un análisis de antivirus automático. verificar opciones de seguridad. si el usuario utiliza la misma contraseña para ingresar al sistema operativo y para el programa de correo. configurar un firewall.¿Usa el antivirus regularmente para revisar archivos peligrosos? Se consideran ARCHIVOS PELIGROSOS los de origen incierto. etc. Windows 98.3 Nivel De La Organización 31. 25.¿Es usuario experto de su SO? Apunta a verificar si el usuario es capaz de realizar tareas de administración del sistema. 28. por ejemplo cuando trabaja con dispositivos extraíbles. Por ejemplo DOS o Windows 95.¿Realiza copias de respaldo de su información personal sensible? La realización de las copias de respaldo o backup es responsabilidad del administrador de la red y del operador responsable. Sin embargo. por ejemplo. o los transportados en medios magnéticos como diskettes.¿Usa la misma contraseña para más de un sistema? Por ejemplo. etc. 27.Metodología para el Aseguramiento de Entornos Informatizados. siendo ésta responsabilidad del usuario.María Victoria Bisogno. 26. y manejar el file system en forma adecuada. cintas.

40. 36.María Victoria Bisogno. y si efectivamente estos procedimientos existen. 38.¿Intercambia datos/información con otras empresas? Esta pregunta pretende descubrir la interrelación entre los empleados de la empresa con externos. 35.¿Existe algún procedimiento para solicitar nuevos requerimientos? Esta pregunta apunta a verificar si el usuario conoce los procedimientos formales de solicitud de nuevos requerimientos.¿Trabajan terceros en su piso? Se refiere a si trabajan personas subcontratadas o externas a la empresa en el mismo sector físico.¿Cuando ocurre un incidente. y la existencia de flujo de información entre ellos.4 Resultados de la evaluación Según la cantidad de puntos obtenidos en cada nivel se establece la calificación del entorno en cuanto a seguridad informática: Nivel físico: 55 . 2.¿Procesa información que es confidencial para gente del mismo piso? Esta pregunta pretende verificar si en esta Workstation se procesa información que es confidencial para personas que comparten el mismo espacio físico. informa a alguien o trata de manejarlo solo? Por ejemplo: cuando sucede una anomalía en el software el usuario llama a un técnico de sistemas para que vea lo sucedido? 39. 37. y si se ha realizado alguna vez una clasificación de la información de la organización.¿Intercambia datos/información con otros departamentos? Esta pregunta pretende descubrir la interrelación entre departamentos.2.¿Cómo informa los nuevos requerimientos? La pregunta apunta a descubrir si existe un procedimiento de control de cambios y reporte de requerimientos de usuario. MAEI . y la existencia de flujo de información entre ellos.Metodología para el Aseguramiento de Entornos Informatizados. 33. 34.¿Ha firmado algún acuerdo de confidencialidad? La pregunta apunta a determinar si el usuario tienen conciencia de la criticidad de la información que maneja.

Asegurable de mediano a corto plazo. 010. De 11 a 14 puntos: Medianamente vulnerable. 110.2. xx2: Entorno altamente vulnerable. 22x. De 5 a 9 puntos: Medianamente vulnerable.5 Evaluación del entorno 2. 56 . De 10 a 20 puntos: Altamente vulnerable. 1: Medianamente vulnerable. MAEI .5. 2: Altamente vulnerable.2. Nivel de la organización: De 0 a 4 puntos: Seguro/protegido. 2. x22. x: 0 o 1.2. Asegurable a mediano/ largo plazo.Metodología para el Aseguramiento de Entornos Informatizados.2 Configuraciones de resultados: 000: Entorno seguro. 2x2: Entorno altamente vulnerable.5. 011.x2x. Asegurable a corto plazo.1 Referencias al puntaje obtenido en el test por nivel: 0: Seguro/protegido.María Victoria Bisogno. 111: Entorno medianamente vulnerable. De 17 a 32 puntos: Altamente vulnerable. xx2. De 15 a 28 puntos: Altamente vulnerable. 2. Nivel lógico: De 0 a 10 puntos: Seguro/protegido. De 0 a 6 puntos: Seguro/protegido. 101. 001. De 7 a 16 puntos: Medianamente vulnerable. 001.

Confidencialidad: que la información sea accesible sólo a las personas autorizadas. datos. etc).3 Análisis de vulnerabilidades. 57 . modificación o escucha indebida de información. “Una vulnerabilidad es cualquier situación que pueda desembocar en un problema de seguridad” asegura [Huerta]. activos deben cumplir su función conservando los tres pilares de la seguridad intactos: Integridad: que se proteja la exactitud y totalidad de los datos y los métodos de procesamiento. potenciales y latentes a cada instante.1 Conocer al enemigo Es muy importante conocer el entorno en estudio para predecir el tipo de atacante que puede atraer. completa a largo 2. persona. atentando contra al menos una de estas características. pueden causar la pérdida de alguna de las características deseables de la información. 222: Entorno altamente vulnerable. Las vulnerabilidades pueden generar amenazas en el entorno en estudio: si son conocidas por un atacante.3. MAEI . Esta etapa comprende la determinación de las amenazas que enfrenta el entorno respecto de la seguridad de la información.Metodología para el Aseguramiento de Entornos Informatizados. Se le llama amenaza a todo acontecimiento. Estos mensajes. sonido. los almacenados en cada estación de trabajo. antes mencionadas. los equipos e instalaciones. Disponibilidad: que los usuarios autorizados tengan acceso a la información y a los recursos cuando los necesiten. corren riesgos reales. luz. u ente capaz de hacer provecho de una vulnerabilidad para producir daño. los documentos y todo mensaje (pulso eléctrico.María Victoria Bisogno. 2. Requiere una planificación plazo. Los datos almacenados en los servidores de la red. las aplicaciones.

3. pero en general estos ataques no apuntan a una obtención de información. malversar los datos para obtener beneficios económicos.2 Ejemplo – Atacantes A continuación enumeramos algunos entornos comunes y sus enemigos más conocidos: Los entornos de investigación como universidades y laboratorios suelen ser boicoteados por los propios alumnos e investigadores.María Victoria Bisogno. sino a la negación de servicios o pérdida de información. y un ladrón de guantes blancos es atraído por un diamante. en general. y más ocasionalmente por extraños. en informática. los usuarios inexpertos son atraídos por entornos inseguros (como una computadora hogareña conectada a Internet). 58 . MAEI . Como un perro es atraído por un hueso.Metodología para el Aseguramiento de Entornos Informatizados. Las instituciones bancarias son blanco de atacantes codiciosos que pretenden. En este tipo de entornos la característica que se desea preservar es la integridad de los datos. se estará expuesto a un abanico de atacantes más o menos peligroso. Según las características del entorno. y más o menos experto. Los organismos militares suelen ser investigados por la competencia (organismos militares y de inteligencia de países enemigos) principalmente con el fin de obtener información. La confidencialidad de los datos es la característica más preciada en estos entornos. y rara vez por el personal. Las instituciones políticas y gubernamentales suelen ser carnada para pares de la competencia. Es por eso que el ES debe analizar qué tipo de entorno maneja para predecir a qué tipo de ataques probablemente se deberá enfrentar. Los entornos personales suelen ser atacados por intrusos desconocidos al azar (no se hacen ataques personales) que simplemente sienten satisfacción tomando control de máquinas ajenas o provocando daños. 2. como partidos opositores y gremios. mientras que los intrusos más hábiles se ven seducidos por ambientes confidenciales y protegidos (como organismos militares y de investigación).

de separación de funciones y tareas.3 Las amenazas Las amenazas más comunes a los entornos informatizados son: La falta de protección física del entorno: Las instalaciones. se subestima la implantación de medidas de control de acceso.Metodología para el Aseguramiento de Entornos Informatizados. 2. Una inadecuada separación de ambientes: Genera riesgos de integridad y coherencia de los datos además de la inestabilidad del sistema productivo con la consecuente falta de disponibilidad de los recursos. de los CPDs.3. la escasa separación de tareas y definición de roles disminuye la calidad del producto de software. La mala administración de proyectos: La mala planificación. en general son perpetrados por los propios empleados de la compañía. 59 . o destrucción por falta de protección o mala disposición física de los elementos. a hurto. entre otros factores que se discutirán luego. El diseño inseguro: En el diseño de las aplicaciones. Aquí la característica más valiosa es la disponibilidad de recursos y servicios. Es fundamental detectar y corregir estas situaciones. hacen a las aplicaciones más susceptibles a ataques. La falta de control y capacitación de los programadores hace que se genere código inseguro a partir de la programación descuidada de rutinas. provoca la disconformidad de los usuarios y una escasa documentación de las distintas etapas del desarrollo. En los entornos comerciales los ataques apuntan a la negación de servicios. Los errores en la administración del entorno: Una mala administración abre puertas a los intrusos.María Victoria Bisogno. los equipos y documentos pueden estar expuestos a catástrofes naturales. ya que una negación de servicios suele impactar fuertemente en los negocios. Los defectos funcionales en las aplicaciones: La falta de flexibilidad en la administración y la mala separación en módulos. MAEI . de las redes.

Metodología para el Aseguramiento de Entornos Informatizados. La ausencia de control de incidencias: El control de incidencias permite generar una base de conocimiento para el manejo de situaciones de riesgo y prevenir nuevos ataques. acceso indebido. Uno de los mayores puntos débiles de las organizaciones son estos “bugs” informáticos y la falta de protección lógica de los datos. Las amenazas lógicas programadas: Muchos ataques lógicos son perpetrados por intrusos que aprovechan errores en las aplicaciones y sistemas para realizar actos destructivos o delictivos como el daño de dispositivos o la escucha desautorizada de información. del sistema operativo. y una mala conducta y cultura de trabajo. producen descuidos o errores no forzados por los usuarios. 60 . Es fundamental detectar y conocer las vulnerabilidades del entorno informatizado en el que se está trabajando para poder establecer el camino a seguir que lleve a un aseguramiento efectivo. La falta de una normativa de seguridad: También la falta de una completa normativa procedimental y técnica. Estos factores y muchos otros más. pérdida de confidencialidad de los datos y todo tipo de escucha no autorizada de información. Las personas: El acceso de personas no autorizadas implica la vulnerabilidad del sistema ante hurtos. hacen que muchas vulnerabilidades de los entornos informatizados tengan origen en el mal uso del sistema por parte de los usuarios. La falta de control y administración de incidencias hace que el conocimiento de las amenazas detectadas se pierda y que se atrasen los tiempos de solución por la falta de circuitos de asignación de responsabilidades sobre el tratamiento de los casos. con sus respectivas consecuencias.María Victoria Bisogno. MAEI . Una incompleta protección lógica: La mala configuración de los servidores donde residen las aplicaciones. y llevar una frecuente actualización con los parches otorgados por los fabricantes de software. Por eso es muy importante estar al tanto de ello. de las bases de datos y de las interfases con las que se conectan genera errores y riesgos importantes.

Que existan estándares y procedimientos de trabajo definidos para todas las tareas del área. Que las tareas incompatibles sean adecuadamente segregadas. 61 . 2. Que el circuito de trabajo responda a criterios de seguridad. [OSSTMM-ISECOM] y [AACF-ROBOTA] son los siguientes: 2. A continuación se propone un documento que refleja la identificación de las potenciales vulnerabilidades del entorno en estudio. [Cobit].4. Este modelo contendrá la especificación. [AAW-ISI]. Se considera una vulnerabilidad a toda diferencia entre los parámetros deseados recomendados por dichos estándares y las mejores prácticas profesionales en cuanto a Seguridad Informática. eficiencia y productividad. [BS7799]. por nivel (físico.Metodología para el Aseguramiento de Entornos Informatizados. lógico y de la organización) de las amenazas latentes y las probables.1 Aspectos funcionales Que exista una adecuada definición de funciones y estructura de comunicación en el área. Lo llamaremos Mapa de Vulnerabilidades.3.4 Análisis de Vulnerabilidades En esta etapa se analizan las fallas de seguridad en el entorno según los estándares internacionales referenciados en la bibliografía de este trabajo.3. Que se haya definido y documentado un modelo de administración de la seguridad. Que las aplicaciones activas en el entorno contribuyan a perseguir los objetivos del negocio. MAEI . según [IRAM/ISO/IEC17799]. Los objetivos de control considerados. [MRSA-ISACA].María Victoria Bisogno. Que existan licencias de uso del producto para cada recurso / usuario.

Que todo procesamiento esté debidamente autorizado por los responsables correspondientes. por parte de personal de las áreas usuarias. La realización.Metodología para el Aseguramiento de Entornos Informatizados. Que exista un encargado de soporte del mantenimiento para las aplicaciones analizadas. Los requerimientos en cuanto a niveles de autorización para su implantación en el ambiente productivo. La forma de documentación de la participación y validación de los resultados de las pruebas. Que existan procedimientos de control de los resultados que surgen procesamiento en los equipos. que contemplen: La realización de pruebas de detalle por parte de personal de sistemas antes de ser probados por personal de las áreas usuarias. interfases. de la definición de los casos. análisis de los resultados. 62 . Que los procedimientos adoptados estén de acuerdo con normas estándares en la materia. o o o o o Que el acceso a la documentación de los sistemas de aplicación de producción sólo se permita a personal autorizado. del Que existan estándares definidos a seguirse para la realización de pruebas de los desarrollos y/o mantenimientos. Que estén definidos y se encuentren documentados para cada puesto del organigrama perfiles de usuario modelo a los cuales se les asocian las identificaciones individuales de cada persona.María Victoria Bisogno. MAEI . El procedimiento de implantación en producción. ejecución de las pruebas. etc. corridas mensuales y anuales. antes de la implantación. Que los equipos informáticos sean utilizados sólo con fines autorizados y siguiendo los procedimientos establecidos.

así como para la documentación de las etapas del proceso. tal como: o o o o Satisfacción funcional de los requerimientos de información de los usuarios. El análisis funcional permite visualizar las distintas etapas que se suceden en el proceso. MAEI . a efectos de obtener una visión global del mismo.Metodología para el Aseguramiento de Entornos Informatizados. 63 . medio y bajo riesgo. así como también identificar etapas de alto. Entrevistar a los analistas/programadores/técnicos responsables del desarrollo/mantenimiento de las aplicaciones y equipos para validar la adecuada concientización del personal a fin de cumplir con la documentación vigente. Que existen cláusulas de confidencialidad en los contratos con los proveedores de software y/o terceros que trabajen en las aplicaciones. tanto en su fase manual como automática. Además se podrán establecer los criterios que fueron utilizados para definir y establecer las características de los controles internos y las validaciones. Que existen adecuados procedimientos manuales o automatizados de control de cambios a los programas. información adicional sobre el entorno a relevar.María Victoria Bisogno. Para verificar estos puntos de control el ES y su equipo de trabajo puede realizar las siguientes tareas: Revisar la documentación del proceso de negocio de la empresa objetivo con el fin de conocer su estructura y funcionamiento. Experiencias anteriores sobre procesamiento de errores. Para ello se pueden distribuir encuestas de evaluación del funcionamiento de las aplicaciones y equipos entre personal del área de sistemas y de sectores usuarios. Obtener de los usuarios y de los analistas. Entrevistar a los analistas/programadores responsables del desarrollo/mantenimiento de las aplicaciones así como al personal usuario. Entrevistar a los analistas/programadores/técnicos responsables del mantenimiento de las aplicaciones y equipos y comparar el procedimiento que cada uno está aplicando. Confianza de los usuarios en la información que manejan estos equipos y aplicaciones. Tiempos de procesamiento y de generación de salidas. Este análisis permitirá visualizar el nivel de adhesión que tiene la estructura del proceso a los estándares metodológicos que se tengan establecidos para el desarrollo y mantenimiento.

prueba y aceptación). de realizar controles sobre las incidencias que involucren las aplicaciones. para verificar que se cumpla con los procedimientos vigentes. control. Obtener información sobre trazas de auditoría. Problemas detectados durante el último año. control de los cambios efectuados a las aplicaciones e identificar a los responsables de llevar a cabo los mismos. Documentos que demuestren que los usuarios finales han aprobado los desarrollos/modificaciones efectuados antes de migrar los nuevos programas al área de producción. Solicitar y analizar muestras de documentos relacionados con modificaciones de los programas: o o Documentos aprobados por los supervisores de desarrollo autorizando la puesta en producción de los programas modificados. o Identificar una muestra de requerimientos de cambios a las aplicaciones relevadas en el log requerido y verificar que para cada uno de ellos se haya cumplimentado adecuadamente el procedimiento de modificación de programas y catalogación en producción. Entrevistar a ciertos usuarios finales. a efectos de verificar cuán involucrados están con las distintas fases de desarrollo/mantenimiento de sistemas (diseño. con su respectivo control. Además. Asignaciones incorrectas de acceso a los transacciones de las aplicaciones on-line. elegidos al azar. Solicitar (en caso de existir) y analizar el log utilizado para priorizar y monitorizar la recepción y progreso de los cambios de sistemas. Conocer los procesos y funciones de administración de las bases de datos y de “back-up” de archivos y programas (fuentes y ejecutables) de cada una de las aplicaciones. MAEI . Formularios o memorándums que formalmente comuniquen el orden de ejecución de los programas modificados (Job step) al área de operaciones. se obtendrá de los usuarios finales la siguiente información: o o o Nivel de participación con relación a la calidad de los servicios.Metodología para el Aseguramiento de Entornos Informatizados. de reenganche y de procesamiento alternativo disponible. 64 . Identificar y entrevistar al personal responsable de implantar cambios. archivos de datos y a las Relevar y probar los procedimientos de administración. desarrollo.María Victoria Bisogno. históricos de archivos generados por los sistemas y procedimientos de emergencia.

Metodología para el Aseguramiento de Entornos Informatizados. publicación y distribución entre los involucrados. de procesamiento. Que los procesos tecnológicos estén alineados con las normas establecidas. 2. autorización y mantenimiento de la misma.3. Que exista documentación de usuario que especifique los requerimientos de tecnología. 65 . autorización y publicación. niveles de revisión.4. Que se encuentren implantados métodos efectivos de distribución y comunicación entre los involucrados. mantenimiento y cadenas de autorización referidos a la documentación. contenido. y siente las bases para el desarrollo de procedimientos y estándares técnicos. vigencia. Que existan relaciones formales y conocidas por el personal. Analizar la documentación existente en cuanto a estructura. Que los procedimientos alcancen los niveles de servicio perseguidos por la empresa. referidas a la documentación de carácter obligatorio y deseable que debe ser desarrollada y mantenida. se pueden llevar a cabo las siguientes tareas: Entrevistar al personal del Área de Sistemas a fin de identificar la documentación existente y los procedimientos formales e informales relacionados con el desarrollo.2 Análisis de la documentación En relación a la documentación. MAEI . y sean adecuados.María Victoria Bisogno. niveles de aprobación. los objetivos de control que se deben verificar son los siguientes: Que exista un marco normativo que defina la política de la empresa. Que exista un procedimiento formal para realizar el control de cambios. Que se cumpla con las definiciones formales e informales relacionadas al desarrollo. Para analizar si el entorno objetivo cumple con estos objetivos. de archivos y de interfases.

3. Que se encuentre implantado adecuadamente un control de accesos a la red de datos y sus equipos que eviten el uso no autorizado de los recursos. el descubrimiento y divulgación de información. Es necesario tener en cuenta los aspectos referidos a perfiles de acceso de los usuarios definidos en los sistemas.Metodología para el Aseguramiento de Entornos Informatizados. 2. MAEI . el 66 . Identificar los puntos débiles de la documentación y procedimientos existentes. Que se encuentre implantado adecuadamente un ambiente general de control de accesos propio de las aplicaciones y recursos a efectos de prevenir el uso no autorizado de funciones interactivas. la interacción con el sistema operativo donde están instaladas las aplicaciones. Que se encuentre implantada adecuadamente la estructura de control de accesos del ambiente de procesamiento de forma de evitar que se puedan modificar o leer archivos de datos o programas de las aplicaciones analizadas en forma no autorizada. Que la arquitectura técnica de las aplicaciones se encuentre adecuadamente diseñada. y el mal uso y abuso de la información tratada por los mismos.3 Análisis de las aplicaciones y equipos Los objetivos de control que debe verificar el ES en este aspecto son los siguientes: Que existan roles adecuados para la supervisión de la seguridad de las aplicaciones y equipos que existen en el entorno. Que exista una adecuada política de configuración de los equipos informáticos y de comunicaciones. para lo cual se analizarán los esquemas de acceso a las bases de datos. tanto desde conexiones desde la red interna como desde Internet. Evaluar los niveles de cumplimiento de los procedimientos existentes. Que se encuentre implantado adecuadamente un ambiente general de control de accesos para el procesamiento "batch". así como la protección de los recursos informáticos residentes en ellos. la interacción con el servicio de publicación de páginas web (si existiera). y la realización de controles que garanticen la autorización y el adecuado uso de los recursos. Seleccionar un grupo de personas para evaluar el nivel de conocimiento y utilización de la documentación existente.María Victoria Bisogno.4.

Entrevistar al personal responsable de seguridad informática a fin de analizar los controles efectuados en las aplicaciones. Para cumplir con estos objetivos. el ES puede llevar a cabo las siguientes tareas: Identificar los archivos y directorios críticos de las aplicaciones y de los sistemas operativos. MAEI . Identificar y entrevistar al personal que pueda proveer información de detalle en cuanto a los caminos por los que la información (datos y programas) puede ser accedida y los controles establecidos para restringir dicho acceso. con el seguimiento necesario. y que se realicen las validaciones adecuadas en la entrada y salida de datos. Que las aplicaciones gestionen los errores de forma estándar. Entrevistar al personal del área de desarrollo y mantenimiento de sistemas relacionados con las aplicaciones a efectos de identificar los nombres de los principales archivos.Metodología para el Aseguramiento de Entornos Informatizados. Entrevistar al personal de soporte técnico para identificar puntos de control sobre utilitarios riesgosos que puedan modificar archivos y/o programas sin dejar pistas de auditoría. Identificar los componentes de software de base de las instalaciones.María Victoria Bisogno. Que se realicen adecuados controles de los incidentes y problemas emergentes. en los equipos relacionados y el entorno. Analizar la asignación de permisos otorgados sobre los archivos y directorios críticos. Entrevistar al operador responsable del resguardo y recuperación de los datos a fin de analizar el nivel de cumplimiento de los procedimientos vigentes. las transacciones on-line con funciones de actualización y las transacciones on-line con funciones de lectura que muestran información sensible. 67 . etc. Que exista un plan de contingencia que permita recuperar las aplicaciones y equipos del entorno ante desastres o situaciones de emergencia. lenguaje de programación utilizado. la forma de codificación de los programas.

Generación de listados. Captura de pantallas. Identificar y analizar el sistema de autenticación de usuarios utilizado por la aplicación. de errores de las Realizar un intento de penetración con el fin de vulnerar las barreras de acceso existentes para utilizar los recursos informáticos de la compañía en forma no 68 .Metodología para el Aseguramiento de Entornos Informatizados. Entrevistar al personal de comunicaciones para comprender globalmente las facilidades de acceso a través de Internet y los mecanismos de seguridad implantados para prevenir el acceso a dichas facilidades. MAEI . Realizar pruebas de cumplimiento para verificar que los accesos a los diferentes recursos informáticos están adecuadamente otorgados y/o restringidos El ES determinará el Alcance de estas pruebas según el grado de criticidad de las aplicaciones. el sistema operativo que la soporta. y los vuelquen en informes. Entrevistar al personal encargado de la administración de las aplicaciones y software de base para conocer los detalles de la gestión de usuarios y permisos. Verificar la adecuada asignación de accesos a las aplicaciones y equipos. Realizar una toma de la configuración lógica de los equipos mediante: o o o Scripts de relevamiento técnico que lean los archivos de configuración más importantes. Analizar si son adecuados los permisos de acceso otorgados a los diferentes usuarios. Verificar la correcta definición de los parámetros de seguridad propios de las aplicaciones. Realizar pruebas que permitan detectar el manejo aplicaciones y la concurrencia.María Victoria Bisogno. Comprender los controles que existen para realizar las pruebas de cumplimiento sobre esos controles. Documentar los modelos de acceso lógico que representa los caminos por los que se accede a los datos críticos de las aplicaciones. Las tareas de revisión podrán incluir: o o o o o Solicitar listas de seguridad de las aplicaciones. Verificar que los sistemas de seguridad internos restrinjan el acceso a través de transacciones on-line a personal autorizado. equipos y de las funciones comprendidas.

3. Servicios Informáticos. Portales de Internet.1 Herramientas de análisis de vulnerabilidades). Contraseñas triviales. Casillas de Correo Electrónico.2.3. Para realizar un Intento de Penetración es necesario realizar las siguientes tareas: Reconocimiento de los recursos disponibles mediante el empleo de herramientas automáticas (Ver 2. Este análisis otorga información referente a: Versiones desactualizadas de software. Estaciones de trabajo. Bases de Datos. Explotación manual y automática de las vulnerabilidades para determinar su alcance .3. Versiones de software con vulnerabilidades conocidas. haciéndose parar por usuarios con altos privilegios como administradores y técnicos). autorizada desde una conexión proveniente de Internet (Intento de Penetración Externo).4. o desde la red interna de la compañía (Intento de Penetración interno). MAEI . 69 . Análisis de los resultados. Usuarios default.1 Intento de Penetración Un intento de Penetración es un análisis que permite detectar vulnerabilidades en un entorno informatizado mediante la búsqueda. Intranet corporativa.María Victoria Bisogno. la identificación y explotación de vulnerabilidades. Su alcance se extiende a: Equipos de comunicaciones. 2. Ingeniería social (La ingeniería social es la técnica por la cual se obtiene información convenciendo al usuario que otorgue información confidencial.5. Aplicaciones. Identificación de las vulnerabilidades existentes mediante herramientas automáticas. Servidores.Metodología para el Aseguramiento de Entornos Informatizados. Acceso físico a recursos y documentación.

y otras herramientas. Utilización de servicios inseguros.3. 2. MAEI . las entrevistas. sobre todo porque reducen considerablemente los tiempos de búsqueda y recolección de datos. Errores en la asignación de permisos.5 Mapa de Vulnerabilidades El Mapa de Vulnerabilidades es un documento que se propone con la idea de registrar y contabilizar las vulnerabilidades presentes en el entorno en estudio antes de la implantación del Plan de Aseguramiento. herramientas de escaneo de puertos (Port Scanners). No es el objetivo de esta Tesis dar detalles sobre implementaciones en particular. como analizadores de configuraciones. 2. sin embargo.3. se considera interesante remarcar la importancia del uso de estas herramientas para la detección de vulnerabilidades. Nivel de la organización. se elabora el Mapa de Vulnerabilidades dando detalle de los recursos informáticos e información de la compañía a la que se ha accedido de manera no autorizada. la documentación y los diferentes métodos de sondeo. Configuraciones default. Analizando toda la información obtenida mediante el Intento de Penetración.2 Herramientas de análisis de vulnerabilidades Existe una serie de herramientas que ofrecen datos útiles para el análisis de vulnerabilidades.4. analizadores de logs. El ES incluirá en el Mapa de Vulnerabilidades del entorno objetivo los niveles que se hayan determinado en el Alcance. sniffers.María Victoria Bisogno. 70 .3. Nivel lógico. Network Mapping. Testing Tools.Metodología para el Aseguramiento de Entornos Informatizados. sobre las que no se dará detalle por su constante evolución. Recursos compartidos desprotegidos. Para registrar las vulnerabilidades detectadas en el análisis anterior se divide el estudio del entorno en tres partes: Nivel físico.

Existencia de múltiples puntos de acceso: Esto facilita el ingreso no autorizado de intrusos. Un método no confiable de autenticación de usuarios es levemente mejor que ningún método de autenticación de usuarios. Falta de barreras físicas que protejan los activos: Permite el ingreso a la organización de intrusos. Áreas de entrega y carga de materiales descuidadas: 71 .Metodología para el Aseguramiento de Entornos Informatizados. MAEI . Ausencia de métodos confiables de autenticación de usuarios. la empresa se convierte en una continuación física de la vereda. Aquí se enumera una serie de aspectos concernientes a seguridad que implican vulnerabilidades y que el ES incluirá en el Mapa de Vulnerabilidades: 2.1 Vulnerabilidades a nivel físico Amenazas a las instalaciones Acceso libre a todos los sectores de la empresa a cualquier usuario: Si cualquier usuario puede acceder a todas las oficinas de la empresa. Áreas de procesamiento de información y de entrega y carga de materiales comunicadas: Facilita el acceso de intrusos al sector de cómputos.María Victoria Bisogno. Falta de autenticación de usuarios: Esto dificulta la identificación de usuarios no autorizados. daños físicos o espionaje de información confidencial.3. Falta de un perímetro de seguridad: Si no se establece un perímetro de seguridad. sin controles ni barreras físicas.5. es muy probable que acceda un intruso a las instalaciones provocando actos ilícitos como hurtos. Falta de áreas protegidas que guarden los equipos críticos: Permitiendo el acceso indiscriminado de personas.

Facilita la circulación de personas no autorizadas con los efectos consecuentes (hurtos. Falta de sistemas de detección de intrusos. Señalización indiscreta del edificio o sobreindicación: Toda la ayuda que se de para acceder a los sectores protegidos será una herramienta útil para un intruso que desee perpetrar las instalaciones. Si un usuario no autorizado accede a uno de estos números. Mala distribución física de los activos: Los equipos pueden estar ubicados en forma descuidada.1.María Victoria Bisogno. Integración del área de procesamientote información administrada por la organización y la administrada por terceros: Provoca una alteración a la confidencialidad de datos y la exposición a ataques internos por parte de terceros (ver la sección 4. Por ejemplo. que un intruso experimentado puede utilizar.1 Protección de la información). el cigarrillo puede provocar incendios. infiltrados. es común hacer públicas todas las extensiones telefónicas. Además. MAEI . 72 . sería capaz de implementar la ingeniería social para obtener información o accesos que no le pertenecen. Hacer pública información sensible: Toda información delicada debe ser cuidadosamente administrada. Humo del cigarrillo: El humo del cigarrillo ataca los discos magnéticos y ópticos y provoca trastornos en la ventilación de los artefactos eléctricos. incluso las de los sectores restringidos.2.Metodología para el Aseguramiento de Entornos Informatizados. Amenazas a los equipos. etc). Almacenamiento de materiales dañinos cerca de los equipos: Como combustibles o químicos. Permitir comer y beber en los sectores con equipos: La comida y bebida puede provocar deterioros en los equipos y cortocircuitos y hasta quemar elementos eléctricos. pues todo dato es una llave para el sistema. expuestos a catástrofes naturales (cerca de ventanas) o hurto (cerca de puertas o pasillos).

. con lo que cualquier hurto pasaría desapercibido. modificación. Amenazas generadas por el uso de una red física de datos. el mensaje puede sufrir de ataques de intrusos para su lectura. este mensaje viaja por el medio físico con el riesgo de sufrir alguno de los siguientes ataques por parte de un intruso “I”: M A Figura 1 En el medio del viaje del origen al destino. como se muestra en la figura 1. grasa. MAEI . Terminales abandonadas: Las terminales encendidas en desuso son un riesgo alto. baja o modificación en los equipos conlleva a un desconocimiento del capital invertido. etc. Cuando un mensaje “M” es enviado por un usuario origen “A” a un usuario destino “B” determinado a través de una red. No llevar un control de los cambios en los equipos: No registrar cada alta. Falta de higiene: La falta de higiene en oficinas puede provocar daño en los documentos impresos y en los equipos por acumulación de polvo. provocando cortocircuitos e incendios. A continuación detallamos las amenazas más comunes que puede sufrir un mensaje: B Tipos de amenazas 73 .María Victoria Bisogno. o eliminación. sin siquiera la necesidad loguearse. ya que cualquier persona puede hacer uso de sus recursos. Exposición a temperaturas extremas: Exponer los equipos a temperaturas extremas daña sus circuitos. Descuido de las unidades de soporte de información: Tener en mal estado o en lugares inseguros las unidades de backup y recuperación de sistemas es casi lo mismo que no tenerlas.Metodología para el Aseguramiento de Entornos Informatizados.

MAEI .María Victoria Bisogno. El destino recibe el mensaje modificando creyendo que es el original: M A M I Figura 4 B 4) Fabricación: El mensaje enviado por el origen nunca es distribuido.Metodología para el Aseguramiento de Entornos Informatizados. y lo reenvía modificado al verdadero destino. en su lugar el intruso envía otro mensaje en reemplazo del original: 5) 74 . 1) I nterrupción: Sucede cuando el destinatario nunca recibe el mensaje emitido por el origen: M A B Figura 2 2) Intercepción: El mensaje enviado por el origen es interceptado por un intruso que recibe el mensaje tanto como el verdadero destino: M A B I Figura 3 3) Modificación: El mensaje enviado por el origen es interceptado por un intruso que lo modifica.

Tender los cables de energía junto con los cables de comunicaciones: Pueden provocar interferencias en las comunicaciones. M A N I B Figura 5 Factores de riesgo conectores de LAN inutilizados.Metodología para el Aseguramiento de Entornos Informatizados. Gusanos (Worms): 75 .María Victoria Bisogno. de manera que cuando el archivo es ejecutado.3. MAEI . la cual puede efectuar distintas acciones malintencionadas. 2. al descubierto: Cualquier usuario no autorizado puede conectar una Laptop y sumarse a la red directamente. y hasta copiarse en otros archivos.5. destructivas.2 Vulnerabilidades a nivel lógico Amenazas generadas por el uso del correo electrónico Virus: Son porciones de código que son insertadas dentro de un archivo (generalmente ejecutable) llamado host. se ejecuta también la porción de código insertada. Cables atravesando zonas públicas: Pueden ser interceptados por intrusos que desvíen o modifiquen los paquetes transmitidos. Cables al descubierto: Pueden ser dañados con facilidad provocando una negación deservicio.

Son programas independientes (no necesitan insertarse en otros archivos) que se expanden a través de la red realizando distintas acciones como instalar virus.Metodología para el Aseguramiento de Entornos Informatizados. o realizando compras no autorizadas. Los mensajes son vulnerables a ser modificados por personas no autorizadas. MAEI . o atacar una PC como un intruso. enviando correos electrónicos difamatorios. Conejos: Son programas que no dañan directamente al sistema por alguna acción destructiva. Backdors y trapdors: 76 . Troyanos: Son programas que tienen una porción de código oculta. disco. Es un servicio vulnerable al descubrimiento (“disclosure”) confidencial. sino que tienen la facilidad de reproducirse exponencialmente de manera de provocar en poco tiempo una negación de servicio al consumir los recursos (memoria. Falta de una política de eliminación de mensajes: Puede suceder que se eliminen mensajes que. que dicen hacer una cosa y en realidad hacen otra (desconocida por el usuario) o simplemente hacen lo que dicen hacer y además ejecutan instrucciones no autorizadas. etc). Empleados pueden comprometer a la organización. si se almacenaran. etc).María Victoria Bisogno. podrían ser hallados en caso de litigio. procesador. o la publicación de direcciones de personal jerárquico de la empresa. llevando a cabo prácticas de hostigamiento. de información Se pueden producir errores como por ejemplo la consignación incorrecta de la dirección de destino. Amenazas generadas por el uso de software dañino Bombas lógicas: Son un conjunto de instrucciones que se ejecutan bajo condiciones especiales (una fecha. Acceso remoto a las cuentas de correo electrónico sin control.

etc. Herramientas de seguridad: Son utilitarios que sirven para identificar vulnerabilidades en un sistema. etc. como revelar su contraseña o cambiarla. Basurero: La información de los desperdicios dejados alrededor de un sistema puede ser aprovechada por intrusos provocar un hurto o daño. Masquerading: Un intruso puede usar la identidad de un usuario autorizado que no le pertenece simplemente apoderándose de un nombre de usuario y contraseña válidos. y suelen ser aprovechados por intrusos malintencionados para tomar control sobre las computadoras.Metodología para el Aseguramiento de Entornos Informatizados. claves. Ingeniería social: Consiste en la manipulación de las personas para que voluntariamente realicen actos que normalmente no harían. Piggy backing: Ocurre cuando un usuario no autorizado accede a una zona restringida gracias al permiso otorgado a otra persona que sí está autorizada. MAEI . Shoulder Surfing: Consiste en espiar físicamente a los usuarios para obtener claves de acceso al sistema. números válidos de tarjetas de crédito. Pueden ser una amenaza si un intruso las utiliza en el sistema y detecta fallas en la seguridad de las que el administrador no está enterado. 77 . Timeouts: Son programas que se pueden determinado. datos. utilizar durante un período de tiempo Amenazas generadas por la presencia de intrusos Eaves dropping: Es la escucha no autorizada de conversaciones.María Victoria Bisogno. Son instrucciones que permiten a un usuario acceder a otros procesos o a una línea de comandos.

y una potencial pérdida de información vital para el negocio. Vulnerabilidades en los sistemas operativos Existencia de cuantas de usuarios no utilizadas: Muchas cunetas de usuario son creadas por defecto en la instalación del sistema operativo y nunca son deshabilitadas. Falta de registro de las pistas de auditoría: 78 . Existencia de cuantas de usuario con permisos excesivos: Generada por la falta de control de los permisos asignados a los usuarios. Falta de un esquema de backup. que son de conocimiento público y muchas veces se crean con una contraseña por default. y los de conexión remota) son instalados por defecto con el sistema operativo. a pesar de que no se utilicen. Existencia de servicios no utilizados: Muchos servicios (en particular los de red.María Victoria Bisogno. Ésta es una de las primeras tácticas que utilizan los intrusos para atacar sistemas débiles. Malas configuraciones de seguridad del sistema operativo: Como la existencia de cuentas de usuario creadas en la instalación. Estos pueden ser utilizados por intrusos para manipular el sistema en forma remota y acceder a los recursos. Errores en los archivos de configuración existentes y sus valores. o para la corrida de procesos especiales y nunca son eliminados. MAEI . Esta situación es una puerta abierta para los intrusos que conocen estas vulnerabilidades de los sistemas operativos.Metodología para el Aseguramiento de Entornos Informatizados. Ausencia de una estrategia de recuperación ante desastres: El Plan de Recuperación del Entorno ante Desastres cubre las aplicaciones. No poseer un plan de acción ante emergencias implica un crecimiento exponencial del tiempo invertido en la recuperación de las prestaciones. Contraseñas almacenadas en texto plano: Algunos sistemas operativos almacenan las contraseñas en texto plano permitiendo el acceso autorizado (enmascarado) de intrusos si ellos lograran acceder a la información de passwords. equipos y software base que soporta el negocio para su recuperación. aumentando el riesgo de ataques a la integridad y confidencialidad mediante un acceso no autorizado.

María Victoria Bisogno. Vulnerabilidades en las aplicaciones A nivel funcional: Falta de documentación: La ausencia de documentación dificulta la capacitación de los usuarios y el seguimiento de los proyectos y procesos. Fallas en la metodología de desarrollo de las aplicaciones. Falta de separación de ambientes: La separación de ambientes es fundamental. desarrollo y prueba. por ejemplo entre los requerimientos de usuario y los cambios realizados en el software afectado. Falta de las pruebas en el desarrollo de aplicaciones. Mala configuración de entornos: Generalmente en los entornos de desarrollo se otorgan permisos excesivos a los programadores que provocan fallas en la confidencialidad e integridad de los datos. en la conservación de la integridad de los datos a través de la separación lógica y física de los entornos de producción.Metodología para el Aseguramiento de Entornos Informatizados. Mal manejo de datos: 79 . Mala organización del área de sistemas. MAEI . Las pistas de auditoría o logs sirven para dejar registro de las acciones de los usuarios y los procesos. más allá de las ventajas metodológicas en el proceso de desarrollo de software. No llevar un adecuado registro de las pistas de auditoría dificulta la tarea de detección de intrusos y recuperación de información. Planificación deficiente. Mala administración de la seguridad informática. Pobre separación de tareas. provocando incoherencias en el trabajo.

protegidos por las leyes de todo el mundo. La falta de estos controles o el uso indebido de datos puede tener consecuencias legales graves. Aspectos lógicos: Mala estructura de navegación del menú/ páginas de la aplicación. pero tiene un riesgo asociado cuando se manejan datos de carácter personal. Mala administración de la aplicación: o o o o Falta de organización de los perfiles de usuarios. Prestaciones limitadas. Mala separación en módulos. Mal manejo de incidencias. 80 . Falta de coherencia con los objetivos del negocio. o Clasificación. para los cuales hay que tomar medidas de seguridad adicionales. Defectos en la funcionalidad general de la aplicación. Esto no es crítico si la base de datos de prueba es independiente. Falta de control de cambios. Formas erróneas de asignación de permisos.María Victoria Bisogno. Falta de asignación de responsabilidades de seguridad.Metodología para el Aseguramiento de Entornos Informatizados. Falta de registro y control de las pistas de auditoría. MAEI . Pobre análisis del control interno: o o Falta d separación de tareas. o Datos utilizados para las pruebas: Muchas veces se utilizan para las pruebas datos de producción. manejo y protección de los datos productivos: La falta de análisis de criticidad de los datos y categorización hace que no se brinden los controles que garanticen la correcta manipulación de datos con la consecuente pérdida de confidencialidad e integridad. Análisis de asignación de funciones incompatibles.

según su tarea. Contraseñas almacenadas en texto plano. Ausencia de una estrategia de recuperación ante desastres. Errores en las interfaces e interacción con otros servicios. Formas inseguras de comunicación con la aplicación. Falta de registro de las pistas de auditoría. con lo que cualquier hurto o modificación pasaría desapercibido.Metodología para el Aseguramiento de Entornos Informatizados. Mal manejo de errores de la aplicación. Malas configuraciones de seguridad del sistema operativo. Amenazas generadas por mala administración de la información No controlar el acceso a los sistemas: Cualquier usuario podría utilizar y modificar los archivos sin tener que pasar ninguna barrera que filtre a los intrusos. un data entry podrá acceder a los recursos indistintamente del gerente de sistemas. No contar con un sistema de perfiles de usuarios: Un sistema de perfiles permite asignar distintos privilegios a los usuarios. Mala administración de la base de datos. Ausencia de un control de impacto del nuevo software: 81 . Mal manejo de la concurrencia. Vulnerabilidades en los servicios prestados por el mismo servidor. de manera que no todos tengan las mismas posibilidades de acceso a los recursos. Falta de validación de los datos de salida.María Victoria Bisogno. Mala configuración de seguridad de las bases de datos utilizadas. Si esto no se tiene en cuenta. Falta de un esquema de backup. No llevar un control de los cambios en el software: No registrar cada alta. No llevar un registro de los incidencias (como pérdida de datos o mal funcionamiento de software). Mal manejo de transacciones. baja o modificación en los programas de software conlleva a un desconocimiento del capital invertido. Mal manejo de datos: o o Falta de validación de los datos de entrada. o del administrador de bases de datos. MAEI . Errores en los archivos de configuración existentes y sus valores.

y su ausencia exhibe una clara desatención en la materia de seguridad. y los disponibles. No mantener actualizado el software de detección y reparación antivirus: [10lawsMS] asegura que: “Un antivirus desactualizado es sólo marginalmente mejor que ningún antivirus”.3. Falta de control lógico. sabotaje. Este criterio es utilizado para reforzar el control interno por oposición de intereses. que provocará: o o o Ausencia o mal manejo de incidencias. Los administradores y las personas responsables por la seguridad del sistema cumplen un rol fundamental en este proceso. Puede haber una incoherencia entre los requerimientos de capacidad de procesamiento y almacenamiento del nuevo software. MAEI . hurto.María Victoria Bisogno. Realización de backups incompletos pueden llegar a no servir de mucho a la hora de reconstruir un sistema caído. Mala administración de los recursos.Metodología para el Aseguramiento de Entornos Informatizados. Ausencia de administradores y responsables por la seguridad del sistema: Esta falta implica una gran falla en la seguridad ya que se omite el primer paso en el camino de la protección: el control.3 Vulnerabilidades a nivel de la organización. Documentación desprotegida.5. Superposición o mala asignación de roles: [CISA] realizó un estudio de compatibilidades de funciones y desarrolló una matriz de compatibilidades donde se refleja qué funciones son compatibles o no con otras. Un intruso o espía puede hacer mal u:o de la documentación para distintos fines: espionaje. o para obtener información que le sirva como puerta al sistema objetivo. por lo que deberían llevarse a cabo por distintas personas. 2. Acceso ilimitado o no controlado a los datos: Permite el libre acceso de intrusos a los datos facilitando los ataques anónimos. 82 . Falta de backups: Sin copias de respaldo la recuperación de la información y la restauración del sistema luego de un incidente es imposible. o una incompatibilidad con la plataforma de hardware utilizada.

María Victoria Bisogno. MAEI . falta de disponibilidad de recursos. Etc. o el acceso no autorizado a los recursos por una pobre autenticación de usuarios). 83 . provocando hurtos y otros ataques. etc). 2. Falta de protección de las operaciones de comercio electrónico. Los riesgos pueden ser: Tecnológicos: si tienen origen o afectan aspectos técnicos del entorno (como deterioro de equipamientos. Falta de registro del flujo del personal: No permite detectar intrusos.Metodología para el Aseguramiento de Entornos Informatizados. se analiza el riesgo que corren los activos de la organización para determinar la probabilidad de ocurrencia de incidencias de seguridad y su impacto en el sistema. Descuido de los escritorios y las pantallas: Dejando el acceso libre a los documentos y archivos de la oficina. además de problemas en la implantación en el ambiente de producción.4 Análisis de Riesgos A partir del Mapa de Vulnerabilidades construido en la etapa anterior de la fase de Definición del Alcance de la MAEI. Funcionales: si tienen origen o afectan aspectos funcionales del entorno (como posible descubrimiento de información por la existencia de usuarios con contraseña por default. de prueba y producción unificados: Provoca fallas en la calidad del software y falta de control en las distintas etapas del desarrollo de software. o o Falta de registro o monitorización de la actividad del sistema. Falta de políticas contra ataques internos. Sectores de desarrollo. Ausencia de una Normativa de Seguridad.

físico y de la organización. otras no. Es tarea del ES en esta parte de la metodología examinar las vulnerabilidades halladas y evaluar su riesgo asociado. Es por eso que surgen nuevos riesgos día a día. o provocar toda clase de daño. Es más. pero están presentes. los equipos. No importa la plataforma tecnológica. y. Los riesgos observados que presentan una probabilidad de ocurrencia no despreciable en función de las características del entorno varían desde los factores climáticos y meteorológicos que afectan a la región hasta el factor humano de los recursos de la empresa. siempre existen riesgos remanentes y desconocidos. cada día surgen nuevos riesgos a medida que la tecnología avanza y los sistemas cambian. Tampoco importa la infraestructura edilicia.Metodología para el Aseguramiento de Entornos Informatizados. algunas conocidas. En el Análisis de vulnerabilidades se vieron los distintos tipos de amenazas que pueden presentarse a nivel lógico. Todos los entornos tienen vulnerabilidades.María Victoria Bisogno. Un método comúnmente utilizado es el diagrama: 84 . esperando ser usadas por un atacante para penetrar las barreras de seguridad y apoderarse de información. Todos los entornos están expuestos a amenazas. su probabilidad de ocurrencia. transferir (ceder su responsabilidad a otra persona) o asumir (cuando se decide correr el riesgo con sus posibles consecuencias). Los riegos reales y potenciales son variables en el tiempo y en el lugar. Siempre existen riesgos. MAEI . determinar su probabilidad de ocurrencia y medir su impacto en el entorno. Para la evaluación de riesgos es posible utilizar métodos muy variados en composición y complejidad. el cableado. no importa la marca de software que se usa. No es posible eliminar todos los riesgos sino que se pueden mitigar (empleando medidas para reducirlos). por supuesto. Existe una relación entre tipo de desastre y sus efectos. Sin embargo. Los entornos informatizados suelen acompañar estos cambios adaptándose a los requerimientos tecnológicos del momento. pero para todos ellos es necesario realizar un diagnóstico de la situación. denegar servicios.

su criticidad. 85 . que puede clasificarse en: Alto. Este documento recompila todas las vulnerabilidades halladas en la etapa anterior de la metodología. para evaluar su riesgo. Esta es una adaptación de la Tabla de Riesgos utilizada en el análisis de sistemas en la que se ha agregado la criticidad que implica la vulnerabilidad en estudio. Se recomienda agrupar las vulnerabilidades con algún criterio.Metodología para el Aseguramiento de Entornos Informatizados. El análisis de riesgos se realiza en cada área de la empresa.1 Informe de Riesgos A continuación se presenta un documento que ayuda a la formalización de estos conceptos para su estudio: el Informe de Riesgos. de manera de poder encarar la elaboración del Plan de Aseguramiento del proyecto junto a los requerimientos planteados por el usuario. mediante métodos de adquisición de información como entrevistas con los usuarios.4. los peligros que corre e identificar los requerimientos de seguridad del sistema objetivo y su prioridad. MAEI . la probabilidad de que ocurran y determinar su impacto en el entorno informatizado y en el negocio. Alto Mayor Probabilidad de ocurrencia importancia Bajo Impacto Alto Este análisis de riesgos permite al ES ofrecer un informe de los riesgos entorno. Medio. 2. como por ejemplo por nivel de criticidad.María Victoria Bisogno.

teniendo en cuenta sus consecuencias en el negocio.Metodología para el Aseguramiento de Entornos Informatizados.2 Ejemplo – Informe de Riesgos. falla o bien que ponga en peligro la integridad. VULNERABILIDAD: Nombre de la vulnerabilidad descubierta en la etapa de análisis de vulnerabilidades. Formato del Informe de Riesgos # VULNERABILIDAD RIESGO CRITICIDAD IMPACTO P(ocurrencia) Descripción de los campos #: Número correlativo de vulnerabilidad. MAEI . según el criterio aplicado en la evaluación de vulnerabilidades del Relevamiento de Usuario: 0: No representa amenaza alguna. la confidencialidad o la disponibilidad de la información o los recursos y activos.4. CRITICIDAD: Una medida de la criticidad del riesgo. P (ocurrencia): Es la probabilidad de ocurrencia de dicho evento tomando en cuenta las amenazas y vulnerabilidades predominantes. 86 . Es todo evento. 1: Amenaza leve. y los controles actualmente implementados. RIESGO: Breve descripción del riesgo detectado en el análisis. Bajo. 2.María Victoria Bisogno. IMPACTO: Es el efecto potencial de una falla de seguridad. U ordenarlas en forma decreciente según su impacto o probabilidad de ocurrencia. 2: Gran amenaza al sistema.

# VULNERABILIDAD RIESGO CRITICIDAD IMPACTO P(ocurrencia) Los riesgos más altos.5 acondicionado de ad backup d i l i ab Falta de b mantenimiento de los o equipos de r P 0 procesamiento de datos. Pérdida de equipos.1 3 4 a i c n e Ubicación física en r r zona inundable u c O Falta de equipo de aire e d 0. mala imagen en clientes. 0 Destrucción de documentación impresa y posibilidad de afección del centro Posibles cortocircuitos.Metodología para el Aseguramiento de Entornos Informatizados. 88 87 . MAEI . Administración de los equipos por personal no especializado. negación de servicios.3 1 Indisponibilidad de los servicios 6 Existencia de cables de red al descubierto atravesando los pasillos Descuido del cableado eléctrico.1 périda de confiabilidad. Indisponibilidad de los servicios. Acto de 7 1 0. pérdida de información. se ubicarán en el cuadrante derecho superior del Existencia de material siguiente diagrama: inflamable en el CPD 1 (Centro de Procesamiento de Datos) Existencia de material inflamable en el CPD y en las oficinas 1 aledañas Fuego en el Data Center 2 0. pérdida de información.4 equipos Mal funcionamiento por recalentamiento de 5 Fallas en equipos 1 0. pérdida de 10 0 0.45 cercanos de cómputos 1 0.45 confiabilidad. Inundación Fallas en el aire acondiciona do incendios 2 0. por ende. Diagrama de riesgos: El diagrama de riesgos esquematiza el impacto de los riesgos en función de su probabilidad de ocurrencia. Cuanto mayor sea el impacto y la probabilidad de ocurrencia.6 datos.5 datos. pérdida de 8 vandalismo 2 0.María Victoria Bisogno.5 y espacio físico Destrucción de equipos 2 Análisis de Riesgos en Fuego en elCPD lugares 1 0. falta de acondicionamiento de la central eléctrica y pobre aislamiento. Acto de sabotaje o robo Errores humanos no intencionale s 2 0. Exposición de los equipos a personal no autorizado. Indisponibilidad de los servicios.5 Impacto Fallas en comunicacio nes Corte de suministro eléctrico 1 0. más fuertes deberán ser los controles a aplicar para mitigar el riesgo asociado. Pérdida de 9 Exposición de los equipos a terceros. equipos quemados.5 servicios Indisponibilidad de los 0.

Fuego en el CPD Fuego en cercanos lugares Inundación Fallas en el acondicionado aire Fallas en equipos Fallas en comunicaciones Corte de eléctrico suministro Acto de vandalismo Acto de sabotaje o robo intencionales Errores humanos no .

María Victoria Bisogno. 3. 3.2 Protección del Sistema Operativo.2. 3.2 Aprobación del Plan de Aseguramiento.1 Protección de las Instalaciones. 3 PLANIFICACIÓN Contenido: 3. 3.1 Protección física.1.1 Protección de la información.2 Protección lógica.2.1.1. 89 . 3.Metodología para el Aseguramiento de Entornos Informatizados.1. 3.2 Protección de los equipos.3 Protección de los datos. 3.1. 3.3 Protección a nivel de la organización.1 Elaboración del Plan de Aseguramiento. 3. MAEI .1.1.1.1.2.1.

Metodología para el Aseguramiento de Entornos Informatizados. MAEI - María Victoria Bisogno.

3.1 ELABORACIÓN DEL PLAN DE ASEGURAMIENTO
En esta parte de la fase de planificación se establece, en base al Alcance y al Relevamiento anteriormente realizado, el Plan de Aseguramiento. Este documento describe en forma precisa y detallada las medidas, cambios y controles que se implementarán a fin de proteger el sistema objetivo, mitigando los riesgos descubiertos en la fase anterior de la MAEI. Los objetivos de control planteados por el Experto en la etapa de Análisis de Vulnerabilidades se reflejan aquí en medidas de control que garanticen la reducción del riesgo asociado a las vulnerabilidades halladas, tanto en aspectos tecnológicos como funcionales. [IRAM/ISO/IEC17799] indica: “Una vez identificados los requerimientos de seguridad, deben seleccionarse e implementarse controles para garantizar que los riesgos sean reducidos a un nivel aceptable.”…” Los controles deben seleccionarse teniendo en cuenta el costo de implantación en relación con los riesgos a reducir y las pérdidas que podrían producirse de tener lugar una violación de la seguridad. También deben tenerse en cuenta los factores no monetarios, como el daño en la reputación”. Se detalló en etapas anteriores de la MAEI cómo a partir de un análisis de vulnerabilidades, de requerimientos de usuario y de riesgos se llega a establecer el Alcance. En la presente fase se pretende dar una serie de medidas, controles y técnicas aplicables a cualquier sistema de información, con el fin de alcanzar los resultados fijados en el Alcance. Sin embargo, no es el fin de este trabajo dar detalles sobre las técnicas a implementar para conseguir estos resultados, entendiéndose por buenos resultados el aseguramiento del elemento en cuestión. Se limitará a dar las pautas procedimentales para asegurar el entorno informatizado que es objetivo, y el ES que lo implemente deberá realizar el trabajo de investigación específico para obtener los resultados propuestos por este trabajo, según la tecnología involucrada.

3.1.1 Protección física

90

Metodología para el Aseguramiento de Entornos Informatizados. MAEI - María Victoria Bisogno.

3.1.1.1 Protección de las Instalaciones Se analiza en esta parte la protección del edificio, salas e instalaciones a nivel físico. Se evalúa la implantación de alguna de las siguientes técnicas: Definición de áreas de la organización en cuanto a seguridad: En esta etapa se deberán diferenciar los sectores de acceso común a todos los usuarios (como el comedor, la sala de reuniones, etc) de los sectores de acceso restringido (como el área de cómputos o tesorería) y los distintos niveles de seguridad requeridos; Definición de un perímetro de seguridad: Un perímetro de seguridad es un área considerada segura. Al definir un perímetro de seguridad, se establece un área donde se implementarán medidas de protección que garanticen cierto grado de seguridad, como por ejemplo, berreras físicas; [IRAM/ISO/IEC17799] define: “Un perímetro de seguridad es algo delimitado por una barrera, por ejemplo, una pared, una puerta de acceso controlado por tarjeta o un escritorio u oficina de recepción atendidos por personas.” Construcción de barreras físicas: Paredes, alarmas, cerraduras, sistemas automáticos de autenticación de usuarios, etc; Verificación del perímetro de seguridad: Realizar pruebas de penetración de las barreras físicas, para determinar su fortaleza; Determinación de áreas protegidas: Un área protegida es una zona que se desea mantener segura, a la que no tiene acceso todo el personal, sino un grupo reducido de éste, a la que acceden con fines específicos y bajo severos controles de autenticación. Puede ser una oficina cerrada con llave, o diversos recintos dentro de un perímetro de seguridad física donde se realicen operaciones confidenciales, como el centro de procesamiento de información, etc. Se deben definir las zonas u oficinas que tienen estos requerimientos; Controles en las áreas protegidas: o Dar conocimiento de la existencia de un área protegida, o de las actividades que se llevan a cabo dentro de la misma, sólo al personal estrictamente necesario e involucrado; 91

Metodología para el Aseguramiento de Entornos Informatizados. MAEI - María Victoria Bisogno.

o o o

Controlar el trabajo en las áreas protegidas tanto por razones de seguridad como para evitar la posibilidad de que se lleven a cabo actividades maliciosas; Bloquear físicamente las áreas protegidas desocupadas e inspeccionarlas periódicamente; Brindar acceso limitado a las áreas protegidas o a las instalaciones de procesamiento de información sensible al personal del servicio de soporte externo. Otorgar este acceso solamente cuando sea necesario y autorizar y monitorearlo. Pueden requerirse barreras y perímetros adicionales para controlar el acceso físico entre áreas con diferentes requerimientos de seguridad, y que están ubicadas dentro del mismo perímetro de seguridad; Prohibir el ingreso de equipos fotográficos, de vídeo, audio u otro tipo de equipamiento que registre información.

o

Determinación de un área de acceso y autenticación de personal: El control de acceso y la autenticación de usuarios se deben realizar en un punto de acceso común y alejado de las áreas protegidas. Se recomienda la centralización del puesto de acceso para facilitar el registro y control de flujo de personal; Determinación de uno o varios métodos de autenticación de usuarios: Autenticar usuarios implica verificar a los usuarios que intentan acceder al entorno, a la red o al sistema, comprobando que estos sean quienes dicen ser. Existen muchos métodos de autenticación de usuarios, y se clasifican según lo que utilizan para la verificación de la identidad: o Métodos que se basan en algo que el usuario sabe: ▪ ▪ o Contraseñas (passwords); Frases secretas (passphrases); Métodos que autentican a través de un elemento que el usuario posee o lleva consigo: ▪ ▪ o Tarjetas magnéticas; Tarjetas de identidad inteligentes (chipcards o smartcards) que poseen un procesador que se encarga de encriptar la información y otras funciones; Verificación del aspecto físico; Reconocimiento por huella digital; Reconocimiento por el patrón de la retina del ojo; Reconocimiento por el patrón del iris del ojo; Reconocimiento de la voz; Firmas es un acto inconsciente, ya que no se razona cómo se hace cada trazo); Verificación de la geometría de la mano;

Métodos que utilizan características físicas del usuario o actos inconscientes: ▪ ▪ ▪ ▪ ▪ ▪ ▪

92

Metodología para el Aseguramiento de Entornos Informatizados. MAEI - María Victoria Bisogno.

Determinación de la forma de registro del flujo de personas en los distintos sectores: Por ejemplo, mediante un sistema de tarjetas magnéticas: o o Registrar la hora de ingreso y egreso de cada usuario que ingrese al edificio; Registrar la hora de ingreso y egreso de cada usuario que recurra al centro de cómputos;

Separación del área de procesamiento de información de las áreas de entrega y carga de materiales: Si estas áreas se mantienen separadas por barreras físicas, se evitan intrusiones y hurtos de información; graves Separación de las áreas de entrega y carga de materiales: Las áreas de entrega y carga, si es posible, se aíslan de las instalaciones de procesamiento de información, a fin de impedir accesos no autorizados; Controles en las áreas de entrega y carga de materiales: o Controlar el acceso a las áreas de depósito, desde el exterior de la sede de la organización. El acceso estará limitado a personal que sea previamente identificado y autorizado; Diseñar el área de depósito de manera tal que los suministros puedan ser descargados sin que el personal que realiza la entrega acceda a otros sectores del edificio; Establecer un mecanismo que obligue a que todas las puertas exteriores de un área de depósito se cierren cuando se abre la puerta interna; Inspeccionar el material entrante para descartar peligros potenciales antes de ser trasladado desde el área de depósito hasta el lugar de uso;

o

o o

Separación del área de procesamiento de información administrada por la organización de la administrada por terceros: Las instalaciones de procesamiento de información administradas por la organización se ubican físicamente separadas de aquellas administradas por terceros; Señalización discreta del edificio: Establecer una forma de identificación de sectores dentro del edificio de manera discreta y se ofrece una señalización mínima de su propósito, sin signos obvios, exteriores o interiores, que identifiquen la presencia de actividades de procesamiento de información; Implantación de sistemas de detección de intrusos: Implantar adecuados sistemas de detección de intrusos que se instalan según estándares profesionales y probados periódicamente. Estos sistemas 93

mediante la ubicación estratégica de los bienes. Llevar un exhaustivo control de la información publicada en los servidores Web de acceso Público. No almacenar los suministros a granel. 94 . por ejemplo. en el área protegida hasta que sean requeridos. MAEI . como los útiles de escritorio. Individualización de los elementos de red: Es fundamental tener un conocimiento completo de la red. su respectiva ubicación física y su dirección lógica.Metodología para el Aseguramiento de Entornos Informatizados. No hacer pública información sensible: o Las guías telefónicas y listados de teléfonos internos que identifican las ubicaciones de las instalaciones de procesamiento de información sensible no deben ser fácilmente accesibles al público. comprenden todas las puertas exteriores y ventanas accesibles. fotocopiadoras. en particular la referida a la institución. Se evalúa la posibilidad de implementar alguna de las siguientes técnicas: Evaluación de la distribución física de los activos: Se realiza a fin de evitar accidentes. como la sala de cómputos o las salas de comunicaciones. máquinas de fax.1.María Victoria Bisogno.2 Protección de los equipos Se analiza en esta parte la protección de los distintos Activos a nivel físico. Para ello se presenta una tabla que registra estos datos: el Mapa de elementos de red. Las áreas vacías deben tener alarmas activadas en todo momento. o 3. o para prevenir.1. Mantener alejados los suministros: o o Almacenar los materiales peligrosos o combustibles en lugares seguros a una distancia prudencial del área protegida. También se considera la protección de otras áreas. dentro del área protegida para evitar solicitudes de acceso. hurtos o deterioros de activos: o o Ubicar las instalaciones clave en lugares a los cuales no pueda acceder el público. que podrían comprometer la información. individualizar todos sus elementos. Ubicar las funciones y el equipamiento de soporte compartidas por los usuarios.

Router.Metodología para el Aseguramiento de Entornos Informatizados. Verificar que en el mantenimiento se cumpla con todos los requisitos impuestos por las pólizas de seguro. Mantener registro de todas las fallas supuestas o reales en el Registro de Incidencias y de todo el mantenimiento preventivo. correctivo y actualizaciones de hardware en el documento de ABM Activos y en el Inventario de Activos Físicos. cintas de backup y demás activos físicos deben ser rotulados según la nomenclatura fijada en el Inventario de Activos Físicos de forma clara y legible. Rotulación de activos físicos: Los equipos. MAEI . Control de cambios en equipos: o o o Mantener el equipamiento de acuerdo con los intervalos de servicio y especificaciones recomendados por el proveedor. Permitir que sólo personal de mantenimiento autorizado brinde mantenimiento y lleve a cabo reparaciones en el equipamiento. dispositivos externos. o Prevención de catástrofes: 95 . según lo especificado en la fase de Mantenimiento de la MAEI. ELEMENTO: tipo de elemento de red: CPU. Mapa de Elementos de Red SUBNET ELEMENTO IP SECTOR Descripción de los campos SUBNET: Dirección IP de la subred a la que pertenece. IP: dirección IP local de la máquina. Switch. SECTOR: lugar físico donde el elemento está ubicado el elemento.María Victoria Bisogno.

guardar los backups lejos de columnas metálicas para que no se desmagneticen. Electricidad: Trastornos o fallas en la línea eléctrica pueden provocar cortocircuitos. Se considera prohibir fumar en las oficinas y colocar detectores de humo en los techos. Vibraciones: Ciertos objetos presentes en oficinas provocan vibraciones indeseadas. Instalar cables a tierra y estabilizadores de tensión. Explosiones. Instalar plataformas antivibración. en general entre los 0 y los 70 grados centígrados. Humo: Provocado por incendios y por el cigarrillo. Consultar los manuales de los fabricantes y mantener la temperatura dentro de los rangos sugeridos. Tormentas eléctricas: Las tormentas eléctricas pueden provocar altísimas subidas de tensión que quemen los equipos.Metodología para el Aseguramiento de Entornos Informatizados. El humo ataca los discos magnéticos y ópticos y provoca trastornos en la ventilación de los artefactos eléctricos. por fallas eléctricas o descuido de los usuarios (cigarrillos. Temperaturas extremas: Los artefactos eléctricos y electrónicos funcionan correctamente dentro de un rango determinado de temperaturas. subidas de tensión. y extinguidotes manuales en todo el edificio. Si se exceden estos extremos se corre el riesgo de que los materiales dejen de ser ferromagnéticos. Polvo: El polvo se deposita sobre los artefactos removibles y entra por los ventiladores de las CPU y daña los circuitos. cortes en el flujo eléctrico y hasta incendios. provocan estas vibraciones. máquinas expendedoras de bebidas. o Incendios: Provocados por rayos. MAEI . Impresoras. y desconectar los equipos de la línea eléctrica cada vez que se desata una tormenta. Colocar extinguidotes automáticos en los techos.María Victoria Bisogno. o o o o o o o 96 . Se aconseja la utilización de equipos de aire acondicionado en todas las salas. Es necesario tener una rutina de limpieza y aspiración de los ambientes. hornallas). También se sugiere la utilización de baterías o unidades de alimentación ininterrumpida. Para evitar esto se colocan pararrayos.

Insectos. o Ruido eléctrico: El ruido eléctrico es generado por motores. Terminales abandonadas: Las terminales encendidas en desuso son un riesgo alto. Colocar filtros en la línea de alimentación y alejar los equipos de otros artefactos. o o o o o o o o Ubicación de la información crítica en lugares seguros: Mantener el equipamiento de sistemas de soporte UPC (usage parameter control). en lugares protegidos contra intrusos y catástrofes naturales que permitan evitar daños ocasionados por eventuales desastres en el sitio original. equipos eléctricos y celulares. Inundaciones: Colocar los equipos alejados del piso. Comida y bebidas: La organización debe analizar su política respecto de comer. Utilizar un sistema automático de detección y apagado de terminales encendidas en desuso.María Victoria Bisogno.Metodología para el Aseguramiento de Entornos Informatizados. Humedad: El exceso de humedad en equipos eléctricos provoca cortocircuitos y la escasez de humedad provoca estática. Vandalismo. instalar un falso suelo o ubicar censores en el piso que corten el suministro de energía eléctrica al detectar agua. Hurto. de reposición de información perdida (fallback) y los medios informáticos de respaldo (backups) a una distancia prudencial de la fuente de información. Terremotos: Para proteger los equipos más críticos de los terremotos se fijan éstos de manera que no se puedan desplazar y se trata de ubicar todo equipo alejado de las ventanas. beber y fumar cerca de las instalaciones de procesamiento de información. Se recomienda prohibir estas actividades para proteger los equipos e instalaciones. Se recomienda instalar alarmas antihumedad y mantener la misma al 20%. 97 . MAEI .

diskettes u otros dispositivos que contengan información crítica según las especificaciones de los fabricantes. MAEI . Restricción del acceso a unidades removibles: Únicamente los usuarios locales deben tener acceso a las unidades removibles como discos removibles. 98 .María Victoria Bisogno. Utilizar fuentes o suministros de energía ininterrumpible (UPS). o o o o Protección del cableado: Proteger contra interceptación o daño del cableado de energía eléctrica y de comunicaciones.Metodología para el Aseguramiento de Entornos Informatizados. Ubicar interruptores de emergencia cerca de las salidas de emergencia de las salas donde se encuentra el equipamiento. Se recomienda usar una UPS para asegurar el apagado normal o la ejecución continua del equipamiento que sustenta las operaciones críticas de la organización. a fin de evitar pérdidas o daño de la información. CD-ROM y floppy disks. Protección de las copias de respaldo: Los medios que contienen las copias de respaldo o backup como cintas o discos deben ser cuidadosamente almacenados en lugares alejados de la fuente de datos y protegidos contra robo. Se debe contar con un adecuado suministro de energía que esté de acuerdo con las especificaciones del fabricante o proveedor de los equipos. Tener un generador de respaldo. o sujetas a una adecuada protección alternativa. Se recomienda el empleo de un generador de respaldo si no se puede interrumpir un proceso en caso de una falla prolongada en el suministro de energía. Proveer de iluminación de emergencia en caso de producirse una falla en el suministro principal de energía. que transporta datos o brinda apoyo a los servicios de información: o Instalar líneas de energía eléctrica y telecomunicaciones que se conectan con las instalaciones de procesamiento de información subterráneas. Protección de las unidades de soporte de información: Manejar las cintas. a fin de facilitar un corte rápido de la energía en caso de producirse una situación crítica. Se recomiendan las siguientes opciones para asegurar la continuidad del suministro de energía: o o o Usar múltiples bocas de suministro para evitar un único punto de falla en el suministro de energía. discos. incendio e inundación. Garantizar el adecuado suministro de energía: Proteger el equipamiento con respecto a las posibles fallas en el suministro de energía u otras anomalías eléctricas.

María Victoria Bisogno. 99 .Metodología para el Aseguramiento de Entornos Informatizados. evitando trayectos que atraviesen áreas públicas. Transportar las computadoras personales como equipaje de mano y de ser posible enmascaradas. Control de la disponibilidad de almacenamiento: o o o Verificar la disponibilidad de espacio de almacenamiento físico de datos. por ejemplo. Separar los cables de energía de los cables de comunicaciones para evitar interferencias. Verificar el borrado seguro de datos sobrescribiendo las pistas de discos antes de desecharlos. Proveer seguridad de forma equivalente a la suministrada dentro del ámbito de la organización. o o o Proteger el cableado de red contra interceptación no autorizada o daño. Respetar permanentemente las instrucciones del fabricante. Protección de los equipos utilizados fuera de la organización: El nivel gerencial debe autorizar el uso de equipamiento destinado al procesamiento de información fuera del ámbito de la organización. MAEI . Monitorear las demandas de capacidad requeridas por los elementos de software. Instalar conductos blindados y recintos o cajas con cerradura en los puntos terminales y de control: ▪ ▪ Usar cableado de fibra óptica. protección por exposición a campos electromagnéticos fuertes. Documentar toda baja o modificación de equipos en el ABM Activos. durante el viaje. Control de la baja de equipos: o o o o Controlar los equipos que se den de baja para evitar la utilización indebida de la información que transporten. Realizar proyecciones sobre los futuros requerimientos de capacidad. Realizar barridos para eliminar dispositivos no autorizados conectados a los cables. Contar con medios de protección de las comunicaciones entre los equipos portables (como Laptops) mediante técnicas de encriptación de los canales. Contar con una adecuada cobertura de seguro proteger el equipamiento fuera del ámbito de la organización. para un propósito similar. teniendo en cuenta los riesgos de trabajar fuera de la misma: o o o o o Controlar el equipamiento y dispositivos retirados del ámbito de la organización para que no estén desatendidos en lugares públicos. Procurar la destrucción física de diskettes y unidades de cinta y todo artefacto removible capaz de contener información.

proteger el cableado con caños metálicos o cablear al vacío con aire comprimido. como revelar su contraseña o cambiarla. etc. técnicas de prevención del hurto. Se capacita a los usuarios para prevenirlos de estos ataques y se los informa del procedimiento formalizado en la Política de seguridad sobre el cambio de contraseñas.1 Protección de la información En este apartado se pretende establecer reglas para la protección de la información de la organización objetivo. Prevención de ataques externos: Eaves dropping: Es la escucha no autorizada de conversaciones. datos. etc. Se capacita a los usuarios para que mantengan en secreto tanto su nombre de usuario como su contraseña para que nadie más los pueda usar en su nombre. 3. Shoulder Surfing: Consiste en espiar físicamente a los usuarios para obtener claves de acceso al sistema. MAEI . Ingeniería social: La Ingeniería social consiste en la manipulación de las personas para que voluntariamente realicen actos que normalmente no harían. Se recomienda prevenir a los usuarios sobre estos temas a fin de concientizarlos para que tomen los cuidados necesarios.1.2. o sea. se cierran todas las salidas de red no utilizadas. Masquerading: Un intruso puede usar la identidad de un usuario autorizado que no le pertenece simplemente apoderándose de un nombre de usuario y contraseña válidos.1.Metodología para el Aseguramiento de Entornos Informatizados. Se asegura que no haya cables atravesando zonas públicas. modificación o deterioro de la confidencialidad de los datos con significado para la institución.2 Protección lógica Se analiza en esta parte la protección de los distintos Activos a nivel lógico. números válidos de tarjetas de crédito. 100 o o o o o . 3.María Victoria Bisogno. Piggy backing: Se lo llama así al ataque en que un usuario no autorizado accede a una zona restringida gracias al permiso otorgado a otra persona que sí está autorizada. claves.

diskettes desechados. MAEI . Basurero: Basurero es la obtención de información de los desperdicios dejados alrededor de un sistema: ▪ ▪ ▪ ▪ ▪ ▪ ▪ documentación antigua. listados de programas. [IRAM/ISO/IEC17799] indica: “Los medios que contienen información sensible deben ser eliminados de manera segura. zips o casetes removibles. discos. datos de prueba. con una máquina trituradora de papel y borrar los documentos en “forma segura”. bloques libres de disco. según el sistema operativo que se use.María Victoria Bisogno. medios de almacenamiento óptico. documentación del sistema. memoria liberada por procesos. listados viejos. Para clasificarla según su acceso. tachos de basura dentro y fuera del edificio. cintas magnéticas. se hace uso de la Tabla de Accesos 101 . o Es de vital importancia destruir toda documentación que ya no se utilice. informes y estadísticas. Para evitar esto se establecen controles en los accesos a las salas y se construyen barreras físicas que impidan el acceso. por ej. otros). cintas de impresora de un sólo uso. video.Metodología para el Aseguramiento de Entornos Informatizados. incinerándolos o rompiéndolos en pequeños trozos. o eliminando los datos y utilizando los medios en otra aplicación dentro de la organización.” Se debe prestar especial atención a la eliminación segura de: ▪ ▪ ▪ ▪ ▪ ▪ ▪ ▪ ▪ ▪ ▪ documentos en papel. grabaciones (audio. buffers reimpresoras. Clasificación de la información: La información se debe clasificar en cuanto a su acceso (qué perfiles de usuarios tienen acceso a lectura. ejecución o modificación de los datos) y en cuanto a su criticidad. papel carbónico.

las Para la información restringida y/o secreta: Dependiendo que la información se haya clasificado como restringida o secreta se deben cumplir con los siguientes requerimientos mínimos y obligatorios para su protección: Autorización: Los usuarios a quienes por la naturaleza de su trabajo se les permita el acceso a la información clasificada como confidencial o secreta.Metodología para el Aseguramiento de Entornos Informatizados. El Administrador de Seguridad debe conservar la documentación respaldatoria de las autorizaciones recibidas para los cambios de permisos. siempre y cuando lo considere absolutamente necesario y debido a situaciones de emergencia.María Victoria Bisogno. de acuerdo al Procedimiento de Administración de Usuarios y Recursos. No permitir el uso de información secreta para propósitos de prueba durante los desarrollos o implantaciones. sólo debe utilizarse teniendo en cuenta las autorizaciones definidas en la Norma de Ambientes de procesamiento. deben estar expresamente autorizados. sobre Activos Lógicos. El Dueño de los Datos debe mantener un detalle de los usuarios autorizados a acceder a la información. más allá de recomendaciones sobre su buen uso y conservación. Conservación: 102 o o ▪ ▪ . se deberán garantizar controles como se indica a continuación: Para la información pública o no restringida: No es necesario establecer restricciones especiales. El Dueño de los Datos debe autorizar expresamente el acceso a la información en el ambiente de producción por parte de personal del área de Sistemas. En estos casos documentar la autorización y las tareas efectuadas. En cuanto a la información restringida. se hace referencia al inventario de Activos Lógicos. MAEI . y para clasificarla según su criticidad. Establecer medidas de protección según la clasificación de la información: Según el tipo de información que se trate. Limitar el acceso a las aplicaciones a través de un adecuado sistema de control de accesos.

MAEI . Divulgación a terceros: Instrumentar convenios de confidencialidad con los terceros que deben acceder a información de la empresa. envío. deben protegerse utilizando cajas de seguridad cuya llave y/o combinación debe ser conservada por el Dueño de los Datos.María Victoria Bisogno. dependiendo de su Política de Seguridad. Informar a los usuarios sobre el manejo de la información: Toda la información conservada en los equipos informáticos (archivos y correos electrónicos residentes en servidores de datos centralizados y/o estaciones de trabajo) puede ser considerada propiedad de la compañía y no de los usuarios. por lo que podrá ser administrada y/o monitoreada por los responsables del área de Sistemas de acuerdo con las pautas de seguridad definidas. impresión y/o destrucción de la misma. No trasmitir información en forma verbal o escrita a personas externas a la empresa. establecer mecanismos que permitan asegurarle al remitente de la documentación que ésta fue recibida por el destinatario correspondiente. La conservación de soportes impresos de esta información debe efectuarse en archivos cerrados cuyo acceso físico debe estar restringido únicamente a los usuarios autorizados. según lo especificado en la Norma de Protección física del Manual de Seguridad de la organización.Metodología para el Aseguramiento de Entornos Informatizados. Impresión: Imprimir los reportes que contienen información confidencial impresoras de acceso exclusivo para usuarios autorizados. La información clasificada como secreta y los medios físicos donde se almacene. sin la expresa autorización del Dueño de los Datos. Entrega/Traslado: Realizar toda entrega de documentación que contenga información secreta/confidencial en sobre cerrado. Destrucción: Destruir toda información secreta y sus correspondientes soportes físicos cuando se considere no vigente y se discontinúe su utilización y/o conservación. Asimismo. en ▪ ▪ ▪ ▪ o 103 . quien debe autorizar toda copia adicional de dicha información así como la transmisión. Realizar el proceso de generación y/o restauración de la información de acuerdo a lo definido en la Norma de Copias de Respaldo.

El ES deberá evaluar la posibilidad de elaborar uno para facilitar la tarea de homogenización de configuraciones de seguridad por plataforma deben tener los equipos respecto de la seguridad. y cada vez que se de de alta a uno nuevo. Los servidores deben seguir un estándar para su identificación y para su configuración.1. según lo establecido en la Política de Seguridad de la compañía.Metodología para el Aseguramiento de Entornos Informatizados. MAEI . Control del acceso remoto: Realizar los adecuados controles para evitar el acceso no autorizado a los equipos en forma remota. Actualización de del Sistema Operativo: o Actualizar periódicamente los Sistemas Operativos de Servidores y estaciones de trabajo para las diferentes plataformas. Aplicar los parches (hot fixes. El Manual de Seguridad incluye estándares técnicos que se elaboran para estos fines. Para ello se recomienda el uso de algún software de distribución según la cantidad de máquinas a actualizar.2 Protección del Sistema Operativo.María Victoria Bisogno. pero es necesaria. o Estandarización de servidores: La configuración de seguridad de los equipos puede ser tediosa. actualizar el kernel y en la plataforma Microsoft. 3. 104 . actualizar el SO con la versión que se considere necesaria de acuerdo con las necesidades funcionales y las mejoras implementadas por el fabricante. service packs) que publican los proveedores de software en todos los equipos. que se aplique a todos los servidores existentes.2. Esto debe estar claramente establecido en la Norma de Clasificación y Tratamiento de la Información de la empresa y pertinentemente informado a todos los usuarios. En general se sugiere limitar el acceso remoto a un grupo reducido de usuarios para fines administrativos utilizando medios seguros (protocolos que encripten la identificación de usuario y la contraseña) y prohibir el acceso remoto de los equipos más críticos. En todos los casos una práctica muy recomendada es eliminar el acceso dial up a los servidores. En Unix-Linux. Es muy práctico para estos casos la elaboración de scripts de configuración que seteen los parámetros de seguridad automáticamente sin intervención del administrador del equipo.

Limpieza de la memoria: Cada vez que el sistema se cierra se deben limpiar las páginas de memoria virtual. etc. MAEI . y restringir el uso de estas facilidades cuando no sean estrictamente necesarias para el desarrollo de las tareas y servicios que prestan.Metodología para el Aseguramiento de Entornos Informatizados. Los de la familia Unix permiten la creación de shells hijos donde correr procesos en segundo plano. Es ejemplo la utilidad Netware Connections de Novel. el número de conexión. Ciertas tecnologías exponen información del sistema incluso ante un intento fallido de conexión. Ambos casos deben evaluarse según la funcionalidad del equipo que se trate. Desconexión de todas las unidades de red inutilizadas: Muchas veces se conectan unidades de red con fines específicos para alguna instalación remota. La práctica más recomendable es deshabilitar la posibilidad de booteo de los servidores desde el CD-ROM y floppy disk. Control de la instalación de programas y dispositivos: Permitir únicamente a usuarios con privilegios de administrador que instalen software y dispositivos en los equipos. el número de la red y la dirección del nodo. que ante un intento de conexión muestra el árbol NDS que contiene al servidor.María Victoria Bisogno. Ver el punto 6. la apertura de caso en Help Desk y posterior derivación al responsable. la dirección completa de la red. Creación de subsistemas en el sistema operativo limitada: Sistemas Operativos como la serie Windows permite la creación de subsistemas OS/2 y POSIX. Apagado seguro: 105 . Para la actualización de programas de software o instalación de dispositivos se debe seguir el lineamiento indicado en los Procedimientos del Manual de Seguridad para el manejo de incidencias (en una organización con sistema de Atención al Cliente o Help Desk el procedimiento comenzaría con la solicitud del usuario.1 Manejo de Incidencias de esta metodología). Protección del inicio del sistema: Establecer la configuración del arranque de los equipos según lo establecido en el Manual de Seguridad. implicando un descubrimiento importante de información. Todas las conexiones que no se necesitan deben ser removidas del sistema operativo para evitar el intento de conexión por parte de usuarios no autorizados y el descubrimiento de información.

MAEI . Esto puede llegar a ser un trabajo engorroso y siempre se corre el riesgo de no eliminar todos los permisos del usuario. si los permisos son otorgados por grupo. Los perfiles son los tipos de usuarios existentes (generalmente el sistema operativo trae un conjunto de perfiles de usuario por defecto. puesto que solamente hay que modificar los permisos de los grupos. y asignar los permisos sobre los archivos y directorios a los grupos. simplemente alcanza con eliminar al usuario del grupo y asignarlo al nuevo.María Victoria Bisogno. con el consecuente cambio de permisos de acceso sobre los archivos compartidos. y el administrador luego crea los que considera necesarios). En cambio. Los grupos son conjuntos de usuarios. Los usuarios son identificaciones individuales de personas o servicios. Por lo general se crean grupos para identificar a los usuarios que realizan una misma tarea. Implantación de una Política sobre las cuentas de usuarios: 106 . En general es útil crear grupos por áreas de trabajo o sectores dentro de las áreas donde todos los usuarios que pertenecen a ese sector acceden con los mismos permisos a los recursos informáticos de la empresa. serán muchos más en número. perfiles de usuario y grupos. Esto hace mucho más sencillo el mantenimiento de los permisos en caso de cambios o recupero de información de cintas de backup. con la automática asignación de permisos del grupo al que pertenece. No permitir el apagado de equipos sin la autenticación (login de un usuario).Metodología para el Aseguramiento de Entornos Informatizados. Un caso muy común de cambio de permisos que implica trabajo es cuando un usuario cambia de área de trabajo. que. La única excepción es durante la utilización de medios alternativos de alimentación eléctrica (como UPSs) durante una emergencia. Todos los sistemas operativos actuales permiten la creación de usuarios. Las mejores prácticas de seguridad sugieren crear un conjunto de grupos de usuarios. Implantación de un sistema de perfiles y grupos de usuarios: La administración de usuarios es clave para el mantenimiento de la seguridad del entorno. y no individualmente los de los usuarios. y no a los usuarios. En el caso de que se otorguen permisos por usuario habría que eliminar individualmente todos los permisos de ese usuario a los archivos del área de donde es promovido y agregarle los permisos correspondientes al área donde comienza a desenvolverse. con el consecuente acceso indebido a los recursos.

El ABM de usuarios consiste en la Alta. entre sus normas y procedimientos. En una empresa con Help Desk. la identificación de la cuenta personal suele ser alfanumérica y está relacionada con el nombre y apellido del usuario. En ella se debe especificar los parámetros que deben cumplir la identificación de usuario (como estándar de nomenclatura.Metodología para el Aseguramiento de Entornos Informatizados. bloqueo por inutilización. período máximo de uso. una operación (ABM) sobre una cuenta de usuario deberá registrarse como un caso y llevarse a cabo según lo establecido en el correspondiente Procedimiento de Administración de Usuarios y Recursos. modificación o borrado de la cuenta de usuario. acceso a una nueva aplicación o servicio. debe solicitar la creación. entendiéndose por: Alta de un usuario: requerimiento de acceso a una aplicación o un servicio para un usuario inexistente.María Victoria Bisogno. responsabilidad del usuario sobre su uso). políticas de cambios y conformación de la contraseña. En general. la Política de ABM de Usuarios. Baja y Modificación de usuarios en el sistema. etc) y las contraseñas (longitud mínima y máxima. Cuentas de servicios: Son cuentas de usuarios no personales que se crean con fines específicos: o 107 . etc). Tipos de cuentas de usuarios: o Cuentas personales: Identificación personal del usuario: Cada persona debe tener una única identificación personal de usuario en los servicios centralizados de la compañía y es responsable de la correcta utilización de la información que se realiza con esa cuenta. Deshabilitación de un usuario: requerimiento de negar los derechos de acceso de ese usuario a toda aplicación o servicio. sin eliminarlo definitivamente del dominio de usuarios. la cuenta (como vencimiento. eliminación de acceso a una aplicación o servicio. o o Baja de un usuario: requerimiento de eliminar los derechos de acceso de ese usuario a toda aplicación o servicio. Modificación de un usuario: requerimiento de: ▪ ▪ ▪ o o diferentes tipos de acceso a las aplicaciones o servicios. El Dueño de los Datos del área o sector al cual pertenece el usuario en el desempeño de sus funciones. MAEI . El Manual de Seguridad de la organización debe contener.

Cantidad mínima de caracteres distintos de la última contraseña. Cantidad mínima de caracteres especiales (@#$%^&*). Cantidad mínima de caracteres alfabéticos. para administrar las comunicaciones: deben ser autorizados expresamente por el Oficial de Seguridad. ▪ ▪ Usuarios creados por defecto durante la instalación de aplicaciones y sistemas operativos: no deben utilizarse con fines operativos. En ella se debe especificar los parámetros que deben cumplir las contraseñas. al menos. o o o o o o o o 108 . Usuarios genéricos para satisfacer necesidades propias de la ejecución de aplicaciones o servicios. Vida mínima (para evitar que un usuario realice el cambio obligatorio de la clave a su vencimiento y luego vuelva inmediatamente a la clave anterior) Cantidad mínima de caracteres numéricos. por ejemplo de 45 días). Implantación de una Política de Contraseñas de Usuarios: El Manual de Seguridad de la organización debe contener. Vida máxima (para obligar a los usuarios a realizar el cambio de clave cada cierto período. MAEI . entre sus normas y procedimientos. Descripción de las cuentas: Las cuentas de usuarios generadas en cada uno de las aplicaciones.María Victoria Bisogno. utilizar en forma personal y exclusiva su identificación de usuario. y no utilizar una misma cuenta para varios servicios. Todo usuario se debe comprometer a: o o o mantener la confidencialidad de la información a la que acceda. por ejemplo.Metodología para el Aseguramiento de Entornos Informatizados. responsabilizarse del uso que se haga de su identificación de usuario. Para estos casos las contraseñas deben permanecer resguardadas y su acceso debe ser registrado según los Procedimientos correspondientes. Longitud máxima (por ejemplo de 16 caracteres. la Política de Contraseñas de Usuarios. Debe crearse una cuenta para cada servicio individual con los mínimos privilegios posibles. los siguientes datos: o o o El nombre y apellido completo del propietario de la misma y el área de trabajo. deben contener. En el caso de las cuentas de servicios debe figurar la función para la que fue creada. A continuación se enumera una serie de controles que deberán tenerse en cuenta a la hora de elaborar la Política de Contraseñas: Longitud mínima (por ejemplo de 6 caracteres y sin contener blancos). en el caso de los usuarios personales.

No se deben permitir cuentas de usuario personales sin password. Por ejemplo: ▪ ▪ ▪ o o o o o Para Windows 2000 en español. Para lograr esto existen varias soluciones: ▪ Utilizar un software generador de passwords: Utilizar un software que analice la password (por ejemplo comparando la contraseña ingresada por el usuario con una lista contenida en un diccionario de contraseñas prohibidas) y rechace contraseñas fáciles al momento de su ingreso. Se debe preservar su confidencialidad.María Victoria Bisogno. o o Deshabilitar la cuenta de Administrador ficticia. utilizada para el mismo fin. Nunca usar cuentas grupales (de uso masivo). o o o Tiempo mínimo que debe transcurrir antes de reutilizar una password (por ejemplo. Establecer una nomenclatura para la denominación de las cuentas de usuarios personales y para las de servicios (como por ejemplo utilizar las iniciales del nombre seguidas por el apellido). MAEI . un año). llamarla root. Deshabilitar la cuenta de invitado o Guest. Administración de Usuarios: Garantizar que todos los usuarios posean los privilegios mínimos necesarios para la realización de su tarea. Para Linux. Crear una cuenta de Administrador Local ficticia. Además. debe cumplir con las siguientes características: o o o o Debe poder ser cambiada toda vez que el usuario lo requiera. Todos los usuarios personales deben autenticarse en el sistema. Cantidad mínima de contraseñas distintas antes de reutilizar una. 109 . Es una variante del control anterior. llamarla Administrador.Metodología para el Aseguramiento de Entornos Informatizados. Las cuentas deben ser de uso individual exclusivo. No debe ser compartida. llamarla Administrador. Llamada de forma estándar según el sistema operativo del que se trate. Las prácticas recomendadas para las cunetas de usuarios son las siguientes: Renombrar la cuenta de Administrador Local. Determinar si debe ser cambiada obligatoriamente la primera vez que el usuario ingrese al sistema. Para Windows 2000 en Inglés. No debe ser fácil de adivinar.

dificultar o impedir su trabajo.María Victoria Bisogno.Metodología para el Aseguramiento de Entornos Informatizados. y. y deberá verificar que. o Utilizar descripciones de usuarios claras y completas que permitan la identificación y clasificación de los usuarios. a fin de detectar usuarios inactivos y realizar las bajas correspondientes. OTROS GRUPOS A LOS QUE PERTENECE: en este campo se agregan todos los grupos a los que pertenece el usuario. Revisión de las cuentas de usuario: El administrador de seguridad debe realizar una periódica revisión de las cuentas de los usuarios del sistema. según la estructura de la organización. Para lograr una adecuada y efectiva implantación de un sistema de grupos y perfiles de usuarios. documentar y administrar los grupos de usuarios: GRUPO USUARIOS QUE PERTENECE NOMBRE DE INICIO DE SESIÓN OTROS GRUPOS A LOS Descripción de los campos GRUPO: nombre del grupo que se está relevando. que no existan usuarios donde sus accesos estén indebidamente restringidos y así. se sugiere relevar los usuarios con sus respectivos permisos y roles en un documento generado para tal fin llamado Mapa de Usuarios. que permite la rápida visualización de inconsistencias en la asignación de perfiles. sin superposición de roles ni de permisos. excepto en el que se está definiendo. ningún usuario está abusando del sistema con permisos que no le corresponden. y con el fin de detectar cualquier inconsistencia. NOMBRE DE INICIO DE SESIÓN: por ejemplo: pgarcia. También el ES deberá interiorizarse con los permisos proporcionados por perfil. MAEI . Revisión de los permisos de los usuarios: 110 . Mapa de Usuarios El siguiente documento presenta una alternativa para visualizar. esto sirve para detectar inconsistencias. USUARIOS: nombre completo de los usuarios que pertenecen a ese grupo. asimismo. según el procedimiento de seguridad de administración de usuarios.

En la línea de Linux. La administración de usuarios también implica realizar periódicos controles sobre los usuarios del sistema. el administrador o persona con rol equivalente.María Victoria Bisogno. indicados en la Norma de administración de usuarios (por ejemplo. en particular los protocolos antiguos e inseguros (como NetBIOS). luego del cual se debe proceder al borrado definitivo del usuario. luego de los controles necesarios. Nombre del último usuario logueado: Evitar que se muestre la identificación del último usuario que se logueó en el sistema. es Others (el último octeto de los permisos). luego del cual se bloquee la cuenta hasta que el usuario solicite su desbloqueo mediante el procedimiento vigente. debería consultar con el área de recursos humanos para obtener la autorización de la eliminación definitiva de un usuario). Asimismo. según el procedimiento correspondiente. MAEI . en particular los que permiten hacer conexiones remotas o transporte de datos en texto plano (como FTP). Realizar una periódica revisión de los permisos otorgados sobre le file system y sobre los recursos.Metodología para el Aseguramiento de Entornos Informatizados. Revisión de los protocolos de red: Revisar periódicamente los protocolos de red habilitados y eliminar todos aquéllos que no se necesiten. En los sistemas operativos de la línea Microsoft Windows el grupo genérico más abarcativo es el llamado Everyone. Esto podría facilitar los ataques de adivinanza de contraseña por fuerza bruta. eliminando los que no presenten actividad. Un control básico consiste en restringir los permisos para los grupos genéricos. Bloqueo de cuentas de usuario: 111 . encargada de la revisión y eliminación de usuarios. establecer el período en que una cuenta puede permanecer en estado “bloqueado”. Control del inicio de sesión: Establecer un número máximo de intentos fallidos de inicio de sesión de los usuarios. Revisión de los servicios de red: Revisar periódicamente los servicios de red habilitados y eliminar todos aquéllos que no se necesiten. e ir otorgándolos individualmente o por grupo según la necesidad.

Registros de pistas de auditoría o logs: Registrar pistas de auditoría. Este período de tiempo puede ser de minutos o días. baja o modificación de usuarios. o por permanecer inactivas durante un período determinado deben permanecer bloqueadas durante un tiempo.María Victoria Bisogno. Como ejemplo. aprobación por parte de éste último para la eliminación definitiva de la cuenta. Encendido y apagado de servidores y equipos de comunicaciones.Metodología para el Aseguramiento de Entornos Informatizados. Cambios en la configuración de la seguridad. Instalación de software de aplicación. 112 . grupos y/o perfiles. MAEI . Desconexión forzada de usuarios. más conocidas como “logs” con el fin de asegurar un adecuado monitoreo de los eventos que pudieran afectar a la seguridad de la información de la compañía objetivo. Toda cuenta de usuario que no haya accedido al sistema por un período de 60 días será bloqueada y se iniciará la gestión de baja de la misma. Alta. Las cuentas bloqueadas por intentos fallidos de sesión. dependiendo de la criticidad de la información que maneje la empresa objetivo. Toda aplicación utilizada en el entorno productivo debe permitir el registro automático y la explotación de la información de las siguientes pistas de auditoría: Trazas generales comunicaciones: a ▪ ▪ ▪ ▪ ▪ ▪ activar en sistema operativos y equipos de o Intentos exitosos y fallidos de ingreso de usuarios. a continuación se exponen controles sobre las cuentas de usuarios. para impedir el inicio de sesión. el Administrador de Seguridad deberá proceder a su inmediata eliminación. o o En caso de comprobar la necesidad de la baja. Transcurrida ua cantidad de días (por ejemplo 120) sin utilización de la cuenta. y deben ser de conocimiento de todos los usuarios del Sistema: Toda cuenta de usuario que haya intentado cuatro (4) veces el acceso al sistema en forma fallida y consecutiva. que deben estar explícitos en las Normas de Usuarios. la misma se dará automáticamente de baja. debe ser automáticamente bloqueada. que comprende: ▪ ▪ verificación por parte de Recursos Humanos y del Dueño de los Datos de la inexistencia del usuario.

Todos los accesos de aquellas cuentas de usuarios con altos privilegios sobre los sistemas. o Trazas especiales a activar: ▪ Todos los accesos a información clasificada como confidencial. MAEI .María Victoria Bisogno. Cambios en la configuración de la seguridad. Instalación de software de aplicación. Las acciones llevadas a cabo por los usuarios especiales.Metodología para el Aseguramiento de Entornos Informatizados. ▪ ▪ ▪ ▪ ▪ ▪ Desconexión automática de sesiones de usuario por inactividad. ▪ Procesos de depuración de información no automatizados. en un entorno con 18 estaciones de trabajo en un dominio de un archivo de log: 7LSR )ecKa Aciertos Aciertos Aciertos Aciertos eRUa OULJeQ CaWeJRUía 6XceVR 8VXaULR (TXLSR SYSTEM EMUI_18$ gmarrollo EMUI_5$ 28/11/2003 11:08:07 Security EMUI_SISTEMAS 28/11/2003 11:07:54 Security 28/11/2003 11:06:54 Security EMUI_5$ 28/11/2003 11:06:54 Security Inicio/cierre de sesión 540 Inicio/cierre de sesión 540 Inicio/cierre de sesión 538 Inicio/cierre de sesión 538 plopez 681 Errores 28/11/2003 11:06:34 Security Errores 28/11/2003 11:06:34 Security EMUI_SISTEMAS Aciertos EMUI_3$ Aciertos EMUI_18$ Inicio/cierre de sesión 529 Inicio de sesión de la cuenta SYSTEM lkien EMUI_18$ 28/11/2003 11:06:02 Security 28/11/2003 11:05:49 Security Inicio/cierre de sesión 538 Inicio/cierre de sesión 538 113 . baja o modificación de usuarios. grupos y/o perfiles. Alta. o Trazas generales a activar en aplicaciones: ▪ Intentos exitosos y fallidos de ingreso de usuarios. ▪ ▪ Todos los eventos de un usuario cuando sean específicamente solicitados por los Dueños de los Datos. Ejemplo: A continuación se muestra una porción pequeña de un archivo de log generado por el sistema operativo Windows 2000 Server. Procesos manuales de depuración de datos.

Estas copias deben mantenerse accesibles y adecuadamente registradas en el Inventario de Backup. Administración de las pistas de auditoría: Las pistas de auditoría o logs son valiosos sólo cuando pueden ser analizados. En los contratos con los proveedores se deben incluir cláusualas de confidencialidad de la información tratada. y contemplar los niveles de servicio de mantenimiento pos venta acordados. Ser íntegros (deben ser completos). Para lograr esto. generar una copia de respaldo antes de proceder a su eliminación.Metodología para el Aseguramiento de Entornos Informatizados. no deben ser falsificados ni modificados por nadie).María Victoria Bisogno. Administración del espacio disponible para el almacenamiento: Revisar periódicamente el crecimiento de las trazas con el objetivo de identificar la necesidad de depuración de las mismas evitando toda posibilidad de pérdida. y se encuentren disponibles en forma legible y completa. Revisión de los contratos con los proveedores. Eliminación de las pistas: Ante situaciones que requieran la eliminación de las pistas o trazas de auditoría debido a la falta de espacio de almacenamiento. A continuación se detallan controles y medidas recomendadas para obtener un registro de auditoría confiable: Acceso a los logs: Permitir únicamente el acceso a los logs a aquellas personas que son responsables de la gestión o control de las mismas. o o o 114 . y sobre la tecnología que los soporta. Para ello se debe establecer una serie de controles sobre la lógica de los logs. los registros de log deben: o o o Ser completos (deben registrar toda la información que se considere útil para el caso). Revisión de las licencias de software: Verificar que todos los equipos funcionen con el Sistema Operativo bajo la licencia otorgada por el proveedor. Ser auténticos (deben ser verídicos. MAEI .

bases de datos. 115 . con el propósito de definir e implantar las acciones correctivas necesarias para evitar o limitar la repetición del hecho. en la medida en que se cuente con la tecnología apropiada. cuando la frecuencia de repetición o el impacto lo justifiquen. programas de software y data warehouses.Metodología para el Aseguramiento de Entornos Informatizados.1. y llevar un control sobre ellos para detectar posibles accesos no autorizados.María Victoria Bisogno. Estas herramientas de análisis de eventos permiten la generación de alarmas. o o o Prevención de enumeración de recursos compartidos Evitar la enumeración de los recursos compartidos y del administrador de seguridad de cuentas (SAM – Security Account Manager) mediante la configuración correspondiente. a fin de tomar las acciones correctivas correspondientes. 3.3 Protección de los datos. con el objetivo de detectar alertas e informar la ocurrencia de las mismas a los responsables de la administración de la seguridad de la información. o Definición de eventos: Para aquellos entornos que gestionen información sensible se deberán definir los eventos de seguridad que requieren monitoreo. es conveniente realizar una revisión de las pistas de auditoría con herramientas de análisis que faciliten la tarea. Controlar y administrar el acceso de los usuarios sobre los activos lógicos: Se debe administrar correctamente los recursos lógicos como archivos. reportes. Herramientas de análisis de logs: A fin de proteger a la información más crítica. hurto de datos o descubrimiento de información. MAEI . Además se deberá informar al Dueño de los Datos involucrado la ocurrencia de eventos críticos de seguridad que puedan interferir en el correcto desempeño la empresa. etc.2. Estadísticas de eventos: El Oficial de Seguridad deberá generar informes con las estadísticas de los eventos críticos detectados. Control de logs: El Oficial de Seguridad debe controlar periódicamente las pistas de auditoría.

María Victoria Bisogno. Esta criticidad se medirá en tres niveles: o o o 0 (cero): No crítico. 2 (dos): altamente crítico. CRITICIDAD: Grado de prioridad de protección que se le asigna al bien. según la experiencia del Ingeniero. MAEI . X: ejecución. previamente asignado en el Inventario de Activos (ver sección 4.Metodología para el Aseguramiento de Entornos Informatizados. Puede ser: o o o L: lectura. E: escritura. el grado de confidencialidad requerido o el valor asignado por el usuario. USUARIOS AUTORIZADOS: Usuarios que poseen algún tipo de autorización de acceso al activo. Espacio de almacenamiento restringido: 116 . PERMISOS: Permisos otorgados a ese perfil o usuario. Este documento llamado Tabla de Permisos sobre Activos Lógicos se exhibe a continuación: Tabla de Permisos sobre Activos Lógicos CÓDIGO DESCRIPCIÓN PERFILES USUARIOS AUTORIZADOS CRITICIDAD AUTORIZADOS PERMISOS Descripción de los campos CÓDIGO DEL ACTIVO: Es el código correspondiente al activo. Para este fin se propone la elaboración de una tabla que refleje la asignación de permisos sobre los activos lógicos por perfil y por usuario. PERFILES AUTORIZADOS: Perfil de usuarios que poseen algún tipo de autorización de acceso al activo.2) DESCRIPCIÓN: descripción del activo que se está clasificando. 1 (uno): medianamente crítico. O la combinación de los mismos.

María Victoria Bisogno. éste es el que debe pasar máquina por máquina instalando el software. Un cambio de plataforma. Todos los cambios se registrarán adecuadamente en el ABM Activos.2. Con esta facilidad es muy útil la creación de grupos de usuarios por área o sector. Este documento que tiene como fin específico ayudar al administrador a controlar el proceso de actualización de software en forma Masiva. De esta forma se protege la confidencialidad e integridad de los datos de los usuarios. cuando se actualiza el software antivirus. Restringir el uso del espacio de almacenamiento común (como servidores de archivos) a los usuarios creando directorios de uso exclusivo individual o por grupos de trabajo. 117 . A continuación se presenta el Documento de Actualización de Software para su utilización cuando se realicen puntualmente actualizaciones de software (upgrades). MAEI . y denegar el acceso al resto. como se especifica en la etapa 4. Control de cambios en Software: Llevar un adecuado control y documentación de los cambios realizados en el software ya sea: o o o Una actualización. y se ofrece una herramienta de trabajo para los grupos al permitirles compartir los datos entre los usuarios pertenecientes a ese grupo. según la funcionalidad de la tarea que realizan. Por ejemplo. El Documento de Actualización de Software se usará como ayuda para el control de las actualizaciones registrando cada máquina a medida que se avanza con las workstations de la red. Agregados de funcionalidad.5 Control de Cambios de esta metodología y en el Documento de Actualización de Software. Para más detalles referirse a la sección 6. que es una tarea ardua ya que muchos programas no permiten que las actualizaciones sean instaladas por usuarios sin permisos de administrador.6 Control de Cambios.Metodología para el Aseguramiento de Entornos Informatizados.

exe Win2k Kb823182 Win2k Kb824141 Win2k Kb825119 DESCRIPCIÓN Fecha Server1 Server2 Server. MAEI . Realizar pruebas de recuperación de errores. Capacitar a los usuarios. CPU… . Instalación y continua actualización de software de detección y reparación antivirus: o Comprobar diariamente la existencia de nuevo software antivirus y sus actualizaciones (y documentar las actualizaciones en el ABM Activos y en el Documento de Actualizaciones de Software). CPU001 CPU002 Actualización del 20/10 Ok Ok Ok Ok Ok Ok antivirus Hotfix para Windows 2000 Hotfix para Windows 2000 Hotfix para Windows 2000 21/10 Ok Ok Ok Ok Ok Ok 23/10 Ok Ok Ok Ok Ok Ok 23/10 Ok Ok Ok Ok Ok Ok Control de impacto de nuevo software: Antes de instalar nuevo software en los equipos se realiza un control de compatibilidades y aprobación por parte de la gerencia: o o o o o o o o Controlar las licencias de software y de las actualizaciones. Realizar pruebas de instalación y uso del nuevo software antes de la instalación definitiva.. Comprobar la ausencia de virus antes de utilizar archivos transportados a través de la red. Verificar la compatibilidad con la plataforma de hardware utilizada. u otros. Preparar los ambientes para la actualización. o en medios magnéticos como diskettes. Documento de Actualización de Software SOFTWARE Antivirus Sdat4299. Verificar los requerimientos de capacidad de procesamiento y almacenamiento del nuevo software. Verificar la compatibilidad del nuevo software con otros elementos existentes. zips. o 118 .María Victoria Bisogno.Metodología para el Aseguramiento de Entornos Informatizados.

o o o Comprobar la ausencia de virus en archivos adjuntos a mensajes en los servidores de mail. en caso de necesitarlo.María Victoria Bisogno.1. y su relación con el contenido electrónico. o o o Aquí se presenta un registro para llevar ese control de forma ordenada: el Inventario de Backup. Comprobar periódicamente los medios de almacenamiento de los backups (cintas) para garantizar una recuperación exitosa. Para la aplicación de cualquier técnica el ES deberá documentar el resguardo de datos que hizo y proteger ese documento con claves u otros métodos para prohibir su acceso a extraños.Metodología para el Aseguramiento de Entornos Informatizados. o o o Mantener siempre al menos los tres últimos ciclos de backup. información de recuperación de sistemas y registros exactos de las aplicaciones en forma periódica.2 Protección de los equipos) los datos críticos. El período de realización de copias y la vida de cada una están definidos en el Manual de Procedimientos de realización de copias de seguridad (backups). Volcar el procedimiento de backup a un documento para el registro y control de las unidades de almacenamiento. Realizar planes de continuidad de los negocios ante ataques de virus. Realización de copias de seguridad (backups): o Guardar en forma segura (ver 4. Borrar en forma segura el contenido de los dispositivos de backup que estén fuera de uso.1. MAEI . Verificar los procedimientos y procesos de recuperación a partir de los backups. Inventario de Backup El ES determinará la técnica más conveniente para realizar el Backup en su sistema objetivo. o que contengan información vencida. Comprobar periódicamente el correcto funcionamiento de las unidades de cinta para la recuperación de datos desde los medios físicos de almacenamiento. Este documento deberá contener como mínimo la siguiente información: CÓDIGO FECHA TIPO PASSWORD A/S ****** A MEDIO Cinta# BKP0001 24/10/2003 Incremental 119 . para garantizar su eficacia y la adecuada restitución del sistema ante eventualidades. Comprobar la ausencia de virus en los archivos bajados de Internet (downloads) antes de su ejecución o instalación.

Sirve para identificar unívocamente cada copia. PASSWORD: Contraseña de cifrado de la copia. Descripción de los campos CÓDIGO: Código de 7 dígitos que rotula la copia de seguridad. y sólo debe tener acceso a ellos el o los responsables correspondientes. Normal. FECHA: Fecha en que se realizó la copia de seguridad. Cinta#2. Los manuales de Procedimiento. Bases de datos. TIPO: Incremental. Protección de la documentación del sistema: o o Almacenar la documentación del sistema en forma segura: bajo llave en archivos o armarios de acceso restringido. Formato: BKPNNNN Donde N representa un número. Diferencial. Ej: Cinta#1. Copia. Aplicaciones. MEDIO: Medio físico en el que se realiza la copia. Diaria. Servicios. A/S: A: Append: si los backups se van concatenando en el medio físico. Son de crítico manejo los siguientes documentos: ▪ ▪ La Política de Seguridad.Metodología para el Aseguramiento de Entornos Informatizados.María Victoria Bisogno. MAEI . 120 . Los documentos de administración de la seguridad deben estar protegidos de manera especial. que crecerá correlativamente para identificar los backups. S: sobreescritura: Si los backups son reemplazados por la nueva copia. Restricción de acceso a los datos: Establecer en forma unívoca los permisos otorgados a cada perfil de usuario para evitar accesos no autorizados en los distintos entornos: o o o o Archivos.

Ejemplos de herramientas que se pueden utilizar para lograr esto son: . Protección del correo electrónico: Implementar técnicas de encripción de intercambio seguro de correo electrónico. Protección del tráfico cliente-servidor: Proteger el tráfico entre equipos clientes y servidores mediante el recurso adecuado según corresponda: o o o o Firma digital. Métodos de hash. Implementar un sistema de verificación de integridad de los archivos. El Mapa de Vulnerabilidades. ya que si se ve afectada la integridad de las publicaciones. mensajes o firma digital para el 121 . .María Victoria Bisogno.Aplicar funciones HASH. Cifrado de paquetes. MAEI . Los Estándares de seguridad. El Diario de Incidencias. según la necesidad. Autenticación Kerberos. y su reputación estarán en juego. protegiendo la confidencialidad de los datos.Metodología para el Aseguramiento de Entornos Informatizados.Implementar IPSec. la seguridad de la empresa. Proteger la documentación del sistema almacenada en una red pública. Aplicar otros métodos que garanticen integridad de los datos. ▪ ▪ ▪ ▪ ▪ ▪ Los instructivos técnicos. . contra las modificaciones no autorizadas. Protección de la información publicada en la Web: La información publicada en Internet debe ser protegida contra modificación. o o Proteger la documentación del sistema almacenada en una red local. implementando un sistema de acceso o privilegios por perfil. Implementar métodos de intercambio de información seguro. o suministrada a través de una red pública con métodos seguros: ▪ ▪ ▪ ▪ ▪ Permitir sólo acceso a la lectura de los documentos.Aplicar MAC (Message Authentication Code). El Inventario de Activos. El ABM Activos.

Determinar los roles y responsabilidades: Este proyecto consiste en dar una razonable protección a la información a través de la correcta administración de la seguridad por parte de los responsables asignados a cada una de las funciones dentro de la compañía objetivo.Metodología para el Aseguramiento de Entornos Informatizados. las tareas y procesos informáticos. 3.3 Protección a nivel de la organización. A continuación se definen los roles y responsabilidades de cada una de las funciones relacionadas con la seguridad: o 122 . Se analiza en esta parte la protección de los distintos Activos a nivel de la organización. será tarea de ES diseñar y proponer una serie de responsabilidades a crear en la organización.1.María Victoria Bisogno. MAEI . Los estándares técnico. Para la Elaboración/adecuación de una Normativa de seguridad referirse al capítulo 4. Determinación de la necesidad de un cambio en la estructura de la organización: o Crear un sector dedicado a la seguridad informática: Si la empresa en cuestión no presenta la estructura organizacional que soporte el siguiente esquema de responsabilidades. Los procedimientos. Se deben considerar algunos de los siguientes puntos: Elaboración/adecuación de una Normativa de seguridad: A nivel de la organización. Los Manuales de usuarios. Para ello se deben definir los roles y las responsabilidades que lo ejecuten. pudiendo implicar la creación de un área de Seguridad Informática y una de Control Interno o Auditoría. La normativa se materializa en un “Manual de Seguridad” compuesto por: o o o o o La Política general de Seguridad. el primer paso en la protección del entorno es establecer la normativa que dicte los lineamientos sobre los procedimientos. Protección del tráfico de los vínculos: Proteger el tráfico entre equipos distantes mediante el ccifrado de paquetes. Las Normas. sección 3 de esta tesis.

Implantación de dichas medidas. ▪ Oficial de Seguridad El Oficial de Seguridad es quien tiene a su cargo la definición y el mantenimiento del marco normativo y el asesoramiento a todo el personal de la compañía para su implantación.María Victoria Bisogno. En relación a esta función. es responsable de: ▪ ▪ ▪ Implantar un programa de concientización permanente de usuarios sobre la seguridad de la información y su mantenimiento a futuro. . y en el marco de lo especificado por la Norma de Administración de Usuarios. MAEI .Definición de los Dueños de los Datos/ Delegados.Identificación de las medidas de seguridad necesarias en cada sistema para cumplir con la normativa. ▪ ▪ Asistir al Administrador de Seguridad en la implantación de la normativa de seguridad informática. cualquiera sea su forma y medio de conservación. . a un colaborador. quien recibe el nombre de Dueño de los Datos Delegado.Definición de acciones a llevar a cabo. Proponer los eventos de seguridad adicionales que considere necesarios para proteger su información. Clasificar su información de acuerdo a su grado de criticidad. Dueño de los datos Se llama Dueño de los Datos a todo Director y/o Gerente de cada área de la empresa responsable sobre la información correspondiente a su ámbito de trabajo. El Dueño de los Datos podrá asignar las tareas de administración y control de las medidas de seguridad del área. .Análisis del impacto. Accesos y Recursos.Identificación del problema. asegurando que cada uno tenga garantizado el ingreso a los datos de acuerdo a sus respectivas funciones. Dar soporte a los involucrados en los procesos de: . Son sus principales responsabilidades: ▪ ▪ ▪ Identificar toda la información de su área. Determinar qué usuarios de su área pueden acceder a su información. documentando y actualizando periódicamente esta clasificación. Mantener actualizada la normativa de seguridad y la lista de todos los Dueños de los Datos/ Delegados. . 123 . .Metodología para el Aseguramiento de Entornos Informatizados. Efectuar el control de los principales eventos que afecten la seguridad de la información y la posterior comunicación y asistencia a los Dueños de los Datos / Delegados y demás responsables en: .Identificación de la información sensible.

así como controlar periódicamente que solamente los usuarios autorizados posean acceso a los recursos. . Participar en el diseño. Participar en el proceso de evaluación de los riesgos emergentes ante una situación de interrupción no prevista del procesamiento de sistemas.Determinación de los perfiles de usuarios que accedan a cada uno de los puntos de menú en relación al puesto de trabajo. de ▪ ▪ Administrador de Seguridad Se define como tal a la persona que tiene a su cargo la ejecución de las medidas de seguridad en algún equipo de procesamiento. ▪ ▪ ▪ Operador Responsable Se establecen como Operadores Responsables de la información a: ▪ ▪ Los responsables de los archivos centralizados de la información en soportes (escritos en papel o electrónicos). para la implantación de las medidas de seguridad en los sistemas.Participación en la definición y evaluación de los lotes de prueba y durante los procesos de conversión e implantación de los sistemas de aplicación. desarrollo. ▪ Participar en la investigación y recomendación de productos de seguridad en conjunto con el área de Sistemas. y en la prueba e implantación de los planes de recuperación ante desastres definidos.Metodología para el Aseguramiento de Entornos Informatizados. 124 ▪ ▪ . Sus principales responsabilidades son: Implantar las medidas de seguridad física definidas para la protección de la información en la normativa correspondiente. Asistir a los usuarios en las tareas relacionadas con la protección de los datos. de comunicación y/o de almacenamiento. Implantar en los sistemas todos los parámetros definidos en las normas. MAEI . definición de las distintas estrategias de recuperación. baja y modificación de permisos relacionados con los accesos de los usuarios a los respectivos equipos y aplicaciones. servicio y/o aplicación. . procedimientos y estándares específicos. mantenimiento o adquisición sistemas de aplicación en cuanto a: .Identificación y evaluación de los controles automatizados del sistema. Sus principales responsabilidades relacionadas con la protección de la información son: ▪ Administrar todas las solicitudes de alta. menúes de usuarios y controles manuales adicionales a incluir en los procedimientos que acompañen a su operatoria. Los responsables de los Centros de Procesamiento de Datos o de los sitios donde se encuentren los equipos de procesamiento centralizado. Analizar e informar cualquier evento que atente contra la seguridad informática.María Victoria Bisogno.

para poder cumplir con sus respectivas tareas. sabotajes o accidentes relacionados con los sistemas informáticos son causados por el propio personal de la organización propietaria de dichos sistemas. Implantación de políticas para evitar ataques internos: [Huerta2000] Afirma que: “el 80 % de los fraudes. autorizar y coordinar las tareas a realizar por los distintos involucrados ante la necesidad de realización de cambios de sistemas en producción. Son sus responsabilidades: ▪ ▪ ▪ Cumplir con todas las medidas de seguridad definidas en el Manual de Seguridad. formas de acceso.María Victoria Bisogno. ubicación de información crítica y hasta tienen conocimiento de las fallas y debilidades del sistema. Resguardar los soportes de información que conserven en su poder. Liderar los procesos de cambio a realizar ante situaciones de emergencia. planificación y priorización de tareas. o que ha trabajado con anterioridad. según lo establecido en el Procedimiento de Tratamiento de la Información. Comité de Cambios ▪ Planificar. MAEI . Firmar el Compromiso de Confidencialidad de la Información. tienen conocimiento de claves. Evaluar periódicamente el registro de los cambios realizados en los sistemas de producción. codicia o ex empleados que desean vengarse por haber sido despedidos. de redes o en desarrollo. robos. o por otras desconformidades. Definir los criterios sobre los cuales se realiza la evaluación de impacto y criticidad de los cambios.Metodología para el Aseguramiento de Entornos Informatizados. lo que se suele denominar insider factor. Estas son personas con envidia. ▪ ▪ ▪ Usuarios Se considera como tales a todos los sujetos que hacen uso de los equipos.” Esto significa que la mayoría de los ataques a los sistemas informáticos son perpetrados por el propio personal que trabaja actualmente en la empresa. a fin de ajustar los criterios de evaluación. Es por esto que se aconseja tomar medidas preventivas acerca de esta realidad: 125 . Las personas que trabajan en el área de administración de los sistemas. servicios y aplicaciones y de la información de la empresa. ▪ Disponer la efectiva custodia de las claves de mayor riesgo de los equipos/servicios/aplicaciones conservadas en medios impresos. priorizar.

No centralizar el conocimiento de datos críticos en una sola persona. ▪ Separar la gestión o ejecución de ciertas tareas o áreas responsabilidad. pérdida y daño de la información durante el horario normal de trabajo y fuera del mismo. Implantación de políticas de escritorios y pantallas limpias: Implementar una política de escritorios limpios para proteger documentos en papel y dispositivos de almacenamiento removibles para evitar robos. Conocimiento parcial: Las actividades críticas de la organización deben ser conocidas y realizadas por varias personas competentes para que puedan respaldarse en caso de incidencias como accidentes o viajes.Metodología para el Aseguramiento de Entornos Informatizados. Separación de funciones: La separación de funciones es un método usado para reducir el riesgo de mal uso. Desconectar toda sesión activa cuando la terminal no verifique uso durante un período minutos de duración (10. 126 o o ▪ ▪ . 15 o 30) e implantar medidas para bloquear las terminales desatendidas. terminales e impresoras cuando están desatendidas. MAEI . o evitar el mutuo sabotaje si están enemistados. Implementar una política de pantallas limpias para reducir los riesgos de acceso no autorizado. a fin de reducir las oportunidades de modificación no autorizada o mal uso de la información o los servicios. pérdidas o daño de la información. accidental o deliberado del sistema. No dejar conectadas las computadoras personales. por ejemplo el conocimiento de la contraseña del administrador debe ser compartido con al menos 2 personas de confianza. Guardar bajo llave la información sensible o crítica de la empresa. y protegerla de desastres naturales. especialmente fuera del horario de trabajo. ▪ Almacenar bajo llave los documentos en papel y los medios de almacenamiento cuando no están siendo utilizados. o Mínimo privilegio: A cada usuario se le debe otorgar el mínimo privilegio que necesita para realizar su actividad. especialmente cuando no hay personal en la oficina. de o o o ▪ Evitar que una sola persona tenga la responsabilidad total de la seguridad de la empresa.María Victoria Bisogno. Rotación de funciones: Para evitar la complicidad de dos responsables.

tal como se sugiere en 4. editores y otros utilitarios del desde los sistemas que están operativos ( en producción). Prohibir el acceso a compiladores.1. Retirar de la impresora inmediatamente confidencial. una vez impresa. Establecimiento de un método de registro del flujo de personal: Registrar fecha y hora de entrada y salida del personal. contraseñas u otros controles cuando no están en uso. terminales e impresoras con cerraduras de seguridad. estabilidad en el ambiente de pruebas y confidencialidad en al ambiente de producción u operación.1. Se debe trabajar en instalaciones separadas que garanticen integridad en el ambiente de desarrollo. Definir las reglas para la transferencia de software desde el ambiente de desarrollo hacia el ambiente de prueba y al de producción y documentarlas en el Manual de Procedimientos correspondiente según lo indica la Política de Seguridad. Se deben tener en cuenta los siguientes controles: o o o o o o Ejecutar el software en desarrollo y en producción en diferentes procesadores o en diferentes dominios o directorios. Implantación de medidas de protección para el transporte de activos: 127 . Proteger los puntos de recepción y envío de correo y las máquinas de fax y telex no atendidos. pérdida de información y fallas en la confidencialidad de los datos. a fin de reducir el riesgo de cambios accidentales o accesos no autorizados al software operativo y a los datos del negocio. Recomendar a los usuarios la utilización de diferentes contraseñas para estos sistemas. Utilizar diferentes procedimientos de login para sistemas de prueba y en producción. ▪ Proteger las computadoras personales. de prueba y producción: Es fundamental separar físicamente las instalaciones de desarrollo.1 Protección de las Instalaciones.Metodología para el Aseguramiento de Entornos Informatizados. pruebas y operaciones. Se recomienda la separación entre las instalaciones de desarrollo. Separar las actividades de desarrollo y prueba.María Victoria Bisogno. Bloquear las fotocopiadoras (o protegerlas de alguna manera del uso no autorizado) fuera del horario normal de trabajo. a fin de reducir el riesgo de error por parte de los usuarios. prueba y producción para evitar confusiones. la información sensible o ▪ ▪ ▪ Separación de las instalaciones de desarrollo. MAEI .

Definir la responsabilidad de las partes. Confidencialidad e integridad de los datos suministrados con respecto a órdenes. o Protección de las operaciones de comercio electrónico: Las transacciones de comercio electrónico comprenden un intercambio de información delicada. se debe hacer uso de herramientas y aplicar técnicas que lo eviten. Adoptar controles especiales para proteger la información sensible contra divulgación o modificación no autorizadas.María Victoria Bisogno. Cierre de la transacción. Todos estos datos pueden ser interceptados por intrusos que los modifiquen o simplemente saquen provecho de forma fraudulenta de esa información. que no permita descifrar el contenido por personal no autorizado. Autorización para fijar precios. Proteger el bien contra eventuales daños físicos durante el tránsito con un adecuado embalaje. Por ejemplo: ▪ ▪ ▪ ▪ Usar recipientes cerrados. Cuando sea necesario. Entregar el Activo en mano.Metodología para el Aseguramiento de Entornos Informatizados. su manipulación o modificación. Para prevenir el mal uso de nuestros datos. hacer una división de los bienes a enviar en más de una entrega y enviarla por diferentes rutas. Confiabilidad y autenticación en la información sobre precios y descuentos. Estas técnicas deben garantizar: o o o o o Autenticación del cliente y el comerciante. Usar una codificación adecuada para rotular los paquetes. Determinar la forma de pago más adecuada para evitar fraudes. número de documento. o o o o o 128 . Confidencialidad. siguiendo las especificaciones de los fabricantes o proveedores. Confidencialidad e integridad de la información sobre órdenes de compra para evitar la pérdida o duplicación de transacciones. o o o Utilizar medios de transporte o servicios de mensajería confiables. como precios. pagos y direcciones de entrega. Crear una lista de servicios de mensajería autorizados e implementar un procedimiento para verificar la identificación de los mismos. y hasta preferencias personales. números de tarjetas de crédito. número de teléfono. Verificación de los datos del cliente. MAEI . y confirmación de recepción en las transacciones de compra. y otros datos personales como dirección. integridad y prueba de envío y recepción de documentos clave y de no repudio de contratos en los procesos de oferta y contratación. emitir o firmar los documentos comerciales. crédito disponible de un usuario.

la forma más adecuada de llevar a cabo esta tarea. servicios multimedia. Necesidad de prueba de envío. o Determinar quién asume el riesgo de eventuales transacciones fraudulentas. origen. IPSec. A través de la difusión de noticias y contenido en mensajes de correo electrónico. comunicaciones telefónicas.María Victoria Bisogno. Protección del correo electrónico: o o Determinar cuáles son las cuentas no autorizadas para intercambio de correo. por ejemplo a través de comunicados generales o boletines corporativos. Encripción de datos. según el caso. intercambio de archivos. Determinar las consideraciones legales aplicables: ▪ ▪ ▪ o Publicación de direcciones corporativas. Certificados digitales. Para implementar estas medidas se puede hacer uso de alguna de las siguientes herramientas: ▪ ▪ ▪ ▪ ▪ Firma digital. Filtrado de contenido de los mensajes. etc. Control de las operaciones de oficina: Las oficinas manejan datos de una forma en que se propicia la divulgación de información y el intercambio de datos mediante el uso de documentos impresos. correo de voz. 129 . correo electrónico. MAEI .Metodología para el Aseguramiento de Entornos Informatizados. entrega y aceptación. Determinar las acciones aplicables a correo entrante al dominio para usuarios desconocidos. Implantación de un proceso de autorización para la publicación de información electrónica de la empresa: o o A través de la publicación de páginas en Internet. computación móvil. comunicaciones telefónicas o La forma en que se distribuye la información. El proceso de recepción de correspondencia y su distribución. correo postal. Se deben controlar: o o o o La autorización de grabación de teleconferencias. El ES determinará. Restricción en el uso de determinadas instalaciones. SET (Secure Electronic Transaction). máquinas de fax.

Para más detalles sobre el manejo de incidencias ver la etapa 6.María Victoria Bisogno. Tener especial cuidado al enviar mensajes por fax.2 de esta metodología. 130 . para una fácil administración de los cambios. o Políticas de retención y resguardo de información. recomendándoles: o o o o No tratar temas confidenciales en comunicaciones telefónicas. el cliente debe dar su aprobación para su implantación. MAEI . en software y otros recursos. debe estar acompañado del apoyo del nivel gerencial y de los responsables directos involucrados. Para ello se recomienda seguir el procedimiento fijado en la Norma de Control de Cambios. Persuadir a los empleados del intercambio discreto de información: En las oficinas se produce un continuo y hasta forzoso intercambio de información entre los empleados de la compañía y entre terceros. 3. Controlar los cambios: Mantener un control sobre los cambios realizados en el entorno. y. registro y solución de incidencias. Se debe persuadir a los empleados el intercambio discreto de información. ya que se puede enviar documentación a un número erróneo. Como todo proyecto.1 de la MAEI.2 APROBACIÓN DEL PLAN DE ASEGURAMIENTO Una vez elaborado el plan de Aseguramiento.Metodología para el Aseguramiento de Entornos Informatizados. Reportar los incidencias: Crear un circuito que permita el reporte. No tratar temas confidenciales en lugares públicos u oficinas de acceso común. Tener especial cuidado con la información dejada en contestadores automáticos ya que puede ser escuchada por personas no autorizadas. referirse a la sección 6. en particular con teléfonos móviles. así como la prevención a partir de la Norma de Manejo de incidencias del Manual de Seguridad Informática. en equipos.

MAEI .Metodología para el Aseguramiento de Entornos Informatizados. pero en todos los casos va acompañado de la asignación de un presupuesto a invertir en los recursos asignados en la planificación.María Victoria Bisogno. El proceso de aprobación variará según las costumbres y políticas del cliente. 131 .

3 Elaboración/ adaptación de la Normativa de Seguridad 4.2.2 Espectro de las Normas y los Procedimientos 4.2.1 Identificación de la información 4.2.1 Política de Seguridad 4.2.4 Análisis de Criticidades 4.3.1.4.1 Implantación de una campaña de concientización 4.2.2.2 Elaboración/adaptación de la Normativa de Seguridad 4.1.2.1 Definición 4.3.4 Publicación de la Normativa de Seguridad 4.María Victoria Bisogno.2.2.3.2.1 Elaboración del Relevamiento de Activos 4.Normas y Procedimientos 4.4 Riesgos de la información 4.3.1 Definición 4.3.3.2 Capacitación de los usuarios 132 .3.3.3 Ejemplo . MAEI .4.1 Inventario de Activos 4.2 Ámbitos de aplicación y personal afectado 4.2 Normas y Procedimientos 4.3.3 Estándares.2 Ejemplo – Inventario de Activos 4.2. Esquemas y Manuales de usuarios 4.3.3.1.3 Aprobación de la Política de Seguridad 4.3.2.2 Tipos de información 4.2.1 Interiorización del experto con la política y negocio de la organización 4.2.3.2.2 Clasificación de la Información 4.3 Rotulación de activos 4.2.3 Beneficios de la clasificación de la información 4.1.2.3.Metodología para el Aseguramiento de Entornos Informatizados.3.4 Implantación y uso de la Normativa de Seguridad 4.1 Definición 4.2.1.5 Convenio de Confidencialidad 4.1. 4 IMPLANTACIÓN Contenido: 4.

2 Asignación de roles 4.6.6.1 Roles y responsabilidades 4.Metodología para el Aseguramiento de Entornos Informatizados.5 Formación del Equipo de Recuperación del Entorno ante Desastres (ERED) 4.6.Tabla de Criticidades por Servicios 4.6.5.6.3 Requerimientos para llevar a cabo el Plan 4.1 Tabla de Criticidades por Equipo 4.6.Tabla de Criticidades por Aplicaciones 4.8 Elaboración de la estrategia de recuperación 4.6.6.5.6.María Victoria Bisogno.3 Reestablecimiento de las condiciones normales 133 .6.5 Tabla de Criticidades por Aplicaciones 4.5 Implantación del Plan de Aseguramiento 4.3.2 Descripción de la estrategia 4.6.8.6.5 Análisis de riesgos 4.3.6.8.8.1 Probabilidad de ocurrencia de desastres 4.6.8.4 Ejemplo .3.4 Determinación de las prestaciones mínimas 4.6 Presentación de las distintas estrategias posibles de recuperación 4.8.5.6.6.4 Esquemas técnicos 4.8. MAEI .5.3 Establecimiento de criticidades 4.3.3 Tabla de Criticidades por Servicios 4.8.6.3 Implantación a nivel de la organización 4.5.6.8.1 Establecimiento del escenario considerado 4.2 Recuperación de las prestaciones 4.2 Determinación de los tipos de operación en una contingencia 4.6.6.6.6.Tabla de Criticidades por Equipo 4.6.5.6.8.1 Implantación a nivel físico 4.5.3.6 Elaboración del Plan de Recuperación del Entorno ante Desastres (PRED) 4.6.1 Mitigación de riesgos – Medidas preventivas 4.8.6.3.2 Determinación de los niveles de desastre 4.7 Selección de la estrategia de recuperación 4.6.6.6.2 Ejemplo .1 Declaración de la emergencia 4. 4.6.8.2 Implantación a nivel lógico 4.6 Ejemplo .6 Establecimiento de los procedimientos 4.

2 Clasificación de la Información 4.3 Elaboración/adaptación de la Normativa de Seguridad 4. para la elaboración del Manual de Seguridad.. pero de hacerlo. el de transmisión de datos. El ES considerará la necesidad de implementar todas o alguna de las etapas propuestas. Las etapas a desarrollar son las siguientes: 4. y a su vez. Culminadas las fases correspondientes a la primera parte de esta metodología. que es la implantación de las medidas de seguridad planificadas. La Clasificación de la Información no puede realizarse sin un relevamiento de los activos físicos y lógicos de la Organización. el de borrado seguro de información. en particular de ciertos procedimientos como los de manipulación de equipos.4 Publicación de la Normativa de Seguridad 4. 134 . En esta fase se lleva a la práctica lo planificado realizando los controles y ajustes necesarios según lo relevado anteriormente. y como en todo este trabajo. Se pretende llevar un orden en la ejecución de las etapas aquí presentadas. También. En el mismo se desarrolla la implantación de la solución. MAEI .Metodología para el Aseguramiento de Entornos Informatizados. aunque no es estrictamente necesario que se formalice esto en un inventario como se sugiere en la etapa 4.6 Elaboración del Plan de Recuperación del Entorno ante Desastres Cada una tiene un objetivo específico e individual. pues es de particular importancia para seguir el razonamiento desarrollado en esta tesis. para poder clasificar la información se debe contar con la Norma que establezca esa clasificación.María Victoria Bisogno. es necesario clasificar la información.1 Elaboración del Relevamiento de Activos 4. el estudio del entorno. aunque no necesariamente deben estar todas presentes.1. A su vez. se da comienzo al segundo y último grupo de fases llamado Implantación de la solución. Dentro de este grupo se encuentra la fase que da título al presente capítulo. deberá respetar el orden sugerido ya que las tareas que se desarrollan alimentan muchas veces a otras que les siguen. este capítulo se divide en etapas que describen tareas. que contribuye en parte a lograr el objetivo de la fase.5 Implantación del Plan de Aseguramiento 4.

módems. según su criticidad. Este documento es el Inventario de Activos. Para este fin se propone la elaboración de un Inventario de Activos Físicos. según la valorización de los responsables. 4.Metodología para el Aseguramiento de Entornos Informatizados. El Inventario de Activos Físicos contendrá los siguientes elementos: Elementos de hardware: o o o Equipamiento informático: monitores.María Victoria Bisogno. switches. software y la información de una empresa y su clasificación. Más allá de la interdependencia entre etapas.1 Elaboración del Relevamiento de Activos. Según [IRAM17799] “para mantener una adecuada protección de los activos de la organización se debe rendir cuentas por todos los recursos de información importantes y se debe designar un propietario para cada uno de ellos”. 135 . y un Inventario de Activos Lógicos.1. PABXs. MAEI . En esta etapa de la MAEI el ES realiza un detallado relevamiento de los bines o activos en posesión de la organización objetivo. etc.1 Inventario de Activos El Inventario de Activos aquí propuesto pretende llevar una contabilidad de los bienes de la organización en cuestión. Medios magnéticos: cintas y discos removibles. 4. Se hará distinción entre los elementos físicos o tangibles (como las instalaciones) y los lógicos o intangibles (como la información). la fase debe interpretarse como una unidad en la que se pretende materializar las medidas planificadas para lograr el aseguramiento del entorno. Equipos de comunicaciones: routers. Para el desarrollo de esta tarea se presenta una tabla para la documentación de la existencia de los recursos de hardware. hubs. clasificándolos según el nivel de protección que cada uno necesita.

2. CPUs: Se establece una distinción del resto de los elementos de hardware para su fácil identificación: o Procesadores. Software de sistemas. contestadores automáticos. aire Datos: o o o bases de datos. etc. Servicios: o o o Servicios informáticos. Mobiliario. de pruebas. energía eléctrica.Metodología para el Aseguramiento de Entornos Informatizados. documentos de alcance.4] 136 .. Asimismo. actualización y control y como apoyo al documento de Administración de Backups [3. material de capacitación. archivos. Cableado: cables internos y externos. computadoras portátiles. documentación de sistemas: manuales de usuario. información archivada. Servicios de comunicaciones.María Victoria Bisogno. iluminación. Servicios generales acondicionado). de diseño. planes de continuidad. Utilitarios.1. Software de aplicaciones. procedimientos operativos o de soporte. aire acondicionado. (calefacción. o o o o o Periféricos: impresoras. Otros equipos técnicos: de suministro de electricidad como UPSs. máquinas de fax. MAEI . para su correcta administración. lugares de emplazamiento. Herramientas de desarrollo. el Inventario de Activos Lógico contendrá estos elementos: Elementos de software: o o o o o Sistemas operativos. Se hará una distinción especial sobre las CPUs para facilitar su identificación. o Backups: Se hace especial mención de los elementos de recuperación de información.

MAEI . Por ejemplo: HDW0034: es el elemento de hardware número 34 BKP0102: es el backup número 102 NOTA: cabe destacar que este tipo de codificación incrementa la seguridad. que establece una relación única entre el código de activo y la descripción. periféricos. si no es mediante el presente documento. cintas de backup. DO FECHA CREACIÓN FECHA EXPIRACIÓN CRITICIDAD ESTA- Descripción de los campos CÓDIGO: Es el código rotulador que se asignará a cada elemento que permitirá identificar cada bien unívocamente. UBICACIÓN RESP.Metodología para el Aseguramiento de Entornos Informatizados. Se establece para ello la siguiente clasificación de elementos: Hardware Æ CPUs Software Servicio Datos Backup Æ Æ Æ Æ Æ notado HDW notado CPU notado STW notado SRV notado DAT notado BKP La codificación de los activos se realiza concatenando la sigla del tipo de elemento con un número correlativo creciente decimal de 4 dígitos.María Victoria Bisogno. 137 . Estructura del Inventario de Activos CÓDIGO DESCRIP. etc) para su identificación. Este rótulo se deberá colocar a la vista en elementos físicos (productos de hardware. protegiendo los elementos de backup contra hurto. para su identificación y seguimiento. ya que el rótulo no se puede relacionar inmediatamente con la fecha de backup y la aplicación sobre la cual se realizó la copia de seguridad.

2. o la de fabricación. y para los elementos de software se considerará la fecha en que la información contenida en el archivo pierda validez. sala donde está ubicado. Para elementos de software será la ubicación lógica del archivo: servidor o PC con path completo en la unidad de hardware correspondiente. Formato: dd/mm/aaaa CRITICIDAD: Indica el grado de protección que se le deberá asignar al bien.María Victoria Bisogno. etc) UBICACIÓN: Es la ubicación física del activo. según la experiencia del Ingeniero o el valor asignado por el usuario. DESCRIP. por ejemplo. cuando la información se ha hecho pública. y otros datos relevantes (como número de serie.: Es la persona que se hace cargo del elemento cuando ocurre un incidente en el que esté involucrado. será el piso. el sector. y para los elementos de software se considerará la fecha de creación de dicho archivo. salvo que el elemento sea alquilado y tenga una fecha de baja preestablecida. MAEI .Metodología para el Aseguramiento de Entornos Informatizados. o se realice la depuración correspondiente. RESP. Para la Clasificación de la Información consultar la parte 4. se sugiere dejar este campo vacío y completarlo una vez pasadas las etapas mencionadas. FECHA CREACIÓN: Para elementos de hardware será la fecha de compra del mismo. Para más detalles en cuanto al Análisis de Criticidades ver el apartado 4. la información deja de ser sensible o crítica después de un cierto período de tiempo.: es una descripción del elemento en cuestión en la que se debe destacar marca del producto. Para elementos de hardware.2 de esta Tesis.1. Formato: dd/mm/aaaa FECHA EXPIRACIÓN: Frecuentemente. Este nivel de criticidad será asignado en el Inventario de Activos una vez hecho el correspondiente Análisis de Criticidades y la posterior Clasificación de la Información. Por el momento. Para elementos de hardware este campo puede dejarse en blanco. ESTADO: puede tomar tres valores: 138 .

UBICACIÓN RESP.Metodología para el Aseguramiento de Entornos Informatizados.doc ----- --. sector Manuel A 8000 comunicaciones Belgrano --------------.--.--.--.… --.… --.--.--.… María A López 14/12/2002 14/12/2003 (121) DAT0067 Notas de CPU0002/d:/Lo logística en gística/Notas/ formato . UBICACIÓN RESP. y fue dado de baja.--.--.--. M: El activo ha sido modificado (pero sigue en uso). DO FECHA CREACIÓN 12/2001 - FECHA EXPIRACIÓN CRITICIDAD (011) ESTA- HDW0001 Mouse serie Piso 9.--.--.--.2 Ejemplo – Inventario de Activos Inventario de Activos Físicos CÓDIGO DESCRIP.María Victoria Bisogno. A: Significa que el activo ha sido dado de alta y efectivamente forma parte del inventario actual de la organización.… HW0024 Juan 20/06/2003 20/07/2003 (233) M Perez BKP0106 Backup de Srv01/exter no/proy5.--.--.--.--.--.--.--.--.--.… 139 .--.m bd ----- HW0024 Juan 20/05/2003 20/06/2003 (233) B Perez --.--.--. DO FECHA CREACIÓN FECHA EXPIRACIÓN CRITICIDAD ESTA- BKP0102 Backup de Srv01/exter no/proy5.1.--.--.--.--.… 7/2003 - (021) Inventario de Activos Lógicos CÓDIGO DESCRIP. MAEI .--. B: Indica que el activo existió.m bd ----- --.… HDW0034 Router Cisco Piso 7. cpu: Martinez HW0017 ------. 4. sector María A Logitech QA.

pero para hacer esto se deberá desarrollar un estándar que indique claramente cómo se realizará esta identificación. Mucho más práctico es utilizar el código asignado en el Inventario de Activos que fue diseñado con el fin de otorgar una descripción al personal que maneja los bienes en su labor diaria. es más laboriosa.3 Rotulación de activos Luego de la clasificación de la información y de la elaboración del inventario de Activos Lógicos y del Inventario de Activos Físicos se procede a la identificación de los activos por medio de rótulos o labels. 4. y más fácil aún que penetrar las barreras de seguridad lógica de la red. La forma en que se rotulen los activos puede ser muy variada. 140 . Un ejemplo claro es el caso de las cintas de backup. y está en riesgo la pérdida de la transformación que relaciona la descripción del activo (entrada en el Inventario de Activos) y su rótulo. Es mucho más fácil para un delincuente extraer de la empresa una cinta de backup que una CPU.María Victoria Bisogno. Esta práctica es la menos recomendada. 4. etc.1. la fecha en que se realizó.Metodología para el Aseguramiento de Entornos Informatizados. su criticidad. y no con la descripción explícita.4 Análisis de Criticidades El análisis de criticidades es el paso previo a la Clasificación de la Información. MAEI . si se utilizará una nomenclatura distinta de la del inventario de Activos. ya que provoca confusiones. es susceptible de ser un blanco de codicia por parte de intrusos hambrientos de información. que es la identificación asignada para su visualización física. Este mecanismo es muy útil para proteger la información contra hurtos y sabotajes. La ventaja de llevar actualizado los inventarios es que de esta forma se pueden rotular los activos con el código asignado en el Inventario. se pierde integridad en la forma de manejar los indicadores. Si una cinta de backup contiene una indicación clara de la información que contiene.1. para lo cual se deberá establecer la relación entre el código registrado en el Inventario y el asignado al medio físico. pero que no aporta información sobre su contenido y clasificación a personas ajenas al manejo de estos códigos.

el impacto y probabilidad de una pérdida en seguridad se pueden clasificar en cuatro niveles: Nivel 3: Alto riesgo. Dominio público.Metodología para el Aseguramiento de Entornos Informatizados. Daño irreparable. Impacto a nivel corporativo de 2 a 5 años. Nivel 0: Ningún Daño. Impacto de menos de 1 año. Asimismo. La clasificación de la información debe estar sustentada por los siguientes criterios básicos: El valor estratégico de la información para la Compañía. legales. Los criterios específicos que definan las autoridades de la Compañía. MAEI . políticos. La ventaja competitiva que puede darles a terceros su conocimiento. el incumplimiento de alguno de los valores establecidos en la Política General. de uso común en varias compañías internacionales: (Nivel de autenticidad. La integridad. Es un objetivo poco probable. No es un objetivo de ataque. La criticidad se puede expresar mediante la necesidad de conservar tres atributos: La autenticidad. Con licencia completa. Dichos prejuicios pueden ser: sociales. Es un objetivo de ataque de alta probabilidad. económicos y/o financieros. A nivel departamental. Nivel 2: Nivel 2: Daño Significativo. Nivel de integridad) 141 .María Victoria Bisogno. Impacto a nivel de país de la empresa / sede hasta 2 años. Es un objetivo posible. Cada Dueño de los Datos debe analizar su información para proceder a su clasificación. basándose principalmente en los perjuicios que pudiera ocasionarle a la Compañía objetivo y/o a su personal. Las leyes y reglamentaciones vigentes. Nivel 1: Daño Moderado. Para establecer la criticidad del activo se sugiere la siguiente notación. de imagen. Para clasificar la información de acuerdo a algún rango establecido en primer lugar hay que establecer cuán crítico es el activo en cuestión. Nivel de disponibilidad. La disponibilidad.

1. La dirección de la empresa debe evaluar la probabilidad y el impacto producto de la divulgación. reportes y listados. por lo que se deberá hacer hincapié en controles que garanticen este último atributo. cualquier otro soporte físico que contenga información. En algunos casos manejará información confidencial. medios magnéticos móviles. que son Dueños de los Datos. 4. 142 . 4.3) implica que la información necesita garantizar una autenticidad mínima. en otros será restringida o pública. y un alto requerimiento de integridad. MAEI .2 Clasificación de la Información La Clasificación de la Información de la Compañía debe estar alineada a la Política de Seguridad de la compañía. La clasificación de datos y los procedimientos de manejo especial se usan para proteger los datos de divulgaciones no autorizadas. y se debe definir para cada una de las áreas de negocio. El tratamiento de la Información debe responder a su clasificación. Cuanto mayor sea el nivel con que se clasifique la información. tienen la responsabilidad primaria de clasificar la información y protegerla adecuadamente. individuales y/o informes.1 Identificación de la información Los gerentes de las áreas o de las divisiones. los sistemas/equipos de procesamiento. mayor será el riesgo de la misma y por ende los controles que se ejerzan sobre ella para protegerla. información en centralizados. un nivel moderado de integridad.2. tales como: documentos propios y/o de terceros.Metodología para el Aseguramiento de Entornos Informatizados. en todas sus formas y medios.María Victoria Bisogno. Ejemplo: (0. Cada organización deberá establecer las categorías adecuadas para la clasificación de la información que maneja. Cada Dueño de los Datos debe identificar toda la información que se genera dentro del área que maneja. modificación y/o pérdida de información. como base para determinar el valor de la información.

en los que se incluyen. además de los anteriores. empleados) sobre la que es necesario realizar suficientes controles para garantizar el acceso adecuado. Los generadores de este tipo de información. Planes de fusión y adquisición.2. deben proceder a clasificarla y salvaguardarla de acuerdo al Procedimiento de Tratamiento de Información. MAEI . con alto grado de secreto.María Victoria Bisogno. es necesario incluir en los registros de eventos. Además. Es importante entender el negocio de la empresa objetivo para determinar el que más se ajusta a su realidad. unos más populares que otros. tal como evaluaciones de desempeño. En otros casos. compensaciones y beneficios. 4. Se trata de toda aquella información que puede presentar mayores riesgos para la Compañía. se utilizan modelos de más niveles de detalle. Restringida: Información de acceso medianamente restringido (utilizada por usuarios de rango medio. sobre la que se realizan los mínimos controles (información disponible para la comunidad). Pública: Información de acceso libre. 143 .Metodología para el Aseguramiento de Entornos Informatizados. Por ejemplo: o o o Políticas de largo alcance. o el correspondiente Dueño de los Datos. y que sólo debe ser utilizada por el Dueño de los Datos y las personas expresa y directamente autorizadas por él en forma específica. los siguientes: Privada: relacionada con los individuos. Entre los modelos más utilizados está el siguiente.2 Tipos de información Existen muchos modelos de clasificación de la Información. en el que la información se puede clasificar en tres categorías: Confidencial o Sensible: Información de acceso restringido. carpetas personales o registros médicos. Fórmulas críticas que no llevan protección de patentes. todos aquéllos referidos a la actualización de esta información. sobre la que tiene permiso un grupo reducido de usuarios (generalmente de alto rango jerárquico) sobre la que se deben realizar estrictos controles.

2 Análisis de Criticidades. que consiste en hacer un análisis de la criticidad de los Activos lógicos y físicos.2. como por ejemplo planes de viajes y reuniones.Metodología para el Aseguramiento de Entornos Informatizados.4 Riesgos de la información Para establecer una clasificación es necesario realizar el paso previo según esta metodología. Asimismo. el Dueño de los Datos debe identificar los riesgos a los cuales está expuesta su información.2.3 Elaboración/ adaptación de la Normativa de Seguridad 4. Posiciona la utilización del correo electrónico e Internet como una herramienta de trabajo. teniendo en cuenta la posibilidad de que personal interno y/o externo realice: Divulgación no autorizada. 4. Brinda medidas de control para la protección de datos de carácter personal.1. distribución física de usuarios y recursos. 4. 4. Uso Interno: relacionada con la operatoria diaria. Promueve el buen uso y protección de las contraseñas.1 Interiorización del experto con la política y negocio de la organización 144 . Permite la identificación de acciones indebidas en los sistemas. precios y demarcaciones. iniciativas de proyectos.3 Beneficios de la clasificación de la información Mejora de forma continua la seguridad de la información. Destrucción de los soportes. Modificación indebida.. Establece los principales controles necesarios para evitar accesos externos o internos no autorizados a la información.María Victoria Bisogno. Ver 4.3. MAEI .

Metodología para el Aseguramiento de Entornos Informatizados. La Normativa de Seguridad es el marco que regula el comportamiento de las personas en la empresa.María Victoria Bisogno. El Manual de Seguridad está formado por la Política de Seguridad. MAEI . el ES determinará si es conveniente hacer una adaptación de la Normativa de Seguridad. los Instructivos y Estándares técnicos.2 Elaboración/adaptación de la Normativa de Seguridad En esta etapa de la MAEI. pero sobre todo debe interpretar y conocer la estrategia de la empresa y sus políticas implícitas sobre el manejo de la información. los Procedimientos. o si se inclina por la elaboración de una nueva. su forma de trabajar y de efectuar las tareas que involucran los recursos del entorno informatizado. A continuación se muestra un gráfico que lo ilustra: General Política de Seguridad Normas Particular 145 . si existiera. 4. las Normas. El ES deberá evaluar la adecuación de esas costumbres y sugerir los cambios necesarios para llevar a cabo las mejores prácticas de seguridad. El conjunto formado por los documentos que componen la Normativa de seguridad es llamado Manual de Seguridad de la empresa. la estructura de la organización. la jerarquía de la empresa y el manejo de los empleados.3. Para la elaboración o adaptación de un adecuado Marco Normativo el ES debe interiorizarse con el manejo del negocio.

se observó que en España. de dicha configuración. Procedimientos Estándares La Política de Seguridad es la más general. en cambio. MAEI . en cambio. además de los técnicos. Finalmente. mientras que en la 146 . Por ejemplo se puede establecer un estándar técnico para la configuración de los servidores. el ES debe realizar un relevamiento de aspectos organizativos y políticos. ya que la Política y las Normas son enunciadas con un carácter exclusivamente imperativo. Las Normas generalmente tratan temas específicos a alto nivel. sistema operativo o aplicativo para el que se deba aplicar. Las Normas son también leyes pero más puntuales que las políticas. siempre independientemente de la plataforma con que se trabaje. para que cada vez que se de de alta a un nuevo servidor se garantice que siguiendo ese estándar se obtendrá la misma configuración de los demás servidores. Como ejemplo. bajan el nivel a una serie de pasos a seguir. aplicación o hardware. Para la elaboración del Manual de Seguridad de la Información. Los Procedimientos. ayudando a la automatización. sobre todo deberá estudiar el lenguaje que emplea la alta gerencia para emitir sus comunicados detectando la forma gramatical que se utiliza para las expresiones imperativas y las enunciativas. que es el conjunto de documentación que avala el Marco Normativo de una empresa. La forma en que se enuncien las oraciones será crucial para las futuras auditorías. Los Esquemas.María Victoria Bisogno. El ES deberá descubrir la forma de comunicación que maneja la empresa. son procedimientos dependientes de la tecnología.Metodología para el Aseguramiento de Entornos Informatizados. país que posee el mismo idioma que la República Argentina. Contiene los lineamientos y definiciones independientes de plataformas y tecnologías. Debe prestar especial atención en esto. los Estándares técnicos son documentos que describen la configuración de cierto sistema. una manera común de expresar obligatoriedad es utilizar el tiempo futuro simple. ya que son leyes a cumplir algunas veces por gran parte del personal y en su mayoría por todos. por lo que se debe especificar la plataforma. al momento de verificar el cumplimiento de las Normas. por medio de scripts. en la experiencia personal de la autora.

3. Debe ser conocida y acatada por todos y cada uno de los miembros de la organización.3. Entre estos principios se encuentran: Eficacia: Garantizar que toda información que sea utilizada es necesaria y entregada de forma oportuna. correcta. alguien. consistente y útil para el desarrollo de las actividades. según el enfoque de la organización. A continuación se pasa a describir en detalle cada componente del Manual de Seguridad de la Información: 4. 147 . por tal motivo se utilizan frases del tipo: “Se deben implementar medidas de restricción de acceso al CPD” para enfatizar la obligatoriedad de la Norma. implementará medidas de restricción de acceso al CPD. y debe ser concebida bajo el total consentimiento y apoyo de la gerencia. sin ambigüedades ni contradicciones. MAEI .1 Política de Seguridad 4.1 Definición La Política de Seguridad es un documento que establece las pautas. que estas leyes deben ser interpretadas y cumplidas por los usuarios.María Victoria Bisogno.1. El siguiente ejemplo lo ilustra: La frase: “Se implementarán medidas de restricción de acceso al CPD” en España expresa una clara obligatoriedad de implementar medidas de restricción del acceso al CPD. en cuanto a la gestión de la seguridad.2. y su negocio. por lo que deben ser de fácil comprensión. Se debe tener presente al momento de escribir el Manual de Seguridad de una empresa.2. mientras tanto no me preocupo yo por implementarlas”.Metodología para el Aseguramiento de Entornos Informatizados. Argentina se hace hincapié en la obligatoriedad de una enunciación agregando las palabras “se debe”. procedimientos y estándares detallados. mientras que en la Argentina esta misma frase podría ser interpretada como: “En algún momento. En nuestro país. La política de Seguridad contiene los principios de seguridad sobre los cuales deben basarse las normas. simples y sintéticas.

de manera tal que no se interrumpa significativamente la marcha de las actividades.Metodología para el Aseguramiento de Entornos Informatizados. Autorización: Garantizar que todos los accesos a datos y/o transacciones que los utilicen. cumplan con los niveles de autorización correspondientes para su utilización y divulgación. revelaciones accidentales. MAEI . Confiabilidad: Garantizar que los sistemas informáticos brinden información correcta para ser utilizada en la operatoria de cada uno de los procesos. Disponibilidad: Garantizar que la información y la capacidad de su tratamiento manual y automático. Exactitud: Asegurar que toda la información se encuentre libre de errores y/o irregularidades de cualquier tipo. espionaje industrial. Integridad: Asegurar que sea procesada toda la información necesaria y suficiente para la marcha de las actividades en cada uno de los sistemas informatizados y procesos transaccionales. sean resguardados y recuperados eventualmente cuando sea necesario. 148 . Propiedad: Asegurar que todos los derechos de propiedad sobre la información utilizada en el desarrollo de las tareas. procesen y/o transporten. Legalidad: Asegurar que toda la información y los medios físicos que la contienen. cumplan con las regulaciones legales vigentes en cada ámbito. estén adecuadamente establecidos a favor de sus propietarios. Confidencialidad: Garantizar que toda la información está protegida del uso no autorizado.María Victoria Bisogno. violación de la privacidad y otras acciones similares de accesos de terceros no permitidos. No Repudio: Garantizar los medios necesarios para que el receptor de una comunicación pueda corroborar fehacientemente la autenticidad del emisor. Protección Física: Garantizar que todos los medios de procesamiento y/o conservación de información cuenten con medidas de protección física que eviten el acceso y/o utilización indebida por personal no autorizado. Eficiencia: Asegurar que el tratamiento de la información se realice mediante una óptima utilización de los recursos humanos y materiales.

3. Declaración del propósito de los responsables del nivel gerencial.2 Normas y Procedimientos 4. Externos (soporte de hardware. Clientes. 4. Normas y requisitos de cumplimiento en materia de seguridad. Pasantes . y que afecta a: Personal efectivo del área de sistemas. Consultores. 149 .2 Ámbitos de aplicación y personal afectado La Política de seguridad. Personal de mantenimiento.1 Definición Una Norma es toda definición concreta sobre cada uno de los temas de seguridad que luego serán adaptados a cada servicio informático en forma específica. y lo suficientemente genéricos como para poder ser aplicados en distintos entornos. formaliza las medidas a implementar en los distintos ámbitos determinados en el Alcance de la documentación respectiva. apoyando los objetivos y principios de la seguridad de la información.1. etc). Ambos son independientes de la plataforma.2.2. Incluye el desarrollo de instrucciones operativas y procedimientos apropiados de respuesta a incidencias y recuperación de las prestaciones frente a una catástrofe. sus objetivos y alcance generales. contratistas. Explicación* de las Políticas.María Victoria Bisogno. principios.Metodología para el Aseguramiento de Entornos Informatizados.2.3.3. Un Procedimiento es toda especificación de las pautas a seguir para el desarrollo de una tarea en particular. como los Manuales de Procedimiento y Estándares de Seguridad. 4. que son especialmente importantes para la organización. Personal efectivo de otras áreas.2. MAEI . Las Normas y Procedimientos deberán contener: Definición de la seguridad de la información. junto con sus extensiones.

lógico y de la organización. Definición de los responsables en materia de gestión de la seguridad de la información: o o o o o o o o por nivel jerárquico. Normas y sus respectivos Procedimientos.2 Espectro de las Normas y los Procedimientos En un entorno informatizado se pueden generar Normas y Procedimientos en los distintos aspectos de la seguridad.María Victoria Bisogno. el uso de los recursos específicos y el manejo de los datos. por área o sector del negocio. se puede elaborar la normativa abarcando los siguientes tópicos. En general. Instructivos y Estándares.2. Software. por ejemplo: o o Estándares de Seguridad más detallados para sistemas de información específicos o normas de seguridad que deben cumplir los usuarios.Metodología para el Aseguramiento de Entornos Informatizados. Un Marco Normativo completo (y útil) está compuesto por Políticas. haciendo foco en los niveles físico. Servicios. Definición de los responsables sobre los activos afectados: Definición del procedimiento a seguir ante la ocurrencia de incidencias relativos a la seguridad. Hardware. 4. Normativas internacionales. MAEI . Instructivos que definen la forma de proceder ante la sucesión de ciertos eventos. Datos. CPUs.3. o *se especifica el modo de extender la seguridad al ámbito técnico. Referencias a documentos que puedan respaldar la política. siempre dependiendo del negocio y de la estructura de la organización objetivo: A nivel físico 150 . Backups. la administración de las contraseñas.2.

Metodología para el Aseguramiento de Entornos Informatizados. MAEI - María Victoria Bisogno.

Comunicaciones; Correo electrónico; uso de Internet; Uso de antivirus; Seguridad física; Seguridad del entorno, centros de cómputos (CPDs), oficinas, escritorios, etc. Backup; Separación física de ambientes de procesamiento: controles y documentación; Destrucción de Información; Destrucción de la información contenida en distintos soportes magnéticos, borrado seguro y eliminación de medios impresos. Utilización de equipos; Utilización de celulares; Recuperación del Entorno ante Desastres; Administración de la Seguridad de Acceso; Reinicio de sistemas; Para procesos críticos, de tiempo real o que poseen un lato nivel de disponibilidad, los cuales deben ser reiniciados bajo condiciones específicas y siguiendo procedimientos especiales. Eliminación segura de salidas de tareas fallidas; Se establecen las pautas para terminar procesos o tareas de las que dependen otras, o de las que se esperaba un resultado. A nivel lógico Clasificación y manejo de la información; Modo de procesamiento de los datos; Acceso a datos; Administración de usuarios; Administración de contraseñas; Procedimiento de solicitud de permisos de usuarios; Desarrollo de software; Requerimientos de programación (schedulling), incluyendo dependencias con otros sistemas, tiempos de inicio de primeras tareas y tiempos de terminación de últimas tareas; Separación lógica de ambientes: requerimiento de metodologías de desarrollo de software, ciclo de vida; ABM Aplicaciones; Uso de Software;

151

Metodología para el Aseguramiento de Entornos Informatizados. MAEI - María Victoria Bisogno.

Normas para el manejo de salidas (outputs), como el uso de papelería especial o la administración de salidas confidenciales; Continuidad del procesamiento - Recuperación del Entorno ante Desastres; Administración de registros de eventos de auditoría (logs); Conexiones a la LAN; Conexiones de Terceros; Accesos Remotos; Concientización y Capacitación; Normas para usuarios; Criptografía; Seguridad en Bases de Datos; Administración de la Seguridad de las Aplicaciones; Administración de la Seguridad de la Red; Intercambio de archivos a través de la red; Acuerdo de Confidencialidad. A nivel de la organización Responsabilidades de Seguridad; Licencias legales de Software; Auditoria de Sistemas; Administración y respuesta ante Incidencias; Denominación de responsables sobre los activos de la empresa; Identificación y registro de cambios en el sistema (ver 5.3 Control de Cambios); Procedimiento de aprobación formal de los cambios propuestos; Comunicaciones a usuarios; Puestas Operativas: Reglas para la transferencia de software desde el ambiente de desarrollo hacia el ambiente de prueba y al de producción; Procedimiento de ABM de usuarios.

4.3.2.2.3 Ejemplo – Normas y Procedimientos Norma de Responsabilidades de Seguridad En un entorno informatizado donde se pretende implementar Normas y Procedimientos de a cuerdo a la Política de Seguridad vigente, es necesario definir el

152

Metodología para el Aseguramiento de Entornos Informatizados. MAEI - María Victoria Bisogno.

equipo de recursos humanos responsable de hacer cumplir esto, de efectuar controles y capacitar a los usuarios en cuanto al uso y aplicación de esta normativa. Los roles dentro de esta organización deberán ser algunos de los siguientes: Dueño de los Datos; Oficial de seguridad; Administrador de seguridad, que puede estar dividido en: o o Administrador de Seguridad de Base; Administrador de Seguridad de Aplicaciones;

Operador Responsable; Auditor de Sistemas; Usuarios;

Norma de Administración de Usuarios Una norma muy importante que jamás debe faltar en ningún entorno informatizado es la que regula la administración de usuarios. Esta norma es un marco para la creación de nuevos usuarios, para la administración de perfiles y la asignación y modificación de permisos y la baja de usuarios para establecer un adecuado control de acceso y así garantizar la autorización y confidencialidad de los datos. Establece, entre otras cosas, la administración de: Usuarios de gestión, aplicación y de servicios; Proceso de autenticación por identificación de usuario y contraseña; Características de las contraseñas: o o o o o o o o o Cantidad mínima de caracteres; Cantidad mínima de caracteres distintos de la última contraseña; Cantidad máxima de caracteres repetidos; Cantidad mínima de caracteres alfabéticos; Cantidad mínima de caracteres numéricos; Cantidad mínima de caracteres especiales; Vida mínima de la contraseña; Vida máxima de la contraseña (expiración); Cantidad de contraseñas (o tiempo) que se deben utilizar antes de repetir una contraseña; 153

Metodología para el Aseguramiento de Entornos Informatizados. MAEI - María Victoria Bisogno.

o o o

Cantidad de intentos fallidos de logueo antes de bloquearse la estación de trabajo; Cantidad máxima de días de inactividad para el bloqueo del usuario; Cantidad máxima de días de inactividad para la baja definitiva del usuario;

Medidas de restricción complementarias. Procedimiento de ABM de Usuarios Requerimientos para dar de alta a una cuenta personal de usuario; Requerimientos para dar de alta a una cuenta no personal (para aplicaciones y servicios – no se les permite tener logueo); Procedimientos para la modificación de permisos de un usuario; Procedimientos para la eliminación normal (por renuncia) de un usuario o o o Eliminación de la entrada correspondiente en el archivo de contraseñas; Eliminación de la cuota de recursos en la Workstation utilizada; Restricción de todos los permisos previamente otorgados en los sistemas operativos, en las bases de datos y en las aplicaciones;

Procedimientos para la eliminación conflictiva (por despido) de un usuario. Norma para Licencias legales de software Licencias a nombre de la compañía; Responsabilidades en la instalación de software; Norma de Comunicaciones/Correo electrónico y uso de Internet/ Antivirus Normas de buen uso; Utilización de herramientas exclusivamente para el desempeño de las funciones laborales; Restricciones; Responsabilidad del usuario sobre la información transmitida. Norma de Backup Protección de los medios físicos; Recupero de la información; Procedimiento de Backups

154

Control de Calidad (QA).Metodología para el Aseguramiento de Entornos Informatizados. Registro de los incidencias ocurridos. Acceso restringido al CPD o Centro de Cómputos: o o o o o o o Verificación de las condiciones físicas del CPD. Características ambientales. Realización de sus tareas bajo supervisión. Borrado seguro de discos rígidos. CDs. MAEI . Protección de los escritorios. Acceso al CPD por visitas: Traslado de equipamiento fuera del CPD para mantenimiento: Procedimiento de destrucción de Información Utilización de máquinas trituradoras de papeles. Preproducción y Producción. Operatoria y periodicidad. Norma de Ambientes de procesamiento Separación de los ambientes de Desarrollo. Registro de los motivos de la visita. 155 . Protección de la información guardada en soportes y equipos. Segregación funcional entre ambientes.María Victoria Bisogno. Autorización para recuperación. Evaluación de los controles y la seguridad. Norma de Seguridad física Características mínimas de la estructura física. Especificación de la rotación de los medios físicos e inventario (uso del documento de administración de backup). Acompañados siempre de personal autorizado. Destrucción definitiva de medios magnéticos desechados (diskettes. Solicitud de autorización a los Responsables de Datos involucrados ante la imposibilidad de borrar la información. etc). Borrado de la información del equipamiento.

la forma de implantación de controles y procesos según la Política de Seguridad. cuyo seguimiento depende de la plataforma. sistema operativo o equipo. Los Esquemas técnicos y Manuales de Usuario son documentos que especifican la forma de llevar a cabo una tarea. Capacitación de los usuarios finales e informáticos en el tema. a un nivel más bajo de detalle. Adaptación de sistemas operativos. Definición de los dueños de la información. 156 .3. y en general están formados por una serie de pasos o instrucciones. Acondicionamiento físico del Centro de cómputos y sitios donde se encuentren los equipamientos. Su uso otorga el beneficio de la homogenización del ambiente. Los Esquemas.Metodología para el Aseguramiento de Entornos Informatizados.3. Normas.2. 4. Instructivos y Manuales de usuario dependen de la plataforma. Procedimientos. Estándares. Esquemas y Manuales de usuarios 4. Norma o Procedimiento en que se basan.2 Clasificación de la información). Definen la parametrización de una aplicación. y facilita la automatización de tareas de instalación y configuración.3. registros e informes (ver 4.María Victoria Bisogno.3 Estándares. servicios y aplicaciones. MAEI . Por ejemplo. Seguridad y Administradores. Esquemas y Manuales de usuario.2. Publicación de la Política.3.1 Definición Los Estándares de Seguridad son documentos más detallados para sistemas de información particulares o equipos. Creación y actualización de inventarios. 4. Definición de los Responsables de Datos. Revisión del plan de copias de respaldo. se desarrolla un Estándar de Seguridad para la elaboración de scripts que corran sobre bases de datos Oracle.2. medios físicos y lugar en los que se conservan los mismos. que deban llevar a cabo los usuarios para el desarrollo de tareas específicas.4 Implantación y uso de la Normativa de Seguridad Para implantar el conjunto normativo de Seguridad Informática se debe definir un plan de acción que contemple: Clasificación de la información.

5 Convenio de Confidencialidad Para las empresas que manejen información particularmente sensible para su negocio. las Normas con lineamientos más específicos pero siempre a un nivel macroscópico. se sugiere elaborar un documento que especifique las responsabilidades de los usuarios respecto del manejo y la publicación de la información de la organización. 4. y conforman el instrumento por el cual se implementan tales lineamientos. De todos estos elementos es necesario realizar las correspondientes validaciones y consensos con los responsables que poseen en conocimiento de la tarea.3 Aprobación de la Política de Seguridad Luego de la elaboración de la Política de Seguridad. procedimientos a nivel de tarea y Manuales técnicos. pero no necesitan la aprobación gerencial ya que éstas se ajustan a los principios enunciados en la Política General.María Victoria Bisogno.Metodología para el Aseguramiento de Entornos Informatizados. Los usuarios involucrados deberán firmar este convenio cuando ingresan a la compañía. La Política General debe ser aprobada. tanto los miembros de la nómina como los externos. tanto en la Política como en las Normas Y Procedimientos. Este documento deberá detallar qué información es secreta y confidencial. el trato que se le debe dar. ésta debe ser validada con los responsables de referencia y aprobada por el nivel gerencial de la compañía. como bien antes se ha dicho.2. el Manual de Seguridad está formado por la Política General de Seguridad con los lineamientos generales. los requerimientos de control de acceso y las medidas a tomar si no se cumpliera con ellas. Las normas deben ser validadas por los responsables de las áreas afectadas. MAEI . 4. por el nivel gerencial de la organización. Estándares e instructivos que despliegan los procedimientos en detalle. 157 .3.3. Como ya se explicó anteriormente. La aprobación de los superiores de la empresa implica la autoridad para hacer cumplir lo dispuesto en el Manual de Seguridad. Creación y/o adaptación de los distintos ambientes de procesamiento.

Toda la documentación que conforma el Manual de Seguridad constituye una única pieza normativa que debe ser consistente de arriba a abajo y debe cubrir todos los aspectos donde intervenga información computarizada del entorno en estudio. la información de incidencias.1 Implantación de una campaña de concientización Para lograr el conocimiento del Manual de seguridad y su correcta interpretación se debe realizar una campaña de concientización para que los usuarios adquieran los conceptos de Seguridad que se defienden a través de la normativa. si así se haya dispuesto. la autorización. Es recomendable que esta etapa dispare el comienzo de la fase de concientización y capacitación de usuarios como se sugiere en esta metodología. y comprendan la importancia de de su implantación. Para ello la campaña de concientización debe remachar en conceptos como la confidencialidad. 4.Metodología para el Aseguramiento de Entornos Informatizados. Manuales de Usuario e Instructivos no necesitan validación salvo la técnica por parte de personal especializado. elementos de escritorio y librería. charlas informales y cafés inductivos que promuevan conceptos e 158 . Estándares. reparto de pines.4. la legalidad. se debe dar a conocer el Manual de Seguridad de la organización. Para lanzar una campaña de concientización se puede recurrir a herramientas de marketing. publicación de noticias. Los usuarios deben incorporar los conceptos a su desenvolvimiento diario para realizar su trabajo cumpliendo con prácticas seguras de manera casi implícita. En esta etapa se deben firmar los convenios de confidencialidad existentes y la confirmación de lectura y conocimiento de las Normas por parte de los usuarios. como publicación de afiches. Los demás documentos normativos técnicos. mensajería masiva. etc. 4. cursos y seminarios.4 Publicación de la Normativa de Seguridad Luego de la aprobación correspondiente. MAEI . La protección de la información debe convertirse en un factor cultural dentro de la empresa.María Victoria Bisogno. como Procedimientos. foros de discusión.

las Normas y Procedimientos. como en los aspectos técnicos. Estándares técnicos e Instructivos deben ser conocidos por todos los miembros de la empresa estén involucrados directamente con alguna de las responsabilidades de Seguridad o no. 4.2 Capacitación de los usuarios Además de la concientización. En los casos en que sea preciso una capacitación formal. se debe realizar una adecuada capacitación de los usuarios que garantice que poseen los conocimientos mínimos para el manejo de la información y la implantación de las medidas impuestas en las Normas de Seguridad vigentes. proveyendo a los usuarios de los medios educativos adecuados (cursos. El Manual de Seguridad de la organización. En particular. MAEI . y una prueba de acceso a los recursos para detectar excesos de autorización o restricciones que no permitan desarrollar el trabajo normal del usuario afectado. se debe garantizar la adquisición de los conocimientos necesarios para poder implementar las Normas correspondientes. por ejemplo luego de efectuar una restricción de permisos de usuarios se debe realizar una revisión sobre los accesos para verificar su correcta asignación. Es responsabilidad de la empresa y no de los usuarios en particular la capacitación técnica y administrativa correspondiente.Metodología para el Aseguramiento de Entornos Informatizados. Cada tarea desarrollada en esta etapa implica un período de pruebas o revisión de los controles efectuados. Así. etc) 4. bibliografía.4.5 Implantación del Plan de Aseguramiento En esta etapa se implantarán todas las medidas planificadas especialmente para el entorno objetivo. las personas que tienen asignados roles específicos de Seguridad. compuesto de la Política de Seguridad. 159 . y específicamente en cada nivel estudiado: físico. o que intervengan en el manejo de la información deberán informarse de sus responsabilidades y derechos de la forma determinada en la Política. incentiven a la incorporación de prácticas que lleven a la implantación de la seguridad. manuales.María Victoria Bisogno. ya sea firmando un convenio de confidencialidad o firmando la lectura y aceptación del marco Normativo de la Organización. lógico y de la organización.

La metodología aquí propuesta invita a llevar a la práctica los controles seleccionados para obtener el nivel de seguridad deseado en el aspecto físico. Protección de los equipos Se implantan los procedimientos de protección sobre los equipos informáticos.2 Implantación a nivel lógico Aquí se implantan los controles sobre los activos lógicos de la organización: Protección de la información En esta parte se procede a proteger la información del entorno como activo fundamental del negocio. unidades de cinta. 4. etc. Dado que un proyecto de esta clase puede tener una magnitud considerable en un entorno amplio. correspondiente a los niveles antes mencionados. 4.Metodología para el Aseguramiento de Entornos Informatizados. equipos de comunicación. dispositivos electrónicos.1 Implantación a nivel físico En el capítulo 3 se estudiaron las soluciones posibles para los problemas de seguridad de los activos de nivel físico. 160 .María Victoria Bisogno. lógico y de la organización. En esta parte se implanta la solución correspondiente sobre los activos físicos: Protección de las Instalaciones Se hacen efectivas las medidas planificadas sobre las instalaciones físicas del entorno. Protección del sistema operativo Se implantan medidas de protección en el software de base del sistema.5.5. se realizan las revisiones y pruebas pertinentes sobre equipos de procesamiento. Revisiones y pruebas Luego de realizar los cambios o controles. MAEI . se sugiere realizar las revisiones y pruebas necesarias luego de finalizada cada subetapa.

sino pérdidas provocadas por la interrupción del negocio. el software de base como sistemas operativos y bases de datos y los datos. Protección de la organización Se realiza la implantación de medidas correctivas y preventivas sobre la estructura de la organización. en la estructura de la empresa. Muchas veces desastres naturales o accidentes. analizar su probabilidad de ocurrencia. se realizan las revisiones y pruebas sobre las aplicaciones. Revisiones y pruebas Siempre luego de realizar los cambios o controles. 4. Revisiones y pruebas Una vez realizados los cambios o controles. 4.5. y finalmente proponer un plan que logre mitigar en cierta medida estos riesgos. el comportamiento de los empleados en la oficina.María Victoria Bisogno. tiene como objetivo detectar los riesgos presentes en el entorno.3 Implantación a nivel de la organización Aquí se implantan los controles en la organización. inundaciones. hasta cortes en el suministro de energía eléctrica provocan pérdidas enormes no sólo a nivel de bienes. etc. y que no surgieron incoherencias generadas por las medidas aplicadas. sobre los roles y responsabilidades de los individuos involucrados con el entorno. Protección de los datos Se establecen las medidas preventivas al menor nivel de granularidad de los activos lógicos: los datos. en los roles y responsabilidades asignadas. MAEI . físicos y humanos para mantener la continuidad del proceso del negocio. 161 . en adelante PRED.6 Elaboración del Plan de Recuperación del Entorno ante (PRED Desastres ) El Plan de Recuperación del Entorno ante Desastres.Metodología para el Aseguramiento de Entornos Informatizados. y que permita la recuperación de la disponibilidad de los recursos lógicos. establecer su criticidad según cómo afectan la continuidad del negocio. como incendios. en las tareas y procesos. se realizan las revisiones y pruebas para asegurar un control interno adecuado.

En esta tesis se utilizarán indistintamente los términos “emergencia”. Recuperación de las prestaciones. Esquemas técnicos con pasos a seguir. ya que la mayoría de las empresas tiene sus sistemas productivos y financieros automatizados y computarizados. Roles y responsabilidades. Presentación de las distintas estrategias posibles de recuperación. Selección de la estrategia de recuperación. Asignación de roles. Criticidades por aplicaciones. el hecho de utilizar la palabra “contingencia” no indica menor gravedad que las situaciones en las que se referencia al hecho acontecido como un “desastre”. Declaración de la emergencia. Elaboración de la estrategia de recuperación: o o o o o o o o Mitigación de riesgos – Medidas preventivas. De esta forma es crucial contar con un plan para sostener el flujo de los negocios ante emergencias que imposibiliten el uso de los recursos de computación o del entorno completo. Formación del Equipo de Recuperación del Entorno ante Desastres (ERED): Establecimiento de los procedimientos: 162 .María Victoria Bisogno. Hoy en día el negocio es más y más dependiente de la informática.Metodología para el Aseguramiento de Entornos Informatizados. Criticidades por servicios. Determinación de los niveles de desastre. Análisis de riesgos: o o Probabilidad de ocurrencia de desastres. Establecimiento de criticidades: o o o Criticidades por equipo. Requerimientos para llevar a cabo el Plan. Determinación de las prestaciones mínimas. Descripción de la estrategia. El PRED contiene las siguientes partes: Establecimiento del escenario considerado. MAEI . Determinación de los tipos de operación en una contingencia. Por lo tanto. “contingencia” y “desastre”.

María Victoria Bisogno. o o o o Los servidores.1 Determinación del escenario considerado Se deberá hacer un relevamiento de: Las condiciones físicas del entorno. MAEI . A partir del momento en que los servicios y aplicaciones están disponibles. 4. existe un tiempo de “catch up” o actualización de la información del sistema. durante la cual se genera información.6.2 Determinación de los tipos de operación en una contingencia Los principales tipos contingencia son: de operaciones considerados ante una situación de Operación normal inicial: es la operatoria que se registraba antes de ocurrir el desastre. Los elementos de backup. Los servicios y aplicaciones existentes. se llega a esta instancia en la cual todos los servicios y aplicaciones han sido recuperados. 4. pero no se encuentran ejecutando en su lugar original o bajo las mismas condiciones en que se encontraba originalmente. El tiempo desde la declaración de la emergencia hasta que se alcanza la operación normal en desastre no debe ser superior a los tiempos máximos tolerables de suspensión definido para cada una de las prestaciones.6. Los equipos presentes. 163 . Operación normal en desastre: mediante la ejecución de los procedimientos que reciben el nombre de “Recuperación de las prestaciones”. en el cual se ingresan las novedades ocurridas desde la ocurrencia de la emergencia. Operación alternativa: mientras se trabaja en la recuperación de las prestaciones afectadas por la contingencia. se considera que se ha llegado a la operación normal en desastre. Los elementos de almacenamiento de datos. Asimismo. o Reestablecimiento de las condiciones normales. Al finalizar el proceso de actualización de la información o “catch up”. A continuación se detallará cada una de las partes que componen el PRED. Los elementos de comunicaciones. constituida fundamentalmente por procesos manuales. los usuarios deberán utilizar una operatoria alternativa. define las condiciones que se deben alcanzar como objetivo final mediante la ejecución del Plan De Recuperación Del Entorno Ante Desastres.Metodología para el Aseguramiento de Entornos Informatizados.

María Victoria Bisogno. Adicionalmente. Operación alternativa: los usuarios almacenan los nuevos archivos en el disco local hasta tanto se habilite un lugar de almacenamiento central.3 Establecimiento de criticidades En función del impacto producido por la suspensión de las prestaciones del entorno informatizado. se determina la criticidad y el tiempo máximo de tolerancia de corte de las mismas. la unidad ha sido montada en el servidor y todos los archivos generados durante la operatoria alternativa ha sido copiado en el sitio central.6. en la cual todos los servicios y aplicaciones se encuentran ejecutando correctamente y bajo las mismas condiciones que presentaba antes de la contingencia. los eventos que definen cada una de las operaciones son: Operación normal: es la operación del servidor utilizando su disco local.Metodología para el Aseguramiento de Entornos Informatizados. Los documentos que registran las criticidades los organizamos en tablas llamadas: Tabla de Criticidades por Equipo. A continuación se presenta el análisis realizado desde la perspectiva de los equipos y desde el punto de vista de servicios y aplicaciones. 164 . 4. Operación normal reestablecida: mediante la ejecución de los procedimientos que reciben el nombre de “Reestablecimiento de las condiciones normales” se alcanza esta última instancia. para lo cual es necesario acotar el tiempo de interrupción al mínimo indispensable. Operación normal reestablecida: se alcanza esta operatoria en el momento en que el servidor nuevamente utiliza su disco local. Operación normal en desastre: se considera desde el momento en que la información del disco local del servidor se encuentra copiada en un disco de la cabina. para que repare o reemplace el disco que ha fallado. los archivos distribuidos se copian en el sitio habilitado. Tabla de Criticidades por Servicios y Tabla de Criticidades por Aplicaciones. En el momento en que se recupere las prestaciones del servidor de archivos. como parte del proceso de actualización de la información o “catch up”. MAEI . a partir de la declaración de la emergencia. y que preferentemente sea imperceptible por los usuarios. se debe realizar el reclamo al servicio técnico del proveedor del servidor. Para alcanzar este tipo de operación. Bajo este esquema y considerando a modo de ejemplo una contingencia producida por una falla técnica en el disco local de un servidor de archivos. es posible que haya que considerar una suspensión programada de alcance total o parcial de las prestaciones.

Sistema Operativo de Solares 9 1 día Tolerancia Máxima Perdida de imagen pública Reprocesamiento de formularios cargados # 1 DBBA Equipo Impacto Función Bases datos manualmente 2 DBCH Bases de datos información Bases de datos información Solares 9 1 semana Pérdida / inconsistencia de Pérdida / inconsistencia de 3 DBCH2 Solares 9 2 semanas 4.3. Alternat.Tabla de Criticidades por Equipo.3.6.3 Tabla de Criticidades por Servicios. Sistema Operativo Tolerancia Máxima Impacto # Equipo Función 4.6.2 Ejemplo .6. 165 .María Victoria Bisogno. MAEI .3. Parada Máxima UsuariosPlataf. # Servicio Criticidad Período crítico Procedim. 4.Metodología para el Aseguramiento de Entornos Informatizados.1 Tabla de Criticidades por Equipo.

Metodología parapara el AseguramientoEntornos Metodología para el Aseguramientode Entornos Metodología el Aseguramiento de de Entornos Informatizados.6 Ejemplo .Tabla de Criticidades por Aplicaciones.0 continuidad del negocio. Server despacho. 4.4 Ejemplo .5.ón Los riesgos considerados para elde la de recuperación ante desastres. son aquellos plan que presentan una probabilidad de ocurrencia no despreciable en función de las aplicación. 167 Condiciones ambientales. # 4. Informatizados.3. cuáles se la Base de Datos Oracle.6. Informatizados. cuáles se pueden transferir y aplicación dedeben asumir. Características generales del edificio.5 Tabla de Criticidades por Aplicaciones # 4. Usuarios Máxima Período Plataf.6.2 Determinación de los niveles de desastre En función del impacto producido por una contingencia.3. publicación o preventivo en la fase 2 de esta metodología. manuales. Equipamiento alojado. 4. respuestos procesos.6. InterdeMáxima pendencias Alternt AnteServidor de Media de desastreCierre a fin tener en Todos cuál debe ser la prestación se debe Guardar los claro 1 semana Novell 1 una situación Archivos de manera prioritaria. --procesos. Pedidos de Almacén. de la de maquinas.6.6. Asimismo se debe estimar el tiempo máximo para recuperar esta prestación. Ubicación geográfica. InterdeMáxima pendencias Alternt Almacén.6. aplicación. Condiciones de acceso. Características meteorológicas de la región.MaríaMaría Victoria Bisogno. MAEIMAEI. Crítico Parada Proced.3.5 Análisis de riesgos Datastream Aplicación Usuarios Proveedor Plataforma Descripción Criticidad Período Crítico Parada Proced. 4. para determinar qué riesgos se pueden mitigar.Ba características del entorno: se de Datos Oracle. 1 MANTEC Windows NT Sistema de Media Fin de mes 2 días para la mantenimient En esta etapa se analizan los riesgos presentes en el entorno como se ha explicado Mantenimiento. Victoria Bisogno.4 Determinación de las prestaciones mínimas # Período Procedim. Condiciones de las oficinas contiguas.Tabla de Criticidades por Servicios.1 Probabilidad de ocurrencia de desastres para la manejo de Mantenimiento.6. 168 166 . Lotus telefónicos Domino 4.5. Datastream Windows NT Sistema de Media 1 día publicación repuestos de de la almacén. MAEI . se definen 3 grandes tipos de desastres: Total o Mayor: En el caso en que: o El lugar físico no pueda disponerse por un período máximo tolerado para la interrupción de las prestaciones mínimas. 2 SUMTEC 4. electrónico días pedidos 2000 ventas. para preservar la archivos en Netware mínima que debe recuperarse de mes las PC 5. locales 2 Correo Alta Todos los Toma de 1-2 días Windows Compras. Aplicación Usuarios Proveedor Servicio Criticidad Plataforma crítico Parada Descripción Criticidad Alternat.-María Victoria Bisogno.

169 . MAEI .6. mantenimiento. las cuales deben considerar las actuales condiciones de redundancia y tolerancia a fallas existentes. 4.6.6. teniendo en cuneta todo el análisis anterior. y por lo tanto no es necesaria la acción de alguien externo para superar la situación de emergencia. etc.6 Presentación de las distintas estrategias posibles de recuperación En esta etapa el ES analiza las distintas alternativas que aporten solución al problema. o El tiempo que demoran las tareas de reestablecimiento de todas o algunas de las prestaciones sea mayor al período máximo aceptable. 4.8 Elaboración de la estrategia de recuperación La estrategia de recuperación deberá ofrecer medidas preventivas y de mitigación de los riesgos existentes.1 Mitigación de riesgos – Medidas preventivas La estrategia de recuperación supone la realización de acciones de mitigación de los riesgos considerados en el análisis correspondiente. Parcial: En el caso en que: o Los equipos han sufrido daños menores que permiten su funcionamiento parcial o sus prestaciones pueden ser realizadas por otros equipos. y es necesaria la acción de alguien externo (proveedores.8. por ejemplo: Realizar pruebas periódicas de recuperación de las cintas de backup. 4. 4.6. además de la estrategia de recuperación de las prestaciones.Metodología para el Aseguramiento de Entornos Informatizados.7 Selección de la estrategia de recuperación El ES presenta las distintas alternativas al cliente quién decide por cuál opta.) Menor: En el caso en que: o Los desperfectos se solucionan mediante la reinstalación y/o reconfiguración de los equipos.María Victoria Bisogno.

continuando por las aplicaciones.8.María Victoria Bisogno. Muchas empresas suelen implementar el PRED en varias etapas. luego las comunicaciones y el Centro de Cómputos (CC) o Centro de Procesamiento de Datos (CPD). que abarque todos sus bienes y activos físicos y lógicos. El PRED suele ser requerido por auditorías. como por ejemplo: Creación de un Equipo de Recuperación del Entorno ante Desastres (ERED) con responsabilidades y conocimientos específicos que actuará ante las situaciones de contingencia. Generación periódica de backups en medios de recuperación universal (cintas DAT). y especifica las medidas a tomar para la eficaz recuperación del entorno. Exigencia del cumplimiento de los tiempos de respuesta especificados en los contratos de soporte con proveedores de hardware. por lo que a veces el cliente se ve presionado por las fechas y se decide dejar ciertos elementos fuera del Alcance. Otras. influenciada fuertemente por el presupuesto de la empresa y los límites de tiempo. En general. deciden hacer un solo plan completo en una fase. MAEI . en cambio.3 Requerimientos para llevar a cabo el Plan 170 .6. Lógicamente esta es una decisión empresarial.2 Descripción de la estrategia En esta parte el ES describe detalladamente la estrategia seleccionada por el cliente. 4. o Data Center (DC). Almacenamiento de cintas de backups adicionales en locaciones externas al edificio del entorno analizado. 4. y del Alcance del Plan.8. Recuperación de las prestaciones de los elementos afectados por una contingencia utilizando la redundancia existente. en la descripción de la estrategia se definirán las medidas a tomar para la recuperación del entorno.Metodología para el Aseguramiento de Entornos Informatizados.6. luego de un desastre. Utilización de un CPD alternativo con un servidor de contingencia para la recuperación de la aplicación más crítica en caso de un desastre mayor. Cada estrategia dependerá pura y exclusivamente del entorno informatizado en estudio. comenzando por ejemplo por los servidores de datos.

6. Los requerimientos conforman una guía de las principales características y condiciones que deben cumplir los elementos sobre los cuales versa el documento. Reestablecimiento de Aplicativos.8.5 Formación del Equipo de Recuperación del Entorno ante Desastres (ERED) El ERED tiene como fin determinar y asignar distintas responsabilidades para lograr una exitosa recuperación del entorno ante una emergencia.4 Esquemas técnicos Los esquemas definen pasos generales a seguir de manera operativa para la ejecución de una determinada tarea. Reestablecimiento de servidores.María Victoria Bisogno.Metodología para el Aseguramiento de Entornos Informatizados. Para ello se establecen ciertas pautas que las personas que lo componen deben cumplir: 171 . Los documentos desarrollados establecen las condiciones de: Características físicas del Centro de Cómputos alternativo. Características físicas de los equipos de recuperación. si la estrategia requiriera la instalación de un CPD alternativo para la recuperación. Ejemplos de notificación de la emergencia. Reestablecimiento de bases de datos. MAEI .6. 4. Miembros del Equipo de Recuperación ante Desastres.8. según el Plan (PRED) establecido. a fin de ser utilizados en procedimientos de mantenimiento y auditoría. La ejecución de dichos pasos supone el conocimiento técnico de la tarea que se está realizando y tiene por objetivo brindar un marco integral de rápida referencia. Recuperación de equipos. 4. si la estrategia implicara la compra de equipos de contingencia. Algunos de los esquemas a desarrollar son: Activación del CPD alternativo.

el ERED está compuesto por sub-equipos con distintas obligaciones.1 Roles y responsabilidades El Equipo de Recuperación del Entorno ante Desastres tiene las siguientes responsabilidades: Definir las medidas preventivas necesarias y factibles de aplicar. Estos equipos son: Equipo de dirección estratégica y coordinación [EDEC] Equipo de recuperación de hardware [ERH] Equipo de recuperación de software [ERS] Equipo de recuperación de comunicaciones [ERC] Equipo de comunicaciones a usuarios [ECU] Gráficamente el Equipo de Recuperación del Entorno ante Desastres se esquematiza de la siguiente forma: 172 .Metodología para el Aseguramiento de Entornos Informatizados. probar. 4. Definir. MAEI . Analizar las causas del desastre y la forma en que se ha procedido a fin de emitir un informe y modificar las medidas preventivas y plan de recuperación en función de las conclusiones. ajustar y mantener actualizado el Plan de Recuperación del Entorno ante Desastres. Reestablecer las condiciones normales que se presentaban antes del desastre. Ante un desastre que afecte al Centro de Cómputos debe: Recuperar las prestaciones en el menor tiempo posible y dentro de los plazos máximos establecidos. a fin de disminuir la probabilidad de ocurrencia de desastres.6.María Victoria Bisogno. A su vez.5.8.

Participar en proveedores.María Victoria Bisogno. MAEI . parcial. Elaborar los planes de recuperación de las prestaciones y reestablecimiento de las condiciones normales. problemas y errores hallados durante la aplicación de los mismos. Controlar la ejecución de los planes. ECU ERC EDEC ERS ERH Equipo de dirección estratégica y coordinación Las responsabilidades de este equipo son: Dirigir y coordinar las actividades del resto de los equipos que conforman el Equipo de Recuperación del Entorno ante Desastres. contingencia y reestablecimiento de las condiciones normales. garantías y niveles de soporte. Interactuar con personal de mantenimiento para la resolución de contingencias físicas del Centro de Cómputos. las instalaciones de sistemas operativos que realicen los 173 . Coordinar con los proveedores de hardware el cumplimiento de los contratos de mantenimiento. detectar desvíos y realizar los ajustes de los planes en función de los inconvenientes. menor. Determinar el nivel de desastre producido por una contingencia: total o mayor. Realizar las declaraciones de los distintos estados: emergencia.Metodología para el Aseguramiento de Entornos Informatizados. Equipo de recuperación de hardware Las responsabilidades de este equipo son: Identificar los elementos de hardware que hayan sido dañados por una contingencia.

Metodología para el Aseguramiento de Entornos Informatizados. Verificar el correcto funcionamiento de los elementos de comunicaciones y la conectividad general para que los usuarios puedan acceder a los recursos del CPD. Verificar el correcto funcionamiento de los elementos de hardware que hayan sido restaurados o reemplazados por los proveedores. bases de datos y aplicaciones que hayan sido afectados por una contingencia. Equipo de recuperación de software Las responsabilidades de este equipo son: Identificar los servicios. Realizar las comunicaciones a los usuarios internos.2 Asignación de roles 174 . Equipo de comunicaciones a usuarios Las responsabilidades de este equipo son: Participar en la generación de las comunicaciones oficiales a usuarios ante contingencias. MAEI . recuperación de prestaciones.6.María Victoria Bisogno. Coordinar con el responsable los cambios que haya que realizar en las comunicaciones que no sean internas del Centro de Cómputos para que los usuarios puedan seguir utilizando las prestaciones . procesos.5.8. demoras incurridas que invaliden o modifiquen lo comunicado anteriormente y el reestablecimiento de las condiciones normales. Detectar los problemas de conectividad de los equipos del CPD y determinar las causas . Instalar. configurar y ajustar todo el software que haya sido afectado por una contingencia. Equipo de recuperación de comunicaciones Las responsabilidades de este equipo son: Identificar los elementos de comunicaciones que hayan sido dañados por la contingencia. 4.

6.8. Luego de determinar las características de los quipos de recuperación.6. teniendo en cuenta que una persona no puede formar parte de más de dos equipos.8. Se encuentra conformado por los siguientes sub-procedimientos: o o o Definición del plan de recuperación de las prestaciones. Los principales procedimientos a definir son: 4. se deben especificar procedimientos claros que ayuden a alcanzar el reestablecimiento de las condiciones normales del entorno informatizado.María Victoria Bisogno.6.2 Recuperación de las prestaciones Consta básicamente del diseño y ejecución del plan de recuperación de las prestaciones. MAEI . Se encuentra conformado por los siguientes sub-procedimientos: o o o Respuesta inicial ante la detección de un siniestro o contingencia.8. conforme a lo acontecido. 175 . 4. Contempla la aparición de imprevistos que puedan alterar o modificar el plan inicialmente armado. Ajustes al plan. simplemente se evalúa los daños causados.6 Establecimiento de los procedimientos Más allá del alcance del PRED. Notificación de la emergencia. Evaluación del nivel de desastre. Ejecución del plan.6. el cliente debe designar recursos humanos para cubrir todos los roles.Metodología para el Aseguramiento de Entornos Informatizados.6.1 Declaración de la emergencia Abarca desde la detección del desastre hasta que el mismo es comunicado a los afectados. 4. Durante el mismo no se procede a recuperar nada.

demoras e inconvenientes acontecidos.3 Reestablecimiento de las condiciones normales Consiste en el diseño y ejecución del plan de reestablecimiento de las condiciones normales de operación. Se encuentra conformado por los siguientes sub-procedimientos: o o o Definición del plan de reestablecimiento de las condiciones normales.8.María Victoria Bisogno. finalizando con el análisis de la situación ocurrida a fin de ajustar el PRED en función de los errores. 4. Evaluación y análisis de la contingencia.6. 176 . MAEI .6. Ejecución del plan.Metodología para el Aseguramiento de Entornos Informatizados. así como también la posible toma de nuevas medidas preventivas.

4.2 Ajuste 5.Metodología para el Aseguramiento de Entornos Informatizados.1 Técnicas para la capacitación de usuarios 177 . MAEI .María Victoria Bisogno.4 Capacitación de usuarios 5. 5 ESTABILIZACIÓN Contenido: 5.3 Cierre de la implantación 5.1 Análisis de resultados 5.

y la realización de los ajustes necesarios para estabilizar el entorno. el ES debe considerar un tiempo para realizar el balance respecto de la efectividad y adecuación de los cambios implantados en el entorno y evaluar la necesidad de realizar ajustes. Mapa de Usuarios. en los distintos modelos propuestos para cada etapa. En particular los modelos que deberán revisarse al menos una vez por año para su adaptación a los cambios son: Informe de Riesgos. Estos cambios deben ser considerados dentro del Plan de Aseguramiento. Todo cambio genera más cambios. En el capítulo anterior se describieron las medidas a implantar para asegurar el entorno. PRED. al abarcar todos los niveles de estudio del entorno (físico. que deben acompañar la transformación del entorno. Mapa de Red.María Victoria Bisogno. En esta fase se realiza un estudio con el objeto de verificar la obtención de los resultados esperados de la implantación anterior. Todo Plan sufre cambios continuos a través del tiempo.Metodología para el Aseguramiento de Entornos Informatizados. lógico y organizacional) hace que todos los ámbitos de la empresa objetivo se vean afectados por el proyecto en mayor o menor medida. 178 . adecuar los controles y minimizar las diferencias entre el Plan y la Implantación de la solución.1 Análisis de resultados. y en particular esta metodología. Requiriendo los demás modelos presentados en esta Tesis pero no mencionados en este apartado una contínua adaptación a través de la vida del Entorno. Dentro del proyecto de Aseguramiento del entorno informatizado. Es por eso que en esta etapa uno de los objetivos es verificar la evolución del entorno a partir de los cambios propuestos. y realizar los ajustes necesarios para corregir errores. 5. a partir del estudio del mismo y de la elaboración del Plan de Aseguramiento. MAEI .

es recomendable realizar un balance del trabajo y presentar los resultados al sector responsables de la empresa objetivo. en cambios funcionales y en las técnicas procedimentales de implantación. que pueden traducirse. El cierre de la implantación se debe realizar cuando se concluyeron los últimos controles que constituyen el Plan de Aseguramiento y concluidas las etapas de concientización y capacitación de usuarios. 5. de los conceptos manejados y la forma en que se obtuvieron los resultados.María Victoria Bisogno. Un informe ejecutivo es un informe resumido los objetivos fijados al comienzo del proyecto y los objetivos logrados. MAEI . 179 . que podrá reducirse a aplicar solamente los cambios surgidos en esta etapa para lograr un completo aseguramiento del entorno. delimitando nuevamente su Alcance. Un proyecto como el que aquí se presenta puede tomar gran envergadura y desarrollarse en un tiempo prolongado durante el cual el entorno sufrirá modificaciones inherentes a la vida de los sistemas. 5. a medida que se implantan los controles para asegurar el entorno. Los puntos de control que necesiten cambios. Como todo cierre de proyectos.Metodología para el Aseguramiento de Entornos Informatizados. surgen nuevos requerimientos susceptibles a ser considerados en una segunda etapa de Aseguramiento. Se debe considerar siempre en esta disciplina que los avances científicos son muy rápidos. y se deben considerar las nuevas soluciones tecnológicas ofrecidas en el mercado. También. por lo que puede surgir la necesidad de ajustes en ciertos aspectos de seguridad. muchas veces. mejoras o los que surjan durante el proyecto se tomarán en cuenta para completar y adaptar el Plan de aseguramiento para una segunda implementación.2 Ajuste La etapa de ajuste está dedicada a realizar ajustes sobre el Plan de Aseguramiento según los resultados obtenidos y analizados en la etapa anterior de esta misma fase y los inconvenientes o nuevos requerimientos que pudieran surgir en la etapa de implantación.3 Cierre de la implantación.

se sugiere contar con una fuerte documentación que pueda ser consultada por los usuarios. Manuales y folletos. Comunicados. acompañada por gráficos y todo tipo de material que colabore al rápido aprendizaje e incorporación de los conceptos de seguridad. y su completa comprensión. Se sugiere encargar esta tarea a un empleado carismático y emprendedor. 180 . Cursos. predispuesto y que tenga una buena relación interpersonal con sus pares. 5. Se debe convencer al usuario de la importancia de su colaboración en el esfuerzo de mantener el entorno seguro.4. Asimismo. Se deberá dejar constancia de que el usuario fue informado respecto de las Políticas de Seguridad. y su conformidad respecto de su cumplimiento.María Victoria Bisogno. Teleconferencias.Metodología para el Aseguramiento de Entornos Informatizados. 5.1 Técnicas para la capacitación de usuarios: Presentaciones grupales. Coaching (un usuario experimentado capacita a un usuario inexperto). y por sobre todo para que comprenda la importancia de los cambios realizados y de su mantenimiento. En todos los casos. Mesa de ayuda. para su inserción en el sistema y su normal desarrollo de actividades. se le debe informar de las nuevas reglas y/o políticas de la organización. se recomienda generar confianza de los usuarios en la persona encargada de la capacitación.4 Capacitación de usuarios. Se deberá capacitar a los usuarios para la correcta interpretación y su natural adaptación a los cambios implementados en el entorno. y las que se escapan a este trabajo. Para todas las técnicas de capacitación aquí presentadas. etc. los procedimientos a usar para revertir situaciones o manejar catástrofes. la forma de trabajar para que su labor no interfiera ni perjudique el esfuerzo implicado en el proyecto de aseguramiento. MAEI .

Metodología para el Aseguramiento de Entornos Informatizados. MAEI - María Victoria Bisogno.

5.4.1.1 Temario A continuación se presenta un temario básico de capacitación general que deberá ser analizarlo para aplicar en detalle los temas que correspondan según las Políticas aplicadas en la empresa objetivo: 1. Qué es la información? Explicar qué se entiende por información, sus diferentes formas, cómo se genera, dónde y cómo se puede guardar, y su valor para la empresa. Esto último se relaciona directamente con el nivel de confidencialidad de información que se maneje en el negocio dependiendo de sus características. 2. Qué es la Seguridad. Presentar el concepto de Seguridad, sus implicancias y sus consecuencias. 3. Intrusos y amenazas. Definir los intrusos externos e internos, sus amenazas y formas de presentación. 4. Nivel de Seguridad de la Organización ¿Cuál es el nivel de seguridad de la información de su empresa? ¿Qué tan vulnerable es el sistema informático? 5. Plan de Aseguramiento del Entorno Explicación del proyecto de seguridad implementado, composición del Plan de Aseguramiento, su Alcance, implicancias, resultados esperados, responsabilidades de los usuarios desprendidas de la aplicación del Plan. 6. Medidas adicionales de protección. Buenas costumbres. Los virus informáticos son, dentro de la seguridad informática, la fuente de mayores pérdidas económicas en el mundo entero. Instalar un buen software antivirus no es suficiente, ya que la variedad y cantidad de puertas de entrada de virus, troyanos, etc., puede sorprender en cualquier momento a la mejor herramienta, sin contar con otros inconvenientes como falsas alarmas, HOAX, etc. Los usuarios deben estar consientes de este peligro y deben conocer su alcance e implicancias. Se les debe dar recomendaciones para el uso cotidiano de sus herramientas de trabajo y la protección de los activos de la organización. 7. Diseño del Manual de Seguridad La seguridad no depende solamente de la tecnología. Las empresas establecen las bases fundamentales para custodiar su información a través del desarrollo de Políticas, Normas y Procedimientos que una vez definidos.

181

Metodología para el Aseguramiento de Entornos Informatizados. MAEI - María Victoria Bisogno.

Los usuarios deben conocer la diferencia entre los distintos elementos del Manual de Seguridad como la Política General, las Normas y procedimientos y demás documentos técnicos, su responsabilidad y las posibles consecuencias sobre el incumplimiento de las mismas. 8. Soluciones Tecnológicas: Firewalls; Antivirus; Sistemas de Detección de Intrusos; Redes Virtuales (VPN); Sistemas de Backup; Plan de Recuperación del Entorno ante Desastres (PRED). 9. Formación en Seguridad Evaluar la posibilidad de capacitación en temas específicos de seguridad, tanto técnicos como funcionales para los distintos roles y niveles jerárquicos de la empresa. 10. Responsabilidades: Administradores de Seguridad y nuevas responsabilidades. El rol de cada usuario.

182

Metodología para el Aseguramiento de Entornos Informatizados. MAEI - María Victoria Bisogno.

6

MANTENIMIENTO

Contenido: 6.1 Control de incidencias 6.1.1 Incidencias de seguridad 6.1.2 Notificación de incidencias 6.1.3 Documentación 6.1.4 Reporte de Incidencias 6.1.4.1 Manual de Procedimientos sobre Reporte de Incidencias 6.1.5 Respuesta a incidencias 6.1.6 Recolección de incidencias 6.1.7 Registro de incidencias 6.1.8 Investigación 6.1.9 Seguimiento de incidencias 6.1.10 Prevención de incidencias 6.2 Control de cambios 6.2.1 Procedimiento de Control de Cambios 6.2 2 Diagrama de flujo 6.2.3 Formulario de Control de cambios 6.2.4 ABM Activos 6.2.5 Ejemplo - AMB Activos 6.2.6 Actualizaciones de Software 6.2.6.1 Documento de Actualizaciones de Software

183

Metodología para el Aseguramiento de Entornos Informatizados. MAEI - María Victoria Bisogno.

Esta es la última fase de la metodología AEI. Comienza posteriormente a la implantación del Plan de Aseguramiento, luego de la estabilización del entorno y se mantiene durante toda su vida. Durante la vida del entorno ocurren incidencias y cambios que deben ser analizados y documentados, así como también se deben llevar a cabo controles periódicos y aplicar las correspondientes actualizaciones para mantener un nivel confiable de seguridad en el entorno.

6.1 Control de incidencias.
El control de incidencias es una técnica que permite controlar y registrar los eventos ocurridos que atentan contra la seguridad del entorno. Consiste en llevar un registro y un seguimiento de los eventos anormales que ocurran en el entorno objetivo en particular, y en la compañía en general. Se debe definir el alcance de los eventos o incidencias a registrar. El control de incidencias permite: Registrar cambios o pérdida de información; Registrar y dar solución a los requerimientos de los usuarios; Administrar los usuarios (dar de alta, baja y modificar permisos); Registrar nuevas vulnerabilidades manifiestas en el sistema y tomar medidas preventivas para el futuro; Dar informe del incidente a quien corresponda; Justificar posibles cambios; Crear una fuente de información para capacitar a los usuarios. Las incidencias pueden ser de muchos tipos. Entre ellos se encuentran los eventos de mantenimiento, los pedidos de reparación de hardware y servicios de los usuarios, nuevos requerimientos de los usuarios, errores en los datos e incidencias de seguridad.

6.1.1 Incidencias de seguridad

184

Metodología para el Aseguramiento de Entornos Informatizados. entendiéndose por resolución el manejo de la incidencia. 6. Para nuestro estudio nos concentraremos en el entorno informatizado que pretendemos asegurar. Fallas en los sistemas de información. si es posible. Los siguientes eventos son considerados incidencias de seguridad. Negación del servicios. 185 . Anomalías en la disponibilidad de recursos. Desaparición de información. entre otros: Violaciones a la confidencialidad de los datos.1. Bloqueo de cuentas de usuarios. Un ente receptor-derivador de incidencias (un concentrador de pedidos como un Servicio de Atención al Cliente (SAC) o Help Desk) encargado del asiento en registros apropiados. etc). La información fluye en los distintos ámbitos de las empresas. El Procedimiento de Manejo de Incidencias del Manual de Seguridad de la empresa indicará los pasos a seguir o el circuito para el registro de incidencias.María Victoria Bisogno. Para esto deberá pensar en: Un ente denunciante que presente el incidente e informa de la ocurrencia y efectos observados (por lo general son los usuarios). En estructuras medianas y grandes suele dar soporte a este esquema el Servicio de Atención al Cliente (SAC). su solución (personal técnico especializado. su tratamiento y. Anomalías en el funcionamiento de los sistemas de software. Violaciones a la integridad de los datos. Un ente informante que entregue el resultado del manejo del incidente al ente denunciante. El ES debe analizar la forma de establecer un circuito de administración de incidencias. o Help Desk. el administrador de la red. MAEI . Un ente responsable encargado de la resolución del incidente.2 Notificación de incidencias El usuario que protagonice o presencie un evento que pueda poner en riesgo la seguridad del entorno deberá informar de lo ocurrido. Aparición de datos no creados por el usuario.

3. A continuación se muestra un diagrama que ilustra el procedimiento: 186 .El receptor-derivador (Help Desk) informa al denunciante (usuario) del estado de su caso.María Victoria Bisogno. 5. 7. 8.1.El responsable informa al receptor-derivador (Help Desk) las medidas tomadas y las medidas a tomar por el usuario. En este esquema de Help Desk. El Help Desk es un ente concentrador y derivador de casos.El ente responsable toma medidas para prevenir el incidente en el futuro.El ente denunciante (usuario) informa de la ocurrencia de un incidente. 5. MAEI . 4. con detalle de la solución dada e instrucciones de las acciones a tomar. 5.2.El Oficial de Seguridad analiza el incidente.El ente responsable analiza el incidente.Metodología para el Aseguramiento de Entornos Informatizados. 6. 6.El receptor-derivador (Help Desk) registra el incidente.El receptor-derivador (Help Desk) deriva el incidente al ente RESPONSABLE que corresponda para que lo maneje y le de solución. 2. un incidente se maneja de la siguiente forma: 1.Si tiene solución el responsable resuelve el caso.El Oficial de Seguridad toma medidas para prevenir el incidente en el futuro.Si se trata de un incidente grave de seguridad lo deriva al Oficial de Seguridad o figura equivalente (responsable de seguridad de control interno).

Denunciant e (Usuario ) Denunci incidente a Receptor– (Help Derivador o Desk al Atención Cliente) Abre caso H de elp Desk Responsable Oficial Segurida de d Deriva denuncia incidente de Registra incidente el Analiza el incidente Incident Sí grave e seguridad? de No Toma para medidas el incidente prevenir en el futuro Analiza el incidente Toma para medidas el incidente prevenir en el futuro Tiene solución? No Inform medida a preventiva s tomadas s a ycciones tomar por a el usuario Sí Cierra caso Help Desk de Se notifica del cierre del y caso de las medidas a tomar Informa de cierre caso Resuelve i elncidente Cierra caso Help Desk de Inform solución a incidente del medidas y tomar por a el usuario Se notifica del cierre del y caso de las medidas a tomar Informa de cierre exitoso caso 187 .María Victoria Bisogno.Metodología para el Aseguramiento de Entornos Informatizados. MAEI .

6. PC afectada por el incidente. El área de Recursos Humanos debe intervenir en los casos en que se produzcan eventos que requieran medidas disciplinarias o correctivas. Hora del incidente. y enviárselo al responsable asignado. 6. El acceso y conservación de la información referente a incidencias que han afectado a información clasificada deberá ser limitado y controlado cuidadosamente a fin de proteger la confidencialidad de los individuos y minimizar la exposición de la compañía y las obligaciones relacionadas con la privacidad. Nombre de la persona que reporta el incidente.4 Reporte de Incidencias Es un informe detallado que elabora el ente receptor-derivador del incidente inmediatamente de ocurrido éste. Toda persona que detecte un incidente de seguridad deberá informarlo de inmediato al ente receptor-derivador. junto al mail de notificación. El Oficial de Seguridad debe mantener una lista de contactos actualizada sobre las personas que deberán ser notificadas ante la ocurrencia de incidencias de seguridad. Sector donde trabaja. en el que debe especificar con el mayor detalle posible lo ocurrido. El Reporte de Incidencias contiene: Número de incidente (asignado por el responsable).María Victoria Bisogno. MAEI . Fecha del incidente. Ubicación física.Metodología para el Aseguramiento de Entornos Informatizados.1.1.3 Documentación Se deberá conservar de manera segura un resumen de todas las incidencias y acciones realizadas. 188 .

María Victoria Bisogno. etc). que deberá ser completado por el responsable. “cerré la aplicación”. Descripción del incidente. Todos estos datos deben ser completados con el mayor detalle posible por el usuario afectado. salvo el campo correspondiente al número de incidente. etc). Acción/reacción del usuario frente al incidente (por ejemplo: “apagué la máquina”. Activo (software o hardware) afectado con path completo y/o nombre de la aplicación. Los Reportes de Incidencias deberán ser conservados con fines de análisis y reportes. Formato del Reporte de Incidencias 189 . Nombre del responsable.Metodología para el Aseguramiento de Entornos Informatizados. logs. Archivos adjuntos (imágenes. MAEI .

MAEI .María Victoria Bisogno. 190 .Metodología para el Aseguramiento de Entornos Informatizados. REPORTE DE INCIDENCIAS # INCIDENTE: FECHA: SECTOR: HORA: UBICACIÓN FÍSICA: NOMBRE DEL DENUNCIANTE: _____________________ FIRMA DEL DENUNCIANTE DESCRIPCIÓN DEL INCIDENTE: NOMBRE DEL RESPONSABLE: _____________________ FIRMA DEL RESPONSABLE ARCHIVOS ADJUNTOS: TOMADA: ACCIÓN Descripción de los campos Número de incidente: Número correlativo asignado por el responsable.

Acción tomada: Acción/reacción del usuario ante la incidencia y acción tomada por el responsable del incidente. Fecha del incidente: Fecha en la que se produjo la incidencia. su fin y aplicación. Hora del incidente: Hora en la que se produjo la incidencia.1. MAEI .María Victoria Bisogno. Sector: Sector donde ocurrió el incidente. etc). 6.5 Respuesta a incidencias El ente responsable encargado de analizar y resolver el incidente debe dar respuesta al usuario afectado por el evento. Descripción del incidente: Activo (software o hardware) afectado por el incidente. Es su responsabilidad desarrollar soluciones en respuesta a las incidencias de seguridad críticos que hayan afectado a los servicios informáticos o aquellos que tengan efectos globales. Archivos adjuntos: imágenes. como toda la documentación referente a procedimientos de usuarios y Normas debe estar al alcance de todos los empleados. Ubicación física: Lugar físico donde se produjo el incidente (piso.1. Este Manual. Asimismo.4. Nombre del denunciante: Nombre de la persona que reporta el incidente. oficina. etc. Nombre del responsable: Nombre completop de la persona responsable del manejo del incidente.Metodología para el Aseguramiento de Entornos Informatizados. intentando dar indicaciones para que éste comprenda el origen del incidente y tome medidas correctivas cuando sea posible. logs. 6. el responsable deberá informar al Oficial de Seguridad cuando ocurran incidencias graves de seguridad. y se debe asegurar que los usuarios tengan conocimiento de la existencia del mismo.1 Manual de Procedimientos sobre Reporte de Incidencias El Manual de Procedimientos sobre Reporte de Incidencias es un documento que deberá confeccionarse para capacitar a los usuarios en el proceso de reporte de incidencias de seguridad en el entorno. Este documento debe explicar en forma sencilla y concisa el procedimiento de reporte de incidencias para se utilizado como guía por los usuarios al momento de declarar un incidente. tales como ataques de virus 191 .

María Victoria Bisogno. 192 . Es altamente recomendable mantener y auditar un log del acceso a las evidencias. en organizaciones que por su tamaño lo necesiten. Las evidencias físicas deben ser conservadas en forma una segura. cuyos responsables se encargarán de centralizar finalizado el período especificado en la Política de Seguridad. el propósito del acceso y las acciones tomadas. fecha y hora en que se retiró. que recompila la información obtenida en cada incidente por el Reporte de Incidencias. 6.Metodología para el Aseguramiento de Entornos Informatizados. Se mantiene un solo documento a fin de simplificar el mantenimiento. Es administrado por una persona responsable de la administración de las incidencias. Al recibir un Reporte de Incidencias de un usuario. integridad. Para las evidencias lógicas se ha desarrollado un documento llamado Registro de Incidencias. para fines estadísticos. 6. MAEI . fecha y hora en que se devolvió. se podrá llevar un documento por sector.6 Recolección de incidencias Todas las evidencias deberán ser recolectadas en una manera consistente utilizando técnicas apropiadas que garanticen la autenticidad. Se debe preservar la cadena de custodia de las evidencias recolectadas. pero.1. El acceso se debe limitar al mínimo de personas necesarias para responder e investigar incidencias de seguridad. incluyendo el nombre.1. informáticos. el responsable en cuestión agrega una fila en el registro de incidencias correspondiente al reporte recién recibido y guarda el reporte de Incidencias en una carpeta determinada para tal fin. vulnerabilidades de parches de software o inconvenientes con los proveedores de servicios. tal como guardarlas en una caja fuerte.7 Registro de incidencias Es un documento donde se centraliza el registro de las incidencias. educativos y de control. exactitud y veracidad de las mismas. que suele ser el Oficial de seguridad.

Afección de la confidencialidad de los datos.Negación de servicios.Virus Informático.Resuelto. 8.En investigación.Daño de activos. 193 . 5.María Victoria Bisogno. P. FECHA: Fecha en que ocurrió el incidente. 9. 2.Afección de la integridad de los datos. NOMBRE DEL DENUNCIANTE: Nombre de la persona que lo reportó. por ejemplo: 1. SECTOR: Sector que lo reportó. Formato del Registro de Incidencias # FECHA SECTOR NOMBRE DEL DENUNCIANTE E NOMBRE RESPONSABLE T DESCRIPCIÓN / MEDIDA TOMADA Descripción de los campos NÚMERO: Número de Incidente (correlativo). MAEI .Pérdida de datos. 6. DESCRIPCIÓN/MEDIDA TOMADA: Descripción de la incidencia.Afección de soportes de información en medios magnéticos. R. E: Estado: I. 3. NOMBRE DEL RESPONSABLE: Nombre del responsable del manejo del incidente.Afección de hardware. 4.Metodología para el Aseguramiento de Entornos Informatizados. T: Tipo de Incidente: Es recomendable tener una lista con los tipos de incidentes predeterminados. 7-Afección de soportes de información en papel.Pendiente.

Durante el proceso de investigación se deberá tomar nota de hechos tales como quién. El Oficial de Seguridad deberá asegurar que las técnicas de prevención incluyan la utilización de software antivirus.1.8 Investigación Todas las áreas de sistemas deberán colaborar en la investigación de las incidencias de seguridad ocurridas a fin de asegurar que todas las posibles consecuencias del mismo han sido consideradas. que son administrados por la organización.1. A fin de incrementar la integridad del proceso de investigación de incidencias. cómo y cuándo.9 Seguimiento de incidencias El Oficial de Seguridad debe garantizar que todas las incidencias de seguridad sean analizadas en función de la causa de origen. Esto incluye prevenir el caso que un individuo potencialmente modifique o las pistas de auditoría de un sistema o aplicación. 6.Metodología para el Aseguramiento de Entornos Informatizados. 194 . qué. MAEI . filtrado de contenido. deberá existir un doble control y segregación de funciones. a fin de prevenir la ocurrencia de incidencias similares en el futuro y de mejorar la metodología de respuesta ante incidencias en función de lo aprendido durante la resolución de los mismos.1. y mecanismos de control de acceso de los usuarios y recursos que sean razonables y apropiados. 6.10 Prevención de incidencias Se deberá contar con un plan de respuesta ante incidencias con un equipo de personas responsables. a fin de tener registro de todas las acciones realizadas y la información no cubierta y evitar fraudes informáticos. que puede estar considerado dentro del PRED (Plan de Recuperación del Entorno ante Desastres) Se deberá documentar los roles y responsabilidades del personal involucrado en el manejo de incidencias de seguridad. 6. mediante la utilización de firewalls y routers. lo que significa que más de una persona deberá estar involucrada en el proceso.María Victoria Bisogno.

Metodología para el Aseguramiento de Entornos Informatizados. El siguiente estado en el desarrollo de la solución. Sistemas operativos de estaciones de trabajo. Sistemas aplicativos en general. Motores de base de datos. Configuraciones de equipos. 6. MAEI . como: Sistemas operativos de servidores. se convierte en un requerimiento aprobado. 195 . Finalmente. 4.2 Control de cambios En la fase de Mantenimiento. Evitar incidencias y fallas en la seguridad. Inicialmente surge como un requerimiento solicitado por un usuario. se recomienda llevar un estricto control de cambios en el sistema y las instalaciones. evitar pérdidas o deterioros de Tener un registro documentado de los cambios. Este control tiene el fin de: Lograr una efectiva autorización de los cambios a implantar. Entre otros. Aplicaciones de escritorio. Llevar un control de los cambios para información. Elementos de comunicaciones (routers.María Victoria Bisogno. Luego del análisis de los responsables.). Se deben considerar cambios que afecten cualquier elemento del entorno. 3. Sistemas de protección contra virus informáticos. se concreta el cambio en la implantación del cambio. Desde un punto de vista macroscópico. etc. se podría decir que un cambio pasa por cuatro estados durante su vida: 1. Los cambios deben pasar por un circuito de autorizaciones desde que nace el requerimiento hasta que se implanta el cambio. Servicios de correo electrónico. 2. switches. y durante toda la vida del entorno.

o ambiente productivo. que en general es la persona a cargo del centro de cómputos. Liderar los procesos de cambio a realizar ante situaciones de emergencia. la realización de las pruebas pertinentes para comprobar que el cambio será se realizará correctamente. debe analizar la coherencia y factibilidad del cambio solicitado. para su aprobación. el jefe del sector o área de trabajo del usuario solicitante. El requerimiento de cambio puede surgir de cualquier área.María Victoria Bisogno. Una vez que un requerimiento nuevo o cambio es solicitado. Lo siguiente es el desarrollo del cambio. Evaluar periódicamente el registro de los cambios realizados en los sistemas de producción. planificación y priorización de tareas. A continuación se deberán realizar una serie de análisis para determinar la influencia del cambio sobre el entorno. Estas son las responsabilidades del comité de cambios: Planificar. sobre el software base y aplicativo. más comúnmente del área usuaria. para luego implantarlo en el entorno productivo. un administrador de la base de datos. a fin de ajustar los criterios de evaluación. Asimismo. En el momento de su implantación se requiere la autorización del responsable del entorno vivo.Metodología para el Aseguramiento de Entornos Informatizados. Inicialmente. Definir los criterios sobre los cuales se realiza la evaluación de impacto y criticidad de los cambios. priorizar. deben existir varios niveles de aprobación. un analista de aplicaciones y el Oficial de Seguridad. sobre la disponibilidad de los recursos. MAEI . se analizará la cantidad de usuarios afectados por el cambio. autorizar y coordinar las tareas a realizar por los distintos involucrados ante la necesidad de realización de cambios de sistemas en producción. teniendo en cuenta los efectos sobre la tecnología. 196 . Idealmente se recomienda crear un comité de cambios formado por especialistas en las distintas áreas y disciplinas intervinientes: un administrador de la infraestructura técnica.

evaluando que se deben completar para realizar el requerimiento son: Tipo de cambio a realizar. que casose produzca alguna contingencia duranteFomentar el análisis por parte del la implantación en producción.María Victoria Bisogno.1 Procedimiento de Control de Cambios A continuación se muestra el procedimiento de control de cambios en una tabla. MAEI . que realiza. de configuración del entorno. mejoras realizar en los sistemas. Analizar que los cambios a realizar en el entorno no afecten la funcionalidad también la criticidad. Administrador de la infraestructura técnica: o o 02 de Control de cambios Los datos mínimos necesarios no solo el impacto sino del mismo.María Victoria Bisogno. evaluando no solo el impacto sino también la criticidad. 6. donde las filas grisadas corresponden a pasos de cumplimiento obligatorio. Planificar e implantar el cambio. o Analista de aplicaciones: o o Analizar que los cambios a realizar en el entorno no afecten la funcionalidad del mismo. etc. 198 o Oficial de Seguridad: o Evaluar el impacto de los cambios para que no se realicen cambios en configuraciones que estén en contra de la normativa de seguridad.2. evaluando no solo el impacto sino también la criticidad. 197 . Planificar e implantar el cambio. Informatizados. y en caso de ser necesario realizar las pruebas adecuadas y las acciones necesarios para volver a atrás en que casose produzca alguna contingencia durante la implantación en producción. en la identificación de cambios a Estos estética. mejoras de performance. ser solicitados por cualquier de cambios pueden persona que trabaja en la compañía. mejoras de operatoria.del requerimiento de Si se necesita o un la realización de una evaluación Mantener actualizada la documentación detallada. ya las distintas personasde implantar en el sean cambios Involucrar a en la ejecución de su labor diaria. configuración de los sistemas. Comunica la necesidad de realizar un cambio en la configuraciones. Descripción Paso Las siguientes son las responsabilidades de las personas que forman el comité de cambios: Objetivo Involucrados Resultado Usuario solicitante: Usuario solicitante 01 Fase de Análisis o Detecta la necesidad de realizar un cambio en la configuración mejoras a Detectar de los sistemas con los que esta vinculadoentorno. Planificar e implantar el cambio. solicitante de los requerimientos o Usuario solicitante cambio en el Formulario Administrador de bases deimplantación de la Fecha límite aceptable para la datos: o o solicitud. y en caso de ser necesario realizar las pruebas adecuadas y las acciones necesarias para volver a atrás en Documentación detallada Sistema donde se aplica el cambio. MAEI .Metodología parapara el AseguramientoEntornos Metodología el Aseguramiento de de Entornos Informatizados. Nombres y apellidos del solicitante. Mantener actualizada la documentación de configuración de los sistemas. Si afecta la funcionalidad de otros sistemas. que Mantener actualizada la documentación de configuración de los sistemas. Analizar que los cambios a realizar en el entorno no afecten la funcionalidad del mismo. y en caso de ser necesario realizar las pruebas adecuadas y las acciones necesarios para volver a atrás en casose produzca alguna contingencia durante la implantación en producción.

Analizan todos los elementos del entorno que podrían verse afectados por el cambio solicitado.María Victoria Bisogno. (responsable) con todos los sistemas afectados y el evaluación Analista de aplicaciones (responsable) Oficial de Seguridad (implicado) En función al análisis realizado se determinada si el cambio podrá ser aplicado o no. MAEI . Identificación del momento más adecuado para realizar el cambio. entre las que se encuentran: cambio 05 Identificación exacta de los cambios a realizar.Metodología para el Aseguramiento de Entornos Informatizados. Algunos de los motivos por los cuales no se aplicará un cambio solicitado son: No recomendado por el proveedor. del impacto Comité de cambios (coordinación) Registro de la solicitud en Administrador de la de Control el Formulario infraestructura técnica Identificar la necesidad real del de Cambios (responsable) cambio y las implicancias en el Documentación técnica resto de los sistemas de la del cambiobase de datos Administrador de a realizar junto Compañía. En caso que el cambio no se vaya a implantar. Reciben la solicitud de cambio de configuración. se realiza una evaluación del posible impacto y la criticidad que tendrá el cambio solicitado. Comité de cambios (coordinación) Administrador de la infraestructura técnica (responsable) Documentación con las Administrador de base del conclusiones de datos (responsable) Analista de aplicaciones (responsable) Oficial De Seguridad (implicado) Comité de cambios (coordinación) Administrador de la infraestructura técnica Determinar las tareas a realizar Plan de implantación del (responsable) para realizar el requerimiento Administrador de base de datos (responsable) Analista de aplicaciones (responsable) análisis realizado 04 Identifican todas las actividades necesarias para realizar el cambio. Identificación de los sectores involucrados en el cambio. se continúa en el paso # 20. 199 . 03 Una vez comprendidos todos los factores afectados por el cambio. Alto impacto y muy pocos beneficios. Costos no aceptados.

Comité de cambios (coordinación) Luego de la planificación de las actividades a realizar para implantar los cambios. (responsable) 200 .María Victoria Bisogno. identificando los problemas que se suscitan y las posibles causas. continúan en el paso # 20. (responsable) Analista de aplicaciones (responsable) Administrador de la infraestructura técnica (responsable) 09 Si las pruebas no han sido satisfactorias. (responsable) Fase de Pruebas Administrador de la infraestructura técnica (responsable) Documentación con el Prever adecuadamente las detalle de las pruebas a actividades a realizar durante la Administrador de base de datos realizar junto su ejecución de las pruebas (responsable) Analista de aplicaciones (responsable) Administrador de la infraestructura técnica (responsable) Identificar los problemas que Documentación con el Administrador de base de datos pueden ocasionar los cambios. Administrador de base de datos (responsable) Analista de aplicaciones Administrador de la infraestructura técnica (responsable) Administrador de base de datos (responsable) Analista de aplicaciones 06 07 planificación Definen las pruebas unitarias e integrales que se deben realizar para garantizar que los cambios realizados sean los adecuados y no generen inconvenientes a los sistemas vigentes. Planifican la realización de las pruebas identificadas. MAEI . En caso de no ser necesarias las pruebas se continúa en el paso # 11.Metodología para el Aseguramiento de Entornos Informatizados. 08 resultado de las pruebas Ejecutan las pruebas según la planificación realizada oportunamente. se determina la necesidad de realizar pruebas previas en entornos no productivos antes de realizarlos en producción.

Metodología para el Aseguramiento de Entornos Informatizados.María Victoria Bisogno. Comité de cambios (coordinación) Otorgan la aceptación formal a la realización de los cambios planificados en el entorno de producción. Administrador de base de datos (responsable) Analista de aplicaciones (responsable) Administrador de la infraestructura técnica Documentación de las (responsable) Concientizar a los administradoresconfiguraciones anteriores de la necesidad de contar con un del entorno y Administrador de base de datos plan de recuperación ante una documentación de las (responsable) contingencia. Ejecutan todas las tareas identificadas en la planificación para realizar la vuelta atrás en las modificaciones de configuración en caso de existir algún inconveniente. Administrador de la Documentación formal de infraestructura técnica Infundir la toma de la aceptación de la (responsable) responsabilidad en las decisiones implantación del cambio tomadas. 10 en producción En caso de ser necesario modifican las especificaciones realizadas en la etapa de planificación. cambio 11 Adicionalmente se planificará con todos los Administradores y Analistas involucrados el momento más adecuado de implantación. acciones para volver al Analista de aplicaciones (responsable) 12 estado inicial. Administrador de base de datos (responsable) Analista de aplicaciones (responsable) Fase de Implantación Identifican todas las actividades necesarias para realizar el cambio y todas las precauciones a considerar antes de realizarlo a fin de poder volver atrás sin mayores inconvenientes. MAEI . Comité de cambios (coordinación) Administrador de la infraestructura técnica Coordinar las tareas entre todasPlan de implantación del (responsable) las áreas. 201 .

Identifica necesidad de cambio en configuración is is l á n 14 A Administrador de Comité de cambios Administrador de la infraestructura técnica (coordinación) (responsable) Analista Oficial de Seguridad de la Administrador Aplicacione de infraestructura técnica Administrador de base de datos Asegurarse de que los sistemas Documentación formal de s (responsable) continúan funcionando la aceptación(responsable) de la correctamente Administrador de baseaplicaciones Analista de de datos (responsable) en producción 18 sistemas Ejecutan las tareas acordadas en la planificación. realizando previamente la notificación a los usuarios afectados en caso de ser necesario. Informatizados. (responsable) Analista de aplicaciones (responsable) (responsable) 15 Registran los cambios de configuración realizados Si los cambios de configuración de los sistemas enen los sistemas. configuración de los (responsable) Analista de aplicaciones Administrador de la (responsable) infraestructura técnica (responsable) Administrador de base de datos Administrador de la infraestructura técnica Analista de aplicaciones (responsable) Documentación Identificar adecuadamente los (responsable) actualizada de la cambios realizados en los Administrador de base de datos configuración realizada en Administrador de la sistemas (responsable) infraestructura técnica Analista de aplicaciones (responsable) Documentación de las (responsable) Conservar el entorno productivo Administrador dede vuelta datos acciones base de atrás en caso de contingencia. s 19 a los sistemas b e u Pr 16 realizadas 20 203 n ó i c a t n a l p Im 202 204 .2 2 Diagrama de flujo 13 solución realizada (responsable) (responsable) 17 FaseSi Administrador las tareas previas a la Infraestructur del cambio en la implantación Usuario de producción no se han podido realizar. (responsable) Documentación Mantener vigente la actualizada de las Administrador dede aplicaciones Analista base de datos documentación. MAEI .María Victoria Bisogno. Inicio configuración realizado.Metodología parapara el AseguramientoEntornos Metodología el Aseguramiento de de Entornos Informatizados.María Victoria Bisogno. Fecha Hora Responsable del cambio Tipo de cambio Ejecutan identificado Impacto todas las tareas planificadas para la vuelta a la configuración inicial de los sistemas. 6. incluyendo: producción han sido satisfactorios se continúa en el paso # 17. y continúan en el Criticidad paso # 20. Identifican y actualizan toda la documentación de los sistemas involucrados en el cambio de configuración. no se Bases de el realizará Solicitante a Técnica Datos Aceptanyformalmente en implantación del cambio de cambio se continúa la el paso # 20. MAEI . Analista de aplicaciones Administrador de la infraestructura técnica (responsable) Administrador de la Implantar los cambios en Configuración implantada Administrador de base de datos infraestructura técnica producción. Finalización del proceso.

0 1 0 3 Evalúan el impacto del cambio 0 2 Comunica el a realizar cambio No 0 4 Se aplicará el cambio? Sí 0 5 Planifican el cambio 0 6 Requiere pruebas? Sí No 0 7 0 8 Definen y planifican pruebas necesarias Ejecutan pruebas 0 9 Pruebas OK? No Sí 1 0 Autorizan realización del cambio 1 1 Definen y planifican tareas para realizar el cambio 1 2 Ejecutan tareas previas para permitir una atrás vuelta 1 3 Tareas previas OK? Sí Implantan el cambio 1 5 No 1 4 No 1 6 Cambio OK? Sí Ejecutan tareas de vuelta atras 1 7 Aceptan formalmente el cambio 1 8 1 9 Actualizan documentación Registran el cambio 2 0 Fin .

Metodología para el Aseguramiento de Entornos Informatizados. El objetivo de este registro es dejar asentados los datos de la persona que realizó el requerimiento (usuario solicitante). las autorizaciones correspondientes. 6.3 Formulario de Control de cambios Para realizar un efectivo control de cambios. MAEI . a continuación se presenta un formulario para documentar el seguimiento de los cambios.María Victoria Bisogno. FORMULARIO DE CONTROL DE CAMBIOS NÚMERO: FECHA: 1. desde que surgen como un requerimiento de usuario hasta su implantación en producción.2. DATOS DEL USUARIO SOLICITANTE Nombre: Puesto: Departamento: Sede/Sucursal: Ubicación (Ciudad/País): E-mail: Teléfono: 2. DESCRIPCIÓN DEL CAMBIO: Tamaño: Menor (menor de 50 usuarios afectados) Medio / grande (más de 50 usuarios afectados) Motivo: Alta Modificación Baja Descripción: Fecha de implantación programada: Horario de implantación programado: Duración esperada (horas): Resultados esperados: Fecha de implantación real: 205 . los requisitos para su implantación en el entorno productivo y la aceptación del responsable del sitio vivo y el personal del área usuaria.

Metodología para el Aseguramiento de Entornos Informatizados. CANCELACIÓN Y RECUPERACIÓN Procedimientos de cancelación de cambios: Procedimientos de recuperación: Notificación: 6. AUTORIZACIONES _______________________ Firma del usuario departamento Solicitante _________________________ Firma del Jefe del 206 . SERVICIO(S) AFECTADO(s) Aplicación(es): Infraestructura: Observaciones: 4. PRUEBAS Fecha de prueba programada: Horario de prueba programado: Requerimientos: Duración esperada (horas): Resultados esperados: Responsable: Aprobación: 5.María Victoria Bisogno. MAEI . Duración real (horas): Impacto: Responsable: 3.

207 . AUTORIZACIONES ADICIONALES _______________________ Nombre _________________________ Firma _______________________ Firma Nombre _________________________ 8.Metodología para el Aseguramiento de Entornos Informatizados. Nombre: Nombre del usuario solicitante. 7. FECHA: Fecha del requerimiento. CONFORMIDAD DEL SUPERVISOR DEL CPD Observaciones: _______________________ _________________________ Nombre Firma Descripción de los campos NÚMERO: Número de requerimiento de cambios. Departamento: Departamento o sector al que pertenece el usuario solicitante. 1.María Victoria Bisogno. Puesto: Posición que ocupa el usuario solicitante en la empresa. DATOS DEL USUARIO SOLICITANTE: Este bloque de datos corresponden a datos personales del usuario que realiza el requerimiento. MAEI .

Metodología para el Aseguramiento de Entornos Informatizados. MAEI - María Victoria Bisogno.

Sede/Sucursal: Sede o sucursal de la empresa en la que trabaja el solicitante. Ubicación (Ciudad/País): Ciudad o país donde trabaja el usuario solicitante, para el caso de empresas distribuídas territorialmente. E-mail: Dirección de correo electrónico del usuario solicitante. Teléfono: Interno o línea directa del solicitante. 2. DESCRIPCIÓN DEL CAMBIO: Este bloque corresponde a información sobre el cambio solicitado. Tamaño: Tamaño del cambio medido en cantidad de usuarios afectados. Menor (menor de 50 usuarios afectados) Medio / grande (más de 50 usuarios afectados) Motivo: Motivo de la solicitud del cambio Alta Modificación Baja Descripción: Breve descripción del cambio. Fecha de implantación programada: Fecha programada para la realización del cambio en el entorno de producción. Horario de implantación programado: Horario programada para la realización del cambio en el entorno de producción. Duración esperada (horas): Tiempo que se invertirá en la implantación del cambio. Resultados esperados: Efectos de la realización del cambio. Fecha de implantación real: Fecha real en que se ha realizado el cambio en el entorno de producción. Duración real (horas): Duración real de la implantación del cambio en el entorno de producción. Impacto: Efectos producidos por el cambio. Responsable: Nombre de la persona responsable de la realización del cambio. 3. SERVICIO(S) AFECTADO(s): Este bloque corresponde a información sobre el impacto del cambio solicitado. Aplicación(es): Aplicaciones afectadas por el cambio. Infraestructura: Equipamiento técnico afectado por el cambio. Observaciones: Aclaraciones. 4. PRUEBAS: Este bloque corresponde a información sobre las pruebas realizadas antes de implantar el cambio solicitado en el ambiente productivo.

208

Metodología para el Aseguramiento de Entornos Informatizados. MAEI - María Victoria Bisogno.

Fecha de prueba programada: Fecha programada para la realización de las pruebas. Horario de prueba programado: Horario programado para la realización de las pruebas. Requerimientos: Requisitos para la realización de las pruebas. Duración esperada (horas): Duración esperada de las pruebas. Resultados esperados: Efecto esperado por los cambios a implantarse. Responsable: Nombre de la persona responsable de la realización de las pruebas. Aprobación: Nombre de la persona que deberá dar la aprobación de las pruebas realizadas. 5. CANCELACIÓN Y RECUPERACIÓN: Este bloque corresponde a información sobre los procedimientos de cancelación y vuelta atrás de la implantación del cambio solicitado en el ambiente productivo. Procedimientos de cancelación de cambios: Información sobre los procedimientos de cancelación de la implantación del cambio solicitado en el ambiente productivo. Procedimientos de recuperación: Información sobre los procedimientos de vuelta atrás de la implantación del cambio solicitado en el ambiente productivo. Notificación: Lista de usuarios que deben ser notificados del cambio. 6. AUTORIZACIONES: Este bloque corresponde a información sobre las autorizaciones necesarias para el pasaje al entorno productivo de los cambios solicitados. Firma del usuario solicitante: Firma del usuario solicitante. Firma del Jefe del departamento: Firma del Jefe del departamento. 7. AUTORIZACIONES ADICIONALES: Este bloque corresponde a información sobre las autorizaciones adicionales necesarias para el pasaje al entorno productivo de los cambios solicitados. Nombre: Nombre de la persona de la que se le solicita aprobación adicional. Firma: Firma de la persona de la que se le solicita aprobación adicional. 8. CONFORMIDAD DEL SUPERVISOR DEL CPD: Este bloque corresponde a información sobre la aprobación del pasaje al entorno productivo de los cambios por parte de la persona responsable del CPD. Observaciones: Aclaraciones. Nombre: Nombre de la persona responsable del Centro de Procesamiento de Datos de la que se le solicita aprobación adicional. Firma: Firma de la persona responsable del Centro de Procesamiento de Datos de la que se le solicita aprobación adicional.

209

Metodología para el Aseguramiento de Entornos Informatizados. MAEI - María Victoria Bisogno.

6.2.4 ABM Activos Es un documento creado para implementar el Control de Cambios en los activos, que sirve para registrar todas las modificaciones inherentes a activos de la empresa. [IRAM/ISO/IEC17799] asegura:” Se deben controlar los cambios en los sistemas e instalaciones de procesamiento de información. El control inadecuado de estos cambios es una causa común de las fallas de seguridad y de sistemas” Por lo que en este trabajo se ofrece una forma de llevar a cabo este control de cambios de activos mediante un documento con forma de tabla, donde se registra todo cambio realizado en el sistema ya sea a nivel físico o lógico: ALTA: Agregar un nuevo activo; BAJA: Eliminar un activo del Inventario de Activos; MODIFICACIÓN: Registrar cambios sobre un bien. Se realizará una ALTA cada vez que se agregue al patrimonio de la organización un activo, por ejemplo, cuando se adquiere un nuevo elemento de hardware como un dispositivo de red, o un scanner, cuando se adquiera nuevo software, por ejemplo en la actualización de utilitarios, o cuando se produzcan nuevos datos, por ejemplo al realizar un backup. Una BAJA de un activo corresponde a la eliminación del catálogo o Inventario de Activos de un bien por distintas causas: fin de concesión de uso de bienes, caducidad de contrato de alquiler de equipos, terminación de la vida útil de datos, etc. Se registrará una MODIFICACIÓN en el caso en que un activo sufra cambios en sus características, por ejemplo en su tamaño y ubicación. Tiene directa relación con el Inventario de Activos ya que ABM Activos hace referencia a los activos registrados de la compañía. Formato del ABM Activos

FECHA

CÓDIGO

ABM

RELACIONADOS CAUSA

ACTIVOS

210

Metodología para el Aseguramiento de Entornos Informatizados. MAEI - María Victoria Bisogno.

Descripción de los campos FECHA: Fecha en que se produjo el ABM. Se registrará con la siguiente codificación: dd/mm/aaaa. CÓDIGO: Es el código rotulador que se le asignó a cada elemento en el Inventario de Activos que permitirá identificar cada bien unívocamente, para su identificación y seguimiento. NOTA: Ver detalles sobre la codificación de activos en el apartado Inventario de Activos. ABM: En este campo se debe indicar el tipo de operación que se está registrando: A: Alta; B: Baja; M: Modificación; CAUSA: es una descripción de la razón por la que el elemento sufrió el ABM en cuestión. ACTIVOS RELACIONADOS: En este campo se deben mencionar los activos que se ven afectados por el cambio, por ejemplo unidades de hardware en que se ubicaba un elemento de software al que se le da de baja.

6.2.5 Ejemplo - AMB Activos En el ABM Activos:

RELACIONADOS FECHA CÓDIGO 20/06/2003 HW0243 BK0102

ACTIVOS ABM B CAUSA Expiración de validez los datos. Unidad BK0174, sobrescrita.

En el Inventario de Activos:

CÓDIGO

DESCRIPCIÓN

UBICACIÓN

RESPONSABLE DO

FECHA CREACIÓN

FECHA EXPIRACIÓN

CRI TICID AD

ESTA-

HW0001 Mouse

serie Piso 9, sector María Martinez 0

12/2001

-

A

211

de elimina sobrescribiendo la unidad física con el nuevo backup. Logitech --HW0034 --- QA. ingresando “B”de Baja. En el campo ABM se indica la eliminación del activo ingresando una “B”. indicado en rojo) En este caso se trata de una baja.6 Actualizaciones de Software Cada vez que se realicen “upgrades”. En la tabla de ABM Activos está indicado con azul el código del activo que ingresó en el documento para registrar un cambio. Indicado con color rojo. Esto se debe ver reflejado en el Inventario de Activos.mbd ------- Juan Perez 20/05/2003 --- --- --- --- … BK0174 Backup de HW0024 Juan Perez 20/06/2003 20/07/2003 2 A Srv01/externo/pro y5. o sea. llegada su fecha de expiración. sector comunicacione s ----- Manuel Belgrano --- --- --- --20/06/2003 2 --- … B BK0102 Backup de HW0024 Srv01/externo/pro y5. lo que significa que el activo dejará el estado A (dado de Alta) para pasar al estado B (dado de Baja). MAEI . También se deberá insertar una nueva fila que dará de alta la nueva versión.mbd Este ejemplo se trata de un backup que.Metodología para el Aseguramiento de Entornos Informatizados. 212 .María Victoria Bisogno. cpu: HW0017 ----… --7/2003 ----2 A Router Cisco 8000 Piso 7. la unidad de cinta que lo contenía) y BK0174 (el nuevo backup que reemplaza al eliminado. se muestra el código de la nueva copia de backup (nuevo activo) que ha sido dado de alta al reemplazar el backup anterior (vencido). actualizaciones de versiones de software se deberá llevar un control estricto de las máquinas donde se instaló y la fecha. se indica la causa de la baja y los activos relacionados: HW0024 (indicado en verde. En la tabla Inventario de Activos se debe modificar el campo ESTADO del activo.2. 6.

MAEI . versión. etc. 213 .1 Documento de Actualizaciones de Software El documento de actualizaciones de software tiene como fin registrar la instalación de todo “upgrade”de software realizado en las máquinas del dominio. Tiene el siguiente formato: SOFT DESCRIPCIÓN FECHA CPU# CPU# CPU# CPU# Descripción de los campos SOFT: nombre del archivo de actualización instalado.2.Metodología para el Aseguramiento de Entornos Informatizados. 6.6. FECHA: fecha de la actualización. CPU#: código de la máquina donde se instala. DESCRIPCIÓN: nombre de la aplicación que se está instalando. Esta sirve no solo para ordenar y organizar la instalación. Muchas veces las actualizaciones pueden dejar la máquina inestable o provocar otros efectos que se pueden revertir llevando una completa y rigurosa documentación de los parches instalados.María Victoria Bisogno. sino para controlar el comportamiento de las máquinas actualizadas.

Confeccionar un Inventario de los Activos físicos y lógicos de la empresa para identificar y rotular cada uno de los bienes. recursos y costos implicados. El Ingeniero que utilice esta metodología. basándose en las siguientes tareas: Elaborar un Plan de Trabajo evaluando tiempo. de manera de establecer objetivos de control que mitiguen los riesgos existentes. 214 . A la largo de esta tesis hemos analizado objetivos de control que llevan al ES a lograr el aseguramiento del entorno objetivo (que se pretende asegurar) basados en los principales estándares internacionales de seguridad. La metodología fue desarrollada en la parte IV de este trabajo. Analizar las vulnerabilidades para determinar su riesgo. y factible para convertir entornos informatizados inseguros en entornos protegidos. Analizar la forma de mitigar los riesgos.Metodología para el Aseguramiento de Entornos Informatizados. y sobre el negocio. CONCLUSIÓN En la introducción de este trabajo mencionamos la necesidad de una herramienta que les permita a los profesionales de Informática descubrir y analizar las vulnerabilidades de los entornos informatizados e implantar técnicas para asegurarlos. Clasificar la Información para determinar su criticidad. y lograr una clara evaluación de los mismos. podrá evaluar el contenido y alcance de las distintas fases y aplicar los controles que considere necesario para el objeto de su trabajo. Elaborar o adaptar para conveniencia de la empresa la Normativa de Seguridad que apoye los procesos del negocio. Con este análisis logramos formalizar una metodología práctica. Realizar sondeo para descubrir vulnerabilidades. lógicos y de la organización. V. la normativa argentina vigente y las mejores prácticas profesionales del mundo.María Victoria Bisogno. A través de los seis capítulos que la componen. esta metodología permitirá conocer el entorno e implantar medidas para asegurarlo. Evaluar el impacto de los riesgos sobre el entrono. Independientemente del tamaño del entrono objetivo y de la clase de negocio que apoye. Elaborar un Plan de Aseguramiento del entorno teniendo en cuenta aspectos físicos. describimos las fases necesarias para lograr el completo y total aseguramiento del entorno. MAEI .

Todas estas tareas estarán documentadas.María Victoria Bisogno. Pueden saltearse fases. ni en los tres niveles. Plan de Mantener el nivel de seguridad logrado mediante el control de Incidencias y de cambios. Este punto es muy importante porque la metodología permite efectuar un aseguramiento a nivel: o o o Físico. Elaborar un Plan de Recuperación del Entorno ante Desastres (PRED) para la prevención de catástrofes y la planificación de la recuperación del entorno informatizado ante situaciones de emergencia. Alcance: establece es espectro que abarcará el proyecto. investigarse aspectos netamente físicos. En este documento se define el entorno a asegurar. Implantar el Plan de Aseguramiento. Estos son los documentos asociados a las distintas tareas que desarrollamos en esta metodología: Documento de Requerimientos de Usuario: formaliza la voluntad del cliente y de los usuarios respecto de los requerimientos de seguridad del entorno. netamente de la organización o una combinación de ellos. Plan de Trabajo: ofrece una organización del proyecto con las tareas a realizar con su duración aproximada y los recursos destinamos a cada una. netamente lógicos.Metodología para el Aseguramiento de Entornos Informatizados. Confeccionar una campaña de concientización de los usuarios involucrados para lograr una efectiva implantación de los controles de Seguridad. 215 . no es necesario aplicar todas las fases. según el deseo del cliente y su presupuesto. Estabilizar el entorno realizando los ajustes necesarios al Aseguramiento. Realizar una adecuada capacitación de los usuarios para garantizar el conocimiento de las medidas de seguridad aplicadas y la continuidad de los controles en el tiempo. y se apoyarán en registros y tablas que las facilitarán y también guiarán al ES interviniente en su tarea. cambiarlas de orden. como vimos en todo el desarrollo de la MAEI. MAEI . se delimita su extensión y se establecen los distintos niveles que se evaluarán. Lógico. y una adecuada aplicación de las medidas que componen el Manual de seguridad. De la organización. Es importante recalcar que. A su vez este análisis se puede reducir a un nivel o dos. tratando de resguardar el negocio de la empresa objetivo.

Inventario de Activos Lógicos: recompila todos los activos de tipo lógico y los enumera y clasifica. Mapa de Usuarios: permite organizar los usuarios en grupos. el impacto en el entorno y en el negocio y su criticidad. MAEI . Tabla de Permisos sobre Activos Lógicos: Permite documentar la relación directa entre recursos y usuarios. controles y procedimientos que se llevarán a cabo para asegurar el entorno en estudio y mitigar los riesgos hallados en los distintos niveles (físico. ABM Activos: es un registro de los cambios que sufren los activos. El objetivo de este documento es registrar el sondeo inicial que realiza el ES para conocer el entorno a asegurar. 216 . Archivos de log: son registros (archivos de texto.María Victoria Bisogno. lógico y de la organización). Manual de Seguridad: compuesto por la normativa de la organización: o o o o o Política general. su probabilidad de ocurrencia. Manuales de usuario. Procedimientos. el medio físico que los contiene y un código identificatorio. bases de datos u otros) que permiten el registro de las pistas de auditoría que emite el sistema informático. Estándares técnicos. Normas. Documento de Actualización de software: Permite llevar un control de las actualizaciones aplicadas a los distintos equipos de la red. Relevamiento de Usuario: consiste en un test que tiene por objetivo determinar el grado de conocimiento y concientización respecto de la seguridad que poseen los usuarios finales. Inventario de Activos: documento que sirve para llevar un control de los activos lógicos y físicos presentes en el entorno: o o Inventario de Activos Físicos: recompila todos los activos de tipo físico y los enumera y clasifica. Informe de Riesgos: esta tabla ofrece una forma de documentar las vulnerabilidades halladas asociándoles su riesgo. y a su ver visualizar los distintos grupos a los que pertenece un usuario. Mapa de Elementos de Red: es una lista de los elementos físicos presentes en la red de datos. Está directamente ligado al Inventario de Activos ya que el código es el utilizado para identificar el activo lógico “backup” y el número de dispositivo identifica a la cinta o medio físico. Mapa de Vulnerabilidades: es un registro que recompila las vulnerabilidades halladas. asignando permisos a usuarios y perfiles sobre activos lógicos. Plan de Aseguramiento: recompila todas las medidas.Metodología para el Aseguramiento de Entornos Informatizados. Inventario de Backups: es un registro de las copias de respaldo de los datos que se realiza junto con la fecha. Relevamiento General: ofrece un marco de referencia para comenzar a trabajar. y su relación entre con otros activos.

La idea de este conjunto de herramientas es seleccionar las apropiadas para el entorno que se está estudiando. Informe de Cierre de Implantación: es un documento que contiene los detalles de los resultados del proyecto de aseguramiento del entorno y de los cambios realizados. Tabla de Criticidades por Equipo: documento que sirve para establecer las criticidades de los equipos del entorno. Registro de Incidencias: es un documento que recompila todas las incidencias ocurridas y las centraliza para su posterior análisis y estudio estadístico. y utilizarlas como constante fuente de control y auditoría de la vida del entorno. Por ejemplo. Procedimiento de Recuperación de las Prestaciones: tareas a realizar una vez declarada la emergencia. o Informe de Implantación: documento con los detalles del avance del proyecto de aseguramiento del entorno y de los cambios realizados. Tabla de Criticidades por Servicio: documento que sirve para establecer las criticidades de los servicios del entorno. y su prueba e implantación. MAEI . Comunicados: medios escritos por los cuales se informan los usuarios y empleados. para recuperar el funcionamiento normal de los equipos y servicios. Presentaciones: medios por los cuales se capacita a los usuarios y empleados. Documentación de Capacitación: documentos que sirven para la capacitación de los usuarios y empleados. PRED: Plan de Recuperación del Entorno ante Desastres: establece las medidas a tomar para prevenir catástrofes y recuperar el entorno una vez ocurridas. o Instructivos. Reportes de Incidencias: documento que se utiliza para registrar las incidencias ocurridas en el entorno.María Victoria Bisogno.Metodología para el Aseguramiento de Entornos Informatizados. quizás combinarlas. preservando los objetivos del negocio: o o Procedimiento de Declaración de la Emergencia: conjunto de tareas a realizar ante un acontecimiento que afecte las prestaciones del entorno. Tabla de Criticidades por Aplicación: documento que sirve para establecer las criticidades de las aplicaciones del entorno. para recuperar el funcionamiento en emergencia de los equipos y servicios Procedimiento de Reestablecimiento de las Condiciones Normales: tareas a realizar una vez recuperadas las prestaciones en contingencia. Manual de Procedimientos sobre Reporte de Incidencias: manual que capacita a los usuarios en el proceso de reporte de incidencias de seguridad en el entorno. Como fuente de control estos documentos sirven ya que su constante mantenimiento garantiza el conocimiento de los distintos aspectos que traten. Formulario de Control de Cambios: es un documento que creamos con el fin de registrar todos los requerimientos de cambios surgidos en el entorno. mantener actualizado el Inventario de Activos Físicos implica tener un 217 .

Metodología para el Aseguramiento de Entornos Informatizados. actos ilícitos y falta de control interno en los procesos del negocio. y es por eso que considero fundamental registrar todos esos cambios. la Metodología de Aseguramiento de Entornos Informatizados provee a los Ingenieros en Informática y Licenciados en Análisis de Sistemas de una herramienta con modelos estructurados para que. pasarían desapercibidos. El entorno cambia con ellos. de otra manera.María Victoria Bisogno. su criticidad e impacto. que era el propósito de este trabajo. 218 . para verificar que se tenga en cuenta la contraposición de intereses en los roles de control y ejecución de las tareas y procesos. los riesgos tecnológicos y funcionales asociados. MAEI . de forma ordenada y efectiva. sino considerar todo el proyecto como una oportunidad para documentar el entorno para detectar fallas en los objetivos de control fijados por el Experto. determinar las posibles formas de mitigarlos. planificar la forma de implantar la solución más conveniente para el entorno en estudio y para el cliente. para mejorar el flujo de la información y la comunicación de los datos. Entonces. Como fuentes de auditoría estos documentos también proporcionan pruebas de violaciones a las Normas de la compañía. para depurar los procesos no documentados y perfeccionarlos. no solo específicamente utilizando los procedimientos recomendados en la fase de Control de Cambios. para luego implantarlas con éxito y así lograr una efectiva protección y documentación del entorno objetivo. les facilite y les guíe en la tarea de dar informe de las vulnerabilidades presentes en el entorno en que trabajan. completo conocimiento de los bienes físicos de la empresa. Todos los sistemas informáticos sufren cambios constantemente. para dejar pistas de auditoría y para incrementar la base de conocimiento de todos los empleados de la compañía. lo que permitiría detectar hurtos que.

[Cobit] Cobit Standard.com [isecom] ISECOM .net [xforce. McClure.iss] Base de datos de vulnerabilidades y amenazas de ISS. And Control Fundation. J. [BS7799] British Standard . W. Linux. 2da edición. o http://iss. 2da edición. Proyecto 1 de norma argentina. Cryptography and Network Security: Principles and Practice. emitido por el Comité directivo del Cobit y la Information Systems audit. G. Inc. Basada en ISO/IEC Standard 17799: Information Technology – Code of Practice for Information Security Management. Escola Universitaria Politecnica de Mataro.María Victoria Bisogno. VI. S. A. o http://www. 2001. McGraw-Hill/Interamericana de España. 4ta edición. o http://www. España. Código de práctica para la gestión de la seguridad de la información.Metodología para el Aseguramiento de Entornos Informatizados.net] ISS. y Burnett S. 1999. Prentice Hall. Prentice Hall Iberia. Hackers 2. BIBLIOGRAFÍA [IRAM/ISO/IEC17799] IRAM/ISO/IEC 17799 Julio 2002.Information technology. MAEI . Y Kurtz. Control de Accesos. [Tackett-Burnett2000] Tackett. Code of practice for information security management. Seguridad en Uníx y redes.. [Martorell] Martorell. 2000. [Huerta2000] Huerta.Institute for security and Open Methodologies. [hispasec] Hispasec Sistemas.Objetivos de Control para la Información y Tecnologías 2000. 219 .isecom.org [ iss. España. M.h i spasec.Internet Security Systems. [Stallings1999] Stallings. [Scambray-McClure-Kurtz2001] Scambray. 2000. j.

asp http://msn.iss.com/technet [MMC] Conjunto de herramientas de configuración de seguridad de MicrosoftMMC.org [MRSA-ISACA]“Metodología de revisión de software aplicativo” (Application Software Audit Methodology).com [ISACA] ISACA (Information Systems Audit and Control Association).Metodología para el Aseguramiento de Entornos Informatizados. o http://xforce. Instituto Seguridad Internet (ISI). Consideraciones de seguridad para la autoridad administrativa.isaca. 2003 o http://microsoft.instisec. 2003.bsi-global. o http://www. MAEI . [10laws-MS] Microsoft Technet.María Victoria Bisogno. Christopher Benson.com [Technet] Microsoft Technet. o http://www.com/technet/colums/security/assays/10imlaws.org [AAW-ISI] “Auditoría de aplicaciones web”.xalter [Benson] Microsoft Solutions Framework. o http://www. The Ten Immutable Laws of Security. o http://microsoft.net/ [bsi] British Standards Online.com/index. o http://www. Estrategias de Seguridad. Inobits Consulting (Pty) Ltd.isaca. o http://microsoft. ISACA (Information Systems Audit and Control Association). o http://microsoft.com/latam/technet/articulos/200011/art04 [Consid-MS] Microsoft Solutions Framework. o .com 220 .

robota. Isecom. MAEI . Pete Herzog .org [AACF-ROBOTA] “Auditoría de aplicaciones y Código fuente”.net 221 . o http://www.María Victoria Bisogno.isecom.Metodología para el Aseguramiento de Entornos Informatizados. Robota. o http://www. [OSSTMM-ISECOM] “Open Source Security Testing Methodology Manual – OSSTMM”.

6 Elaboración del Plan de Recuperación del Entorno ante Desastres (PRED).2 Elaboración del Relevamiento de Usuario. MAEI – RESUMEN DE FASES Y TAREAS 1 Definición del Alcance.2 Clasificación de la Información. 6 Mantenimiento.1 Control de incidencias. 3.María Victoria Bisogno.2 Aprobación del Plan de Aseguramiento.3 Aprobación del Alcance.4 Análisis de Riesgos.1 Análisis de Requerimientos de Usuario.4 Estimación de tiempos y costos. 4. 4 Implantación.1 Elaboración del Plan de Aseguramiento. 5 Estabilización. 3. 4.5 Implantación del Plan de Aseguramiento. 2.2 Elaboración del Alcance.2 Ajuste. 1. 5.5 Elaboración del Plan de Trabajo. 4.3 Cierre de la implantación. MAEI . 2. 1. 3 Planificación .4 Publicación de la Normativa de Seguridad.3 Análisis de vulnerabilidades.3 Elaboración/ adaptación de la Normativa de Seguridad. 1.Metodología para el Aseguramiento de Entornos Informatizados.2 Control de cambios.4 Capacitación de usuarios. 1. 2 Relevamiento. 1. 4. 6.1 Elaboración del Relevamiento de Activos.1 Análisis de resultados. 4.1 Elaboración del Relevamiento General. 4. 2. 6. VII. ANEXO I. 5. 5. 5. 222 . 2.

RESEÑA INTRODUCTORIA. datos permanentes (nombres y direcciones. en el personal. la organización de la seguridad. ANEXO II. este estándar trata el análisis de “Requerimientos de seguridad de los sistemas”.Metodología para el Aseguramiento de Entornos Informatizados. VIII. que se ha tomado en esta metodología como parte de los controles a realizar en la etapa de relevamiento y de análisis de vulnerabilidades.” Y controles en los datos de salida. afirmando que “Decidir si una solución criptográfica es apropiada. Asimismo. administración de la continuidad del negocio. asegurando que “el diseño de aplicaciones debe asegurar que las restricciones se implementen para minimizar los riesgos de fallas de procesamiento. índice de conversión de dinero). controles en los distintos aspectos físicos. control de accesos y gestión de comunicaciones. entre otros. y la administración de las claves criptográficas. conducentes a una pérdida de la integridad. entre las que se encuentran la definición de seguridad de la información. ISO/IEC estándar 17799 Information Technology – Code of Practice for Management Information Security El ISO/IEC estándar 17799 es un marco que brinda recomendaciones para la gestión de la seguridad de la información. ESTÁNDARES INTERNACIONALES. tasa de impuestos. Estas recomendaciones han de ser aplicadas por los responsables de iniciar. números de referencia al cliente) y tablas de parámetros (precios de venta. Su objetivo es proveer de una base común para el desarrollo de estándares de seguridad de la organización y una práctica efectiva de su administración. lógicos. servicios de no repudio. Su origen es el estándar británico BS7799. Esta sección describe cómo se deben tratar los datos de entrada: “Los datos de entrada en sistemas de aplicación deben ser validados para asegurar que son correctos y apropiados. firma digital. Los controles deben ser aplicados a las entradas de las transacciones de negocios. debe ser visto como parte de un proceso más amplio de evaluación de riesgos. implantar o mantener la seguridad en sus organizaciones. confianza en las relaciones llevadas a cabo entre las organizaciones. para determinar el nivel de protección que debe darse a la 223 . desarrollo y mantenimiento de sistemas. brindando asimismo. En particular. encontramos la sección “Controles criptográficos” que establece criterios para aplicar controles criptográficos.” También especifica controles de procesamiento interno.María Victoria Bisogno. MAEI . en los activos de la compañía. límites de crédito.

de 11 de Junio. que los programadores de soporte solo tengan acceso a aquellas partes del sistema necesarias para el desempeño de sus tareas. Los relevamientos que forman parte de esta tesis se efectúan según lo dispuesto en la Ley Orgánica española 15/1999.4 de esta La sección “Seguridad de los archivos del sistema” trata el control del software operativo y la protección de los datos de prueba del sistema. y “Validación de los datos de salida” se manifiestan como parte de la etapa 2. MAEI .María Victoria Bisogno. En el apartado “Desarrollo y mantenimiento de sistemas” del estándar se hace referencia a los controles considerados en la etapa de Análisis de vulnerabilidades en las aplicaciones. y de los procedimientos de control de cambios en donde el estándar afirma que “se debe imponer el cumplimiento de los procedimientos formales de control de cambios. este trabajo se referencia en la verificación de la seguridad de los procesos de desarrollo y soporte. información”. de Protección de datos de carácter personal. Finalmente.Metodología para el Aseguramiento de Entornos Informatizados. en adelante LOPD y Real Decreto 994/1999. Las secciones “Validación de los datos de entrada”.2. and Control Fundation 224 . Para el registro y seguimiento de pistas de auditoría se toma en cuenta la “Monitorización del acceso y uso de los sistemas”. Para la última fase de esta metodología (Mantenimiento) se han adaptado los controles y las recomendaciones de la sección “Respuesta a incidencias y anomalías en materia de seguridad”. Para validar la forma de realización de los cambios se han considerado los puntos referidos en la sección “Seguridad de los procesos de desarrollo y soporte”. Se realiza este análisis de riesgos en metodología. “Controles de procesamiento interno”. de 13 de Diciembre. Cobit Objetivos de Control para la Información y Tecnologías . la etapa 2.3. emitido por el Comité directivo del Cobit y la Information Systems audit. y que se obtenga un acuerdo y aprobación formal para cualquier cambio”. Estos deben garantizar que no se comprometan los procedimientos de seguridad y control.2000. por el que se aprueba el Reglamento de Medidas de Seguridad (en adelante RMS) de los archivos automatizados que contengan datos de carácter personal.

los de “Desarrollo y mantenimiento de procedimientos” y “Administración de cambios”. según el modelo de madurez o Capability Maturity Model (MMC). y permite fijar objetivos para subir el nivel mediante estos puntos de control. se han analizado los objetivos de control de “Adquisición y mantenimiento del software de aplicación”. Los de “Administración de calidad” conforman la base para el estudio de la separación de ambientes. es decir.María Victoria Bisogno. haciendo énfasis en la organización y en la planificación.3.Metodología para el Aseguramiento de Entornos Informatizados. Éstos se agrupan en cuatro dominios: Planificación y organización Adquisición e implantación Entrega y soporte Monitorización Cobit define 318 objetivos detallados que involucran a todas las áreas de la empresa. el análisis de la documentación. aprobación del diseño y de cambios como parte del control de cambios analizado en la etapa 2. Estos objetivos permiten determinar la situación actual. Para la elaboración de esta metodología se consideraron los siguientes puntos de control: Planificación y organización: Objetivos de “Determinación de la dirección tecnológica” para la verificación de temas técnicos de la aplicación como la estrategia de recuperación ante desastres. aplicaciones. datos. MAEI . Cobit es un estándar que pretende conciliar el negocio con los recursos (personas. Define 34 procesos de IT que considera como unidades controlables. Objetivos de “Definición de la organización y las relaciones de IT” para el análisis del control interno y separación de funciones. Adquisición e implantación: Para el análisis de las interfases con los usuarios. el nivel de madurez. el análisis de los entornos y de las pruebas. Los objetivos de “Administración de proyectos” fueron considerados para los controles a realizar a nivel de metodología de desarrollo de proyectos. 225 . sobre los que establece objetivos de control. instalaciones) del ambiente de IT. tecnología.

“Riesgos” Según MAGERIT. efectividad y adecuación del control interno. MAEI . Monitoreo: Los objetivos agrupados en “Evaluación de la idoneidad del control interno” se consideran a la hora de evaluar la coherencia. El análisis de manejo de datos es efectuado siguiendo los procedimientos presentados en “Administración de datos”. Las recomendaciones de MAGERIT permiten conocer. Entrega y soporte: En el análisis de la administración de la seguridad informática se estudiaron los objetivos de control de “Garantía de la seguridad de los sistemas”. impedir. “Identificación de Impactos”. “Estimación de Impactos”. el análisis de riegos identifica seis elementos: Activos Amenazas Vulnerabilidades Impactos 226 . “Estimación de las Vulnerabilidades”. se han considerado las presentes en la “Guía Para Responsables Del Dominio Protegible”. MAGERIT Metodología de Análisis y Gestión de Riesgos Información de las Administraciones Públicas de los Sistemas de MAGERIT. reducir o controlar los riesgos investigados. entre las que se encuentran: “Conocimiento de las Amenazas”. y recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos. es una metodología formal destinada a investigar los riesgos que soportan los Sistemas de Información. prevenir. En particular.María Victoria Bisogno. mediante la gestión de riesgos. El análisis de las operaciones se basa en los objetivos de control de “Administración de operaciones”. Los objetivos de “Administración de problemas e incidencias”se consideran en la etapa de manejo de incidencias.Metodología para el Aseguramiento de Entornos Informatizados.

Metodología para el Aseguramiento de Entornos Informatizados. para finalmente recomendar la mejor salvaguarda que corresponda. entre otras cosas. Riesgo Salvaguardas Estos seis elementos son estudiados durante todo el proceso que presentamos en nuestra metodología de revisión de aplicaciones. para pasar a la etapa donde se identifican las amenazas. y los elementos relacionados con ésta como bases de datos y otras aplicaciones. la evaluación de la aplicación a revisar como activo lógico de la organización. MAEI . 227 . donde se realiza el relevamiento que abarca. las vulnerabilidades y se estudia su riesgo asociado.María Victoria Bisogno.

Los siguientes son términos utilizados en este trabajo. 228 .Metodología para el Aseguramiento de Entornos Informatizados. Se realiza un interrogante o una serie de ellos que sólo el usuario autorizado puede conocer la respuesta. Bombas lógicas: Programas que se activan al producirse un acontecimiento determinado. [Technet]: Accesos autorizados: autorizaciones concedidas a un usuario para la utilización de los diversos recursos. Chip-cards: Tarjetas que poseen integrado un circuito impreso. cumplan con los niveles de autorización correspondientes para su utilización y divulgación. [Huerta2000] . ANEXO III. organismo o persona que presente su entorno informatizado con el fin de que el ES lo analice y lo asegure. GLOSARIO DE TÉRMINOS. en el cual se almacenan datos que posibilitan la autenticación del usuario. y a la probabilidad de que ocurran. etc. o un estilo técnico Bombas Lógicas). y suelen ser aprovechados por intrusos malintencionados para tomar control sobre las computadoras. Si no se produce la condición permanece oculto al usuario. Backup: copia de los datos de un archivo automatizado en un soporte que posibilite su recuperación. MAEI . una combinación de teclas. impactos y vulnerabilidades relativos a la información y a las instalaciones de procesamiento de la misma. Análisis de riesgos: Evaluación de las amenazas. La condición suele ser una fecha (Bombas de Tiempo). Backdors y trapdors: Son instrucciones que permiten a un usuario acceder a otros procesos o a una línea de comandos. IX. obtenidos de [IRAM/ISO/IEC17799]. Basurero: La información de los desperdicios dejados alrededor de un sistema puede ser aprovechada por intrusos provocar un hurto o daño. Autenticación: procedimiento de comprobación de la identidad de un usuario. Challenge-response: Metodología utilizada para la autenticación de usuarios denominada usualmente desafío-respuesta. empresa. Cliente: toda entidad. [Stallings1999]. Autorización: Garantizar que todos los accesos a datos y/o transacciones que los utilicen.María Victoria Bisogno.

espionaje industrial. Copia del respaldo o resguardo: ver backup. Conejos: Programas que no dañan directamente al sistema por alguna acción destructiva. bajar. Contraseña: información confidencial. Eaves dropping: Es la escucha no autorizada de conversaciones. frecuentemente constituida por una cadena de caracteres. Confiabilidad: Garantizar que los sistemas informáticos brinden información correcta para ser utilizada en la operatoria de cada uno de los procesos. que puede ser usada en la autenticación de un usuario. bajarse) En Internet proceso de transferir información desde un servidor de información al propio ordenador personal. Confidencialidad: Garantizar que toda la información está protegida del uso no autorizado. sino que tienen la facilidad de reproducirse exponencialmente de manera de provocar en poco tiempo una negación de servicio al consumir los recursos (memoria. revelaciones accidentales. Persona o dispositivo mediante el cual se envían mensajes o elementos. 229 . correo. Desktop environments: Configuraciones de escritorio. procesador. Control de acceso: mecanismo que en función de la identificación ya autenticada permite acceder a datos o recursos. sean resguardados y recuperados eventualmente cuando sea necesario. disco. etc. Courier: Mensajero. claves.María Victoria Bisogno. Dial-back: Metodología de rellamado ante la recepción de petición para establecer una comunicación con un servidor. Download: (descargar. Disponibilidad: Garantizar que la información y la capacidad de su tratamiento manual y automático. violación de la privacidad y otras acciones similares de accesos de terceros no permitidos. datos. etc). Al recibir este dicho requerimiento produce el corte de la llamada y luego se comunica mediante una dirección preestablecida.Metodología para el Aseguramiento de Entornos Informatizados. MAEI . de manera tal que no se interrumpa significativamente la marcha de las actividades.

Entorno: Se considera entorno un amplio espectro de ambientes. Acción de piratear sistemas informáticos y redes de 230 . una red de telecomunicaciones. Gusanos (Worms): Son programas independientes (no necesitan insertarse en otros archivos) que se expanden a través de la red realizando distintas acciones como instalar virus. correcta. Exactitud: Asegurar que toda la información se encuentre libre de errores y/o irregularidades de cualquier tipo. archivos lógicos o cualquier elemento susceptible a ataques informáticos. Hacking (pirateo): telecomunicación. Hacker (pirata): Una persona que goza alcanzando un conocimiento profundo sobre el funcionamiento interno de un sistema. ES: Experto en Seguridad. un equipo de cómputos. un sector informatizado de un negocio. Gateway (pasarela): Punto de una red que actúa como punto de entrada a otra red. Eficiencia: Asegurar que el tratamiento de la información se realice mediante una óptima utilización de los recursos humanos y materiales. MAEI . puede definirse como el edificio que alberga a la empresa objetivo o como el Centro de Cómputos (CC) o Centro de Procesamiento de Datos (CPD) donde se encuentran los servidores. consistente y útil para el desarrollo de las actividades. Firewall (cortafuegos): Dispositivo que se coloca entre una red local e Internet y cuyo objetivo es asegurar que todas las comunicaciones entre los usuarios de dicha red e Internet se realicen conforme a las normas de seguridad de la organización que lo instala. una aplicación. Este término se suele utilizar indebidamente como peyorativo. Los hackers proclaman tener una ética y unos principios contestatarios e inconformistas pero no delictivos. desde empresas multinacionales distribuidas físicamente en el mundo hasta datos individuales. Eficacia: Garantizar que toda información que sea utilizada es necesaria y entregada de forma oportuna. de un ordenador o de una red de ordenadores. o atacar una PC como un intruso.María Victoria Bisogno. En este trabajo se lo considera el principal actor. que utiliza la metodología AEI para asegurar un entorno informatizado. cuando en este último sentido sería más correcto utilizar el término cracker. Fallback: Metodología de emergencia ante fallas que posibilitan la recuperación de información perdida.Metodología para el Aseguramiento de Entornos Informatizados. una empresa informatizada.

como revelar su contraseña o cambiarla. que se puede transportar como un maletín y apoyar en el regazo (lap). ID: Nombre o identificación de usuario. tales como el correo electrónico. Hoax: (camelo. Logged out: Desconexión de equipamiento. Host system: (sistema anfitrión.María Victoria Bisogno. Telnet. especialmente sobre virus inexistentes. ordenador portátil) Ordenador de tamaño pequeñomedio. permite a los usuarios comunicarse con otros sistemas anfitriones de una red. MAEI . Los usuarios se comunican utilizando programas de aplicación.Metodología para el Aseguramiento de Entornos Informatizados. Herramientas de seguridad: Son utilitarios que sirven para identificar vulnerabilidades en un sistema. La acepción verbal (to host) describe el hecho de almacenar algún tipo de información en un servidor ajeno. Identificación: procedimiento de reconocimiento de la identidad de un usuario. cumplan con las regulaciones legales vigentes en cada ámbito. que se difunden por la red. Legalidad: Asegurar que toda la información y los medios físicos que la contienen. bulo) Término utilizado para denominar a rumores falsos. Pueden ser una amenaza si un intruso las utiliza en el sistema y detecta fallas en la seguridad de las que el administrador no está enterado. Integridad: Asegurar que sea procesada toda la información necesaria y suficiente para la marcha de las actividades en cada uno de los sistemas informatizados y procesos transaccionales. WWW y FTP. a veces con mucho éxito causando al final casi tanto daño como si se tratase de un virus real. procesen y/o transporten. Incidencia o incidente: cualquier anomalía que afecte o pudiera afectar a la seguridad del entorno. Laptop: (computador portátil. Logged in: Conexión del equipamiento. Ingeniería social: Consiste en la manipulación de las personas para que voluntariamente realicen actos que normalmente no harían. 231 . mediante la utilización de los protocolos TCP/IP. sistema principal) Ordenador que.

bien puede ser impresa o por pantalla u otro medio idóneo. Masquerading: Un intruso puede usar la identidad de un usuario autorizado que no le pertenece simplemente apoderándose de un nombre de usuario y contraseña válidos. permite la conexión con Internet.Metodología para el Aseguramiento de Entornos Informatizados. Logs: Registros de situaciones en un sistema informático. que se puede llevar en la palma de la mano (palm) y que. situaciones. Outputs: Salida. PABXs: Centralita privada automática (Private Automatic Branch eXchange) (ramal de intercomunicación telefónica privada). Logging: Registro de actividades en un archivo informático. Mainframe: Estructura principal. Over-classification: Clasificación en exceso. Palmtop: (computador de palma. Login: Conexión. utilizada en empresas. algo mayor que un paquete de cigarrillos. 232 . Es el resultado de puesta en marcha del logging. con relación a su presentación. control de contraseñas. Notebook: Computador u ordenador portátil. Entrada en una red. tales como actividades de usuarios. etc. normas.María Victoria Bisogno. Son ramales de intercomunicación digital interno que permiten manejar tanto la circulación de voz como la de los datos. Se refiere al producto del proceso de datos. utiliza conmutación de circuitos. de diferentes Logon: Procedimiento de conexión o entrada al sistema por parte de un usuario. MAEI . No Repudio: Garantizar los medios necesarios para que el receptor de una comunicación pueda corroborar fehacientemente la autenticidad del emisor. se utiliza normalmente como evidencia de auditoria. Se refiere al proceso de clasificación de la información con relación a la categorización respecto a su publicidad o no. procedimientos. ordenador de palma) Ordenador de pequeño tamaño. Computadora de gran tamaño de tipo multiusuario. estándares e instructivos que regulan los aspectos funcionales y técnicos de la seguridad informática en una organización. Normativa de Seguridad: Conjunto de reglas. además de otras funciones.

se utiliza como requerimiento para el desarrollo de tareas. PIN: Personal Identification Number. Router: Sistema constituido por hardware y software para la transmisión de datos en una red. Tanto de software. usualmente mediante el barrido de frecuencias. programación. Número de identificación personal. Password: (palabra de paso. Scanners: Software. como de hardware. impresión. a veces asociado a equipamiento que permite realizar la inspección de comunicaciones. estén adecuadamente establecidos a favor de sus propietarios. programa o aplicación. Los mismos pueden hallarse en dicha situación para su ingreso o su salida. clave utilizada para el acceso a cajeros automáticos.Metodología para el Aseguramiento de Entornos Informatizados. PC: Personal Computer. MAEI .María Victoria Bisogno. Computadora Personal. equipamiento. contraseña) Conjunto de caracteres alfanuméricos que permite a un usuario el acceso a un determinado recurso o la utilización de un servicio dado. Spooled data: Datos en cola de espera. etc. 233 . Shoulder Surfing: Consiste en espiar físicamente a los usuarios para obtener claves de acceso al sistema. Propiedad: (derecho a propiedad) Asegurar que todos los derechos de propiedad sobre la información utilizada en el desarrollo de las tareas. Start-up: Inicio del sistema. Recurso: cualquier parte componente de un entorno informatizado. Schedulling: Planificación. asociada con una tarjeta de débito o de credito. números válidos de tarjetas de crédito. El emisor y el receptor deben utilizar el mismo protocolo de comunicaciones. ejecución de procesos. Protección Física: Garantizar que todos los medios de procesamiento y/o conservación de información cuenten con medidas de protección física que eviten el acceso y/o utilización indebida por personal no autorizado. Piggy backing: Ocurre cuando un usuario no autorizado accede a una zona restringida gracias al permiso otorgado a otra persona que sí está autorizada. etc.

Sign up to vote on this title
UsefulNot useful