S

C
O
T
I nformática y sistemas
A

Políticas de Seguridad de la Información

Nivel Estándares Prácticas y Pautas

Estándares, Prácticas y Pautas comunes

Hardening

Autor: Editor: Gerencia Responsable: Autorizó publicación: Fecha de Fecha de

creación: actualización:
José Carvajal Juan Enrique Gerencia de Seguridad Gerencia División 27/11/2006 7/12/2006
Balboa Ibáñez de la Información Tecnología
 HISTORIAL DE REVISIONES

CONTROL DE VERSIONES

Versión Motivo Responsable Fecha

1.0 Creación José Carvajal Balboa 27/11/2006
1.1 Revisión Juan Enrique Ibáñez 7/12/2006

Categoría Estándares de Seguridad de la Información

Documento Estándar de Seguridad sobre Hardening
Clasificación de Interna SSA
confidencialidad
Dueño Gerencia de Seguridad de la Información
Estado del documento Aprobado

Políticas de Seguridad de la Información Fecha de actualización: 7/12/2006 Pág.: 2

Nivel Estándares Prácticas y Pautas
Hardening
 APROBACIÓN

FIRMAS DE APROBACIÓN

Los abajo firmantes dan su aprobación al presente documento "Estándares de seguridad sobre
Hardening", que establece el marco general para la realización de procesos de revisión de la
configuración de seguridad de la plataforma de hardware, comunicaciones y software base.

LUIS FELIPE ROBLES

GERENTE DIVISIÓN TECNOLOGÍA

JUAN ENRIQUE IBÁÑEZ

GERENTE DE SEGURIDAD DE LA INFORMACIÓN

Políticas de Seguridad de la Información Fecha de actualización: 7/12/2006 Pág.: 3

Nivel Estándares Prácticas y Pautas
Hardening
 CONTENIDO

1 OBJETIVO

2 DEFINICIONES

3 ESTÁNDARES

Políticas de Seguridad de la Información Fecha de actualización: 7/12/2006 Pág.: 4

Nivel Estándares Prácticas y Pautas
Hardening
 S
C
O
T
I nformática y sistemas
A

1 OBJETIVO

Dado que cada vez más la infraestructura tecnológica es un factor crítico en el éxito de la conducción de los
negocios del Banco, se necesitan controles para asegurar que se mantiene una correcta configuración de
seguridad de nuestros equipos servidores, estaciones de trabajo, software base y servicios de
telecomunicaciones. Lo anterior, con el propósito de asegurar la confidencialidad, integridad y por sobre todo la
disponibilidad de la información.

Políticas de Seguridad de la Información Fecha de actualización: 7/12/2006 Pág.: 1.1

Nivel Estándares Prácticas y Pautas
Hardening
 S
C
O
T
I nformática y sistemas
A

2 DEFINICIONES

Por "Hardening" se entiende aquel proceso de eliminación de servicios innecesarios desde el sistema operativo,
la restricción de los accesos al sistema que tienen los usuarios, fortalecimiento de las restricciones de las
contraseñas, control de los derechos otorgados a grupos y usuarios. Este proceso también incluye la
identificación y corrección de vulnerabilidades de un sistema, típicamente a través de la aplicación de parches.

Políticas de Seguridad de la Información Fecha de actualización: 7/12/2006 Pág.: 3.1

Nivel Estándares Prácticas y Pautas
Hardening
 S
C
O
T
I nformática y sistemas
A

3 ESTÁNDARES

Generalidades

1.- Todos los servidores del banco deben someterse a un proceso de hardening antes de ser conectados a
la red interna.

2.- Deben existir estándares para la plataforma tecnológica y checklist para el proceso de hardening, los
cuales deben ser usados como guías en la configuración de servidores y eliminación de servicios innecesarios.
Cada vez que se encuentren vulnerabilidades se deben analizar y aplicar las correcciones que sean
necesarias. Para terceros que prestan servicios al banco, se debe acordar el nivel de seguridad que se aplicará
a sus instalaciones dependiendo del nivel de riesgo que presente para el Banco.

3.- Los dueños de servidores y dueños de activos de información son los responsables de solicitar que todos los
accesos lógicos requeridos se adhieran al principio de "menor privilegio de acceso", es decir, se deben otorgar
sólo los privilegios necesarios para ejecutar las funciones requeridas.

4.- Settings that do not conform to BNS Standards/policies must be documented and approved by
the information owner in the form of a deviation letter. These deviation letters should be
submitted to the Information Security function for concurrence.

4.- Toda configuración que difiera de las políticas y estándares del banco deben estar documentadas y
aprobadas por el dueño de la información en un reporte de desviación. Este reporte debe enviarse a la
Gerencia de Seguridad de la Información para su control y éstos enviar esta información a Information Security
and Control de Toronto (IS&C).

Responsabilidades

1.- Los dueños de servidores son responsables de asegurar que la configuración de los servidores cumpla con
las políticas y estándares de seguridad del banco.

2.- Todas las áreas de soporte deben asignar coordinadores de seguridad quienes serán responsables de
solicitar la aplicación del proceso de hardening.

3.- Los dueños de servidores son responsables por la integridad de la configuración de los servidores.

Políticas de Seguridad de la Información Fecha de actualización: 7/12/2006 Pág.: 3.1

Nivel Estándares Prácticas y Pautas
Hardening