En esta Unidad deberemos de realizar la elaboracion de un plan de seguridad informática basado en los estándares internacionales estableciendo mecanismos de protección de la información y metricas de evaluación.
A) Analizar modelos y buenas practicas de seguridad que contemple los siguientes conceptos:- ITIL: Creado a finales de la década de los 80's por central Computer and Telecommunication Agency (CCTA) del reino unido. hoy regulado y patentado por el Ministerio del Comercio (OGC) del reino unido y dos organizaciones certificadoras: ISEB y EXIN. Mejorado por itSMF. Destinado originalmente al Sector Publico.
- 1981 IBM Yelow Books
- 1986 Inicia el desarrollo del ITIL
- 1989 Primeras publicaciones del ITIL
- 1991 fundación del Grupo de Usuarios (itSMF) en Reino Unido
- 2000 Publicación de ITIL Versión 2 (primera versión)
- 2005 Inicia el desarrollo de ITIL Versión 3
- 2007 Publicación de ITIL V3 (segunda versión)
Forma de uso de ITIL en Managed Servicies.
ITIL postula que el servicio de soporte, la administración y
la operación se realiza a través de cinco procesos:
1. Manejo de Incidentes: Su objetivo primordial es restablecer el servicio lo más
rápido posible para evitar que el cliente se vea afectado, esto se
hace con la finalidad de que se minimicen los efectos de la operación. Se dice
que el proveedor de debe de encargar de que el cliente no debe percibir todas
aquellas pequeñas o grandes fallas que llegue a presentar el sistema. A este concepto se
le llama disponibilidad (que el usuario pueda tener acceso al servicio y que
nunca se vea interrumpido). Para este proceso se tiene un diagrama que en
cada una de sus fases maneja cuatro pasos básicos que son: propiedad,
monitoreo, manejo de secuencias y comunicación.
2. Manejo de problemas: El Objetivo de este proceso es
prevenir y reducir al máximo los incidentes, y esto nos lleva a una reducción
en el nivel de incidencia. Por otro lado nos ayuda a proporcionar soluciones
rápidas y efectivas para asegurar el uso estructurado de recursos. En este
proceso lo que se busca es que se pueda tener pleno control del problema, esto
se logra dándole un seguimiento y un monitoreo al problema. El diagrama de este
proceso es muy particular, ya que se maneja en dos fases: la primera está
relacionada con lo que es el control del problema y la segunda es con el
control del error.
3. Manejo de configuraciones: su objetivo es proveer con información real y actualizada de lo que se tiene configurado e instalado en cada sistema del cliente. Este proceso es de los mas complejos, ya que se mueve bajo cuatro vértices que son: administración de cambios, administración de liberaciones administración de configuraciones y la administración de procesos diversos. El nivel de complejidad de este modelo es alto, ya que influyen muchas variables y muchas de ellas son dinámicas, entonces al cambiar una o varias de ellas se afecta el sistema en general. lo que hace que sea muy difícil de manipular. aunque es lo mas parecido a la realidad, porque nuestro entorno es dinámico y las decisiones de uno afectan a otros.
4. Manejo de cambios: El objetivo de este proceso es deducir los riesgos tanto técnicos, económicos, y de tiempo al momento de la realización de los cambios.
5. Manejo de entregas: Su objetivo es planear y controlar exitosamente la instalación del software y hardware bajo tres ambientes: ambiente de desarrollo, ambiente de pruebas controladas y ambiente real. En lo que respecta al ambiente de desarrollo vemos que se tiene que hacer la liberación de las políticas, la liberación de la planeación, el diseño lógico de la infraestructura que se va a implementar y la adquisición de software y hardware están entre los ambientes de desarrollo y de pruebas controladas; ya que se requiere que ambos hagan pruebas sobre ellos; en el ambiente de pruebas controladas vemos que se hace la construcción y liberación de las configuraciones (nivel lógico), se hacen pruebas para establecer los acuerdos de aceptación; se da la aceptación total de versiones y de modelos, se arranca la planeación y finalmente las pruebas y comunicaciones, y en lo que es el ambiente real vemos que se da la distribución e instalación. en la etapa del ambiente real es la que se ve de forma mas concreta, ya que muchas veces no tenemos idea de todo lo que pasa hasta antes de la instalación. En el proceso de entrega del servicio es el punto en el que el usuario hace uno del servicio y no sabe que detrás de el servicio que esta recibiendo hay un sin fin de actividades que estuvieron que tomar para llegar a este punto. Este proceso de entrega es en el que mas cuidado debemos de poner, ya que en caso de haber fallas, el primero en detectarlas o en percibirlos es el usuario, y eso nos genera que el cliente este insatisfecho o molesto. Por lo general los usuarios no saben que para que puedan hacer uso de los servicios, se paso por una fase de planeación, monitoreo, análisis y por un sin fin de pruebas, con la intención de que en caso de que algo no funcione, se de en la fase de pruebas controladas y no en la fase de pruebas en ambiente real, donde el mayor afectado es el cliente.
Conclusiones: ITIL es una
metodología que nos va a ayudar a que las cosas se puedan hacer de una forma
más eficiente, ya que lo que se propone es que se adopten ciertas métricas y
procedimientos que otros proveedores de IT adoptaron y que gracias a
ellas son catalogadas como mejores prácticas. El hecho de adoptar mejores prácticas
implica que no tengamos que descubrir el hilo negro y que si alguien sabe cómo
hacer las cosas y explotar los recursos nos podemos apoyar en el para que
nosotros también podamos hacerlo. E mayor objetivo es que todos lleguemos a un
nivel de eficiencia que se traduzca en una buena prestación de servicios.
- COBIT: (Control OBjectives for Information and related Technology | Objetivos de Control para tecnología de la información y relacionada) Es el modelo para el Gobierno de la TI desarrollado por la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI). Tiene 34 objetivos nivel altos que cubren 215 objetivos de control clasificados en cuatro dominios: El plan y Organiza, Adquiere y Pone en práctica, Entrega y Apoya, y Supervisa y Evalúa. Enfatiza el cumplimiento normativo, ayuda a las organizaciones a incrementar el valor de TI. Apoya el alineamiento con el negocio y simplifica la implantación del COBIT. Esta versión no invalida el trabajo efectuado con las versiones anteriores del COBIT, sino que mejora el trabajo hecho. Representa los esfuerzos de literalmente cientos de expertos de voluntario de en el mundo entero. . COBIT permite el desarrollo claro de política y la práctica buena para el control de TI en todas partes de organizaciones. Independientemente de la realidad tecnológica de cada caso concreto, COBIT determina, con el respaldo de las principales normas técnicas internacionales, un conjunto de mejores prácticas para la seguridad, la calidad, la eficacia y la eficiencia en TI que son necesarias para alinear TI con el negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y medir el desempeño, el cumplimiento de metas y el nivel de madurez de los procesos de la organización. Proporciona a gerentes, interventores, y usuarios TI con un juego de medidas generalmente aceptadas, indicadores, procesos y las mejores prácticas para ayudar a ellos en el maximizar las ventajas sacadas por el empleo de tecnología de información y desarrollo de la gobernación apropiada TI y el control en una empresa.
El paquete
de programas de COBIT completo es un juego que consiste en seis
publicaciones:
- Resumen(Sumario) Ejecutivo
- Marco
- Objetivos de Control
- Directrices de auditoria
- Instrumento de puesta en práctica
- Directrices de Dirección
Proporcionan
una breve descripción de cada uno de los susodichos componentes
debajo.
Resumen
(Sumario) Ejecutivo
Las
decisiones de negocio están basadas en la información oportuna, relevante y
concisa. Expresamente diseñado para directores ejecutivos embutidos de tiempo y
gerentes, el Resumen (Sumario) COBIT Ejecutivo, consiste en una descripción
ejecutiva que proporciona una conciencia cuidadosa y el entendimiento
de los conceptos claves del COBIT y principios. También incluido es un
resumen del Marco, que proporciona un entendimiento más detallado de estos
conceptos y principios, identificando los cuatro dominios del COBIT (la Planificación y la
Organización, la Adquisición y la Puesta en práctica, la Entrega y el Apoyo, la
Supervisión) y 34 procesos de TI.-
Marco: Una
organización acertada es construida sobre un marco sólido de datos e
información. El Marco explica como los procesos de TI entregan la información
que el negocio tiene que alcanzar sus objetivos. Esta entrega es controlada por
34 objetivos de control de alto nivel, un para cada proceso de TI,
contenida en los cuatro dominios. El Marco se identifica cuál de los siete
criterios de la información (la eficacia, la eficacia, la confidencialidad, la
integridad, la disponibilidad, el cumplimiento y la fiabilidad), así como que
recursos TI (la gente, usos, tecnología, instalaciones y datos) son importantes
para los procesos de TI para totalmente apoyar el objetivo de
negocio.-
Objetivos
de Control: La llave al mantenimiento de la rentabilidad en
un ambiente que se cambia tecnológicamente es como bien usted
mantiene el control. Los Objetivos de Control del COBIT proveen la perspicacia
(idea) crítica tuvo que delinear una práctica clara de política y buena
para mandos de TI. Incluido son las declaraciones de resultados deseados u
objetivos para ser alcanzados por poniendo en práctica los 215 objetivos de
control específicos, detallados en todas partes de los 34 procesos de TI.-
Directrices De auditoría: Analice, evalúa, haga de
intérprete, reaccione, el instrumento. Para alcanzar sus objetivos deseados y
objetivos usted y coherentemente constantemente debe revisar sus procedimientos.
Directrices de auditoría perfilan y aconsejan actividades reales ser realizadas
correspondiente a cada uno de los 34 objetivos de control de TI de alto nivel,
justificando el riesgo de objetivos de control no siendo encontrados.
Directrices de auditoría son un instrumento inestimable para interventores de
sistemas de información en el aseguramiento de dirección que provee y/o el
consejo para la mejora.
Instrumento
de puesta en práctica : Un Instrumento de Puesta en práctica , que contiene
la Conciencia de Dirección y el Diagnóstico de Control de
TI, y la Guía de Puesta en práctica, FAQs, estudios de caso de organizaciones actualmente
que usan COBIT, y las presentaciones de diapositiva que pueden ser usadas
introducir COBIT en organizaciones. El nuevo Juego de Instrumento es
diseñado para facilitar la puesta en práctica de COBIT, relacionar lecciones
cultas de organizaciones que rápidamente y satisfactoriamente aplicado COBIT en
sus ambientes de trabajo, y la dirección de plomo(ventajosa) para
preguntar sobre cada COBIT tratan: ¿Este dominio es importante para
nuestros objetivos de negocio? ¿Bien es realizado? ¿Quién lo hace y quien
es responsable? ¿Son formalizados los procesos y el control?
Directrices
de Dirección: Para asegurar una empresa acertada, usted con eficacia debe
manejar la unión eficaz entre procesos de negocio y sistemas de información.
Las nuevas Directrices de Dirección son compuestas de Modelos de
Madurez, ayudar determinar las etapas y los niveles de expectativa de control y
compararlos contra normas de industria; Factores de Éxito Críticos,
para identificar las acciones más importantes para alcanzar control
de los procesos de TI; Indicadores de Objetivo Claves, para
definir los niveles objetivo de funcionamiento; e Indicadores de Funcionamiento
Claves, para medir si un proceso de control de TI encuentra su objetivo.
Estas Directrices de Dirección ayudarán a contestar las preguntas de
preocupación (interés) inmediata a todo los que tienen una estaca (un interés)
en el éxito de la empresa.
- ISM3: (Information Security Management Maturity Model, que se pronuncia ISM), es un estandar de ISECOM para la gestión de la seguridad de la información. Está pensado para una mejorar la integración con otras metodologías y normas como COBIT, ITIL o CMMI. Ofrece muchas ventajas para la creación de sistemas de gestión de la seguridad de la información. ISM3 pretende alcanzar un nivel de seguridad definido, también conocido como riesgo aceptable, en lugar de buscar la invulnerabilidad. ISM3 ve como objetivo la seguridad de la información, el garantizar la consecución de objetivos de negocio. La visión tradicional de que la seguridad de la información trata de la prevención de ataques es incompleta. ISM3 relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de una organización con los objetivos de seguridad (como dar acceso a las bases de datos sólo a los usuarios autorizados). Algunas características significativas de ISM3 son:
Niveles de Madurez: ISM3 se adapta tanto a organizaciones maduras como a emergentes mediante sus niveles de madurez, los cuales se adaptan a los objetivos de seguridad de la organización y a los recursos que están disponibles.
Basado en Procesos: ISM3 está basado en procesos, lo que lo hace especialmente atractivo para organizaciones que tienen experiencia con ISO9001 o que utilizan ITIL como modelo de gestión de TIC. El uso de ISM3 fomenta la colaboración entre proveedores y usuarios de seguridad de la información, dado que la externalización de procesos de seguridad se simplifica gracias a mecanismos explícitos, como los ANS y la distribución de responsabilidades.
Adopción de las Mejores Prácticas: Una implementación de ISM3 tiene ventajas como las extensas referencias a estándares bien conocidos en cada proceso, así como la distribución explícita de responsabilidades entre los líderes, gestores y el personal técnico usando el concepto de gestión Estratégica, Táctica y Operativa.
Certificación: Los sistemas de gestión basados en ISM3 pueden certificarse bajo ISO9001 o ISO27001, lo que quiere decir que se puede usar ISM3 para implementar un SGSI basado en ISO 27001. Esto también puede ser atractivo para organizaciones que ya están certificadas en ISO9001 y que tienen experiencia e infraestructura para ISO9001.
Accesible: Una de las principales ventajas de ISM es que los Accionistas y Directores pueden ver con mayor facilidad la Seguridad de la Información como una inversión y no como una molestia, dado que es mucho más sencillo medir su rentabilidad y comprender su utilidad.
B) Analiza los estándares internacionales de seguridad informática de los siguientes conceptos:
- BS 17799: es un código de prácticas o de orientación o
documento de referencia se basa en las mejores prácticas de seguridad de la
información, esto define un proceso para evaluar, implementar, mantener y
administrar la seguridad de la información. Características
BS 17799 se basa en BS 7799-1 de control consta de 11 secciones, 39 objetivos de control y controles de 134 no se utiliza para la evaluación y el registro de esta tarde fue rebautizado con la norma ISO 27002OBJETIVO.
Objetivo: El objetivo es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y relaciones de confianza entre las empresas. - SERIO ISO 27000: En fase de desarrollo; su fecha prevista de publicación es el año 2009. Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma está previsto que sea gratuita, a diferencia de las demás de la serie, que tienen-tendrán un coste.
- SERIO ISO 27001: Publicada el 15 de Octubre de 2005. Es la
norma principal de la serie y contiene los requisitos del sistema de gestión de
seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma
con arreglo a la cual se certifican por auditores externos los SGSI de las
organizaciones. Sustituye a la BS 7799-2, habiéndose establecido unas
condiciones de transición para aquellas empresas certificadas en esta última.
En su Anexo A, enumera en forma de resumen los objetivos de control y controles
que desarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005 desde el 1
de Julio de 2007), para que sean seleccionados por las organizaciones en el
desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de
todos los controles enumerados en dicho anexo, la organización deberá
argumentar sólidamente la no aplicabilidad de los controles no implementados.
Desde el 28 de Noviembre de 2007, esta norma está publicada en España como
UNE-ISO/IEC 27001:2007 y puede adquirirse online en AENOR.
- SERIO ISO 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO 27002:2005.
- ISO 20000: fue publicada en diciembre de 2005 y es la primera norma en el mundo específicamente dirigida a la gestión de los servicios de TI. La ISO 20000 fue desarrollada en respuesta a la necesidad de establecer procesos y procedimientos para minimizar los riesgos en los negocios provenientes de un colapso técnico del sistema de TI de las organizaciones. ISO20000 describe un conjunto integrado de procesos que permiten prestar en forma eficaz servicios de TI a las organizaciones y a sus clientes. La esperada publicación de la ISO 20000 el 15 de diciembre de 2005 representa un gran paso adelante hacia el reconocimiento internacional y el desarrollo de la certificación de ITSM. Hoy en día la aparición de la norma ISO 20000 está causando un aumento considerable del interés en aquellas organizaciones interesadas en implementar ITSM. Estudios revelan como dicho anhelo crecerá internacionalmente tomando como base la reconocida certificación ISO 20000.
- Descripción de los principales elementos de protección: Las
principales amenazas que se prevén en la seguridad física son:
a. Desastres naturales, incendios accidentales tormentas e inundaciones.b. Amenazas ocasionadas por el hombre.c. Disturbios, sabotajes internos y externos deliberados.No hace falta recurrir a películas de espionaje para sacar ideas de cómo obtener la máxima seguridad en un sistema informático, además de que la solución sería extremadamente cara.A veces basta recurrir al sentido común para darse cuenta que cerrar una puerta con llave o cortar la electricidad en ciertas áreas siguen siendo técnicas válidas en cualquier entorno.A continuación se analizan los peligros más importantes que se corren en un centro de procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y oportuna para la prevención, reducción, recuperación y corrección de los diferentes tipos de riesgos.a. Incendios.b. Inundaciones: Se las define como la invasión de agua por exceso de escurrimientos superficiales o por acumulación en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial. Esta es una de las causas de mayores desastres en centros de cómputos. Además de las causas naturales de inundaciones, puede existir la posibilidad de una inundación provocada por la necesidad de apagar un incendio en un piso superior. Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas para contener el agua que bajase por las escaleras.c. Condiciones Climatológicasd. Señales de Radar: La influencia de las señales o rayos de radar sobre el funcionamiento de una computadora ha sido exhaustivamente estudiada desde hace varios años. Los resultados de las investigaciones más recientes son que las señales muy fuertes de radar pueden inferir en el procesamiento electrónico de la información, pero únicamente si la señal que alcanza el equipo es de 5 Volts/Metro, o mayor. Ello podría ocurrir sólo si la antena respectiva fuera visible desde una ventana del centro de procesamiento respectivo y, en algún momento, estuviera apuntando directamente hacia dicha ventana.e.Instalaciones Eléctricasf. ErgometríaAcciones Hostiles· Robo: Las computadoras son posesiones valiosas de las empresas y están expuestas, de la misma forma que lo están las piezas de stock e incluso el dinero. Es frecuente que los operadores utilicen la computadora de la empresa para realizar trabajos privados o para otras organizaciones y, de esta manera, robar tiempo de máquina. La información importante o confidencial puede ser fácilmente copiada. Muchas empresas invierten millones de dólares en programas y archivos de información, a los que dan menor protección que la que otorgan a una máquina de escribir o una calculadora. El software, es una propiedad muy fácilmente sustraíble y las cintas y discos son fácilmente copiados sin dejar ningún rastro.· Fraude: Cada año, millones de dólares son sustraídos de empresas y, en muchas ocasiones, las computadoras han sido utilizadas como instrumento para dichos fines. Sin embargo, debido a que ninguna de las partes implicadas (compañía, empleados, fabricantes, auditores, etc.), tienen algo que ganar, sino que más bien pierden en imagen, no se da ninguna publicidad a este tipo de situaciones.· Sabotaje: El peligro más temido en los centros de procesamiento de datos, es el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la protección contra el saboteador es uno de los retos más duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa. Físicamente, los imanes son las herramientas a las que se recurre, ya que con una ligera pasada la información desaparece, aunque las cintas estén almacenadas en el interior de su funda de protección. Una habitación llena de cintas puede ser destruida en pocos minutos y los centros de procesamiento de datos pueden ser destruidos sin entrar en ellos.
Además, suciedad, partículas de metal o gasolina pueden ser introducidos por los conductos de aire acondicionado. Las líneas de comunicaciones y eléctricas pueden ser cortadas, etc. - Definición de las metas de seguridad a alcanzar en un periodo de tiempo establecido: La falta de políticas y procedimientos en seguridad es
uno de los problemas más graves que confrontan las empresas hoy
día en lo que se refiere a la protección de sus activos de información frente
a peligros externos e internos. Las políticas de seguridad son esencialmente
orientaciones e instrucciones que indican cómo manejar los asuntos de seguridad
y forman la base de un plan maestro para la implantación efectiva de
medidas de protección tales como: identificación y control de acceso,
respaldo de datos, planes de contingencia y detección de intrusos. Si bien
las políticas varían considerablemente según el tipo de organización de
que se trate, en general incluyen declaraciones generales sobre metas, objetivos, comportamiento y
responsabilidades de los empleados en relación a las violaciones de seguridad.
A menudo las políticas van acompañadas de normas, instrucciones y
procedimientos. Las políticas son obligatorias, mientras que las
recomendaciones o directrices son más bien opcionales. De hecho, las
declaraciones de políticas de seguridad pueden transformarse fácilmente en
recomendaciones reemplazando la palabra "debe" con la palabra "debería".
Por otro lado las políticas son de jerarquía superior a las normas, estándares
y procedimientos que también requieren ser acatados. Las políticas consisten de
declaraciones genéricas, mientras las normas hacen referencia específica a
tecnologías, metodologías, procedimientos de implementación y otros aspectos en
detalle. Además las políticas deberían durar durante muchos años, mientras que
las normas y procedimientos duran menos tiempo. Las normas y
procedimientos necesitan ser actualizadas más a menudo que las políticas porque
hoy día cambian muy rápidamente las tecnologías informáticas, las estructuras organizativas,
los procesos de negocios y los procedimientos. Por ejemplo,
una norma de seguridad de cifrado podría especificar el uso del estándar DES
(Data Encryption Standard). Esta norma probablemente deberá será revisada o
reemplazada en los próximos años. Las políticas son distintas y de un nivel
superior a los procedimientos, que son los pasos operacionales específicos que
deben llevarse a cabo para lograr una cierta meta. Como ejemplo, hay
procedimientos específicos para realizar copias de seguridad de la información
contenida en los discos duros de los servidores.
Una declaración sobre políticas describe sólo la forma general de manejar un problema específico, pero no debe ser demasiado detallada o extensa, en cuyo caso se convertiría en un procedimiento. Las políticas también son diferentes de las medidas de seguridad o de los mecanismos de control. Un ejemplo de esto último sería un sistema de cifrado para las comunicaciones o para los datos confidenciales guardados en discos y cintas. En muchos casos las políticas definen metas o objetivos generales que luego se alcanzan por medio de medidas de seguridad. En general, las políticas definen las áreas sobre las cuales debe enfocarse la atención en lo que concierne a la seguridad. Las políticas podrían dictar que todo el software desarrollado o adquirido se pruebe a fondo antes de utilizarse. Se necesitará tomar en cuenta varios detalles sobre cómo aplicar esta política. Por ejemplo, la metodología a usar para probar el software. Un documento sobre políticas de seguridad contiene, entre muchos aspectos: definición de seguridad para los activos de información, responsabilidades, planes de contingencia, gestión de contraseñas, sistema de control de acceso, respaldo de datos, manejo de virus e intrusos. También puede incluir la forma de comprobar el cumplimiento y las eventuales medidas disciplinarias. - Definición de políticas de acceso físico a equipos: Al crear perfiles se puedo establecer las diferentes categorías de acceso deseadas por ejemplo a un "empleado de mantenimiento" se le podrá restringir las áreas a las cuales tendrá acceso con horarios limitados, mientras que el perfil de usuario de un "ejecutivos administrativos" puede crearse con mayores atributos. Esto les permite a los administradores del sistema que el empleado del aseo no pueda acceder a la puerta de un área restringida en otro horario que no sea el que se le asigno en el sistema de control de acceso. Por nuestra experiencia en la implementación de nuestros sistemas de control garantizamos la perfecta instalación de nuestros equipos en cualquier tipo de puerta o portón de acceso, utilizando partes y accesorios de primera calidad de fabricante lideres a nivel mundial. Nuestros sistemas están desarrollado para utilizar los dispositivos más avanzados del mercado, por ejemplo las credenciales con las accederá a las aéreas están dotadas de un microchip inteligente en donde el o los administradores del sistema podrá almacenar la información necesaria o requerida para atribuir los accesos a cada colaborador y esto se almacena directamente en la credencial (ver productos) y adicionalmente lograr alcanzar un mayor nivel de seguridad, implementando sistemas BIOMÉTRICOS (huella dactilar, palma de la mano, iris del ojo) dando acceso en forma conjunta con la credencial inteligente(smartcard).Control de Acceso Físico: Esta solución permite el control de los puntos estratégicos de una compañía mediante equipos que verifican la identidad de las personas en el momento de ingresar a las instalaciones. Este tipo de control maneja políticas totales o parciales de acceso, mantiene. Control de tiempo de las personas que realizan transacciones. Mediante un manejo avanzado credencialización que permite controlar, limitar, monitorear y auditar el acceso físico. Este tipo de sistema es ideal para organizaciones que desea controlar una única área restringida o múltiples puertas de acceso.
- Definición de políticas de acceso lógico a equipos: Todos trabajamos a diario con la ayuda
inestimable de los ordenadores y de la informática. Por ello, cuando llegamos a
nuestro puesto de trabajo, lo primero que hacemos es encender el ordenador o el
portátil que nos han adjudicado, esperar a que el sistema arranque y continuar
con aquel informe que debemos terminar o escribir un correo electrónico a un
cliente, en definitiva, comenzamos a trabajar. Somos, por tanto, los llamados
usuarios. Al acceder al sistema e introducir el correspondiente nombre de
usuario y contraseña, nos identificamos y autenticamos en el sistema, y a
continuación accedemos a los documentos, ficheros, aplicaciones a los que
tenemos permiso de acceso, permisos que han sido implementados por otras
personas, a las que llamamos administradores. Pues bien, en este artículo
lo que voy a tratar es de recordar algunas de las normas habituales de
seguridad respecto del acceso a los sistemas de información, especialmente el
acceso por medios electrónicos. Y todo ello con el objetivo de acercarnos a la
tan manida seguridad de los datos en una organización, es decir, aquel conjunto
de controles que tratan de mantener la confidencialidad, la integridad y la
disponibilidad de la información. Empezaremos por una definición sencilla,
¿qué es el acceso a un sistema de información? El acceso al sistema en
cualquier organización es la capacidad de realizar una actividad con un recurso
informático, por ejemplo, la capacidad de leer, modificar o eliminar un
archivo, ejecutar un programa etc. ¿Qué tipos de accesos hay? El acceso al
sistema, a los recursos de información, puede ser lógico o físico. Los
controles de acceso (lógicos y físicos) se diseñan para proteger contra la
entrada o el acceso no autorizado. El establecimiento de las reglas debe
basarse en la premisa “está prohibido todo lo que no esté permitido
explícitamente”. Comenzaremos por los controles de acceso lógico al
sistema. Estos proveen un medio técnico para controlar qué información pueden
utilizar los usuarios, qué programas pueden ejecutar, y las modificaciones que
pueden hacer. Los controles de acceso lógico se pueden definir como las
políticas, procedimientos y controles de acceso electrónico diseñados para
restringir el acceso a los archivos de datos. Dichos controles pueden estar
incorporados en el sistema operativo, en los programas o aplicaciones, en las
bases de datos, los dispositivos de control de red etc. Los derechos de
acceso, también llamados permisos o privilegios, que son otorgados a los
usuarios por el administrador, determinan las acciones que pueden ejecutar, por
ejemplo, leer, grabar, eliminar etc. en los archivos de los servidores. No
menos importantes son los controles de acceso físico al sistema. Estos
restringen la entrada y salida del personal, y a menudo, los equipos y los
medios, desde un área, como por ejemplo, un edificio, un centro de proceso de datos
o una sala que contenga un servidor de la red de área local (LAN). Hay muchos
tipos de controles de acceso físico, que incluyen tarjetas inteligentes,
llaves, barreras etc. Ya sabemos que en todas las organizaciones deben existir
unos controles y unos derechos de acceso. Pero vamos al meollo de la cuestión,
¿cómo deben otorgarse estos derechos de acceso? Se deben establecer
procedimientos formales para controlar la asignación de los derechos de acceso
a los sistemas. El acceso físico o lógico a la información debe ser otorgado
por escrito sobre la base de la necesidad de saber, y basado en los principios
de menor privilegio (sólo se deben otorgar a los usuarios los accesos
requeridos para realizar sus tareas) (“necesita saber, necesita hacer”) y segregación
de tareas. El propietario de la información o el gerente responsable (por
ejemplo, el jefe del departamento) debe ser la persona encargada entregar una
autorización directamente al administrador de seguridad, documentada por
escrito (en soporte físico o electrónico), para que los usuarios tengan acceso
a los recursos de información. Del párrafo anterior se desprenden una
serie de ideas básicas. En primer lugar, los usuarios sólo deben tener acceso
autorizado a aquellos datos y recursos que precisen para el desarrollo de sus
funciones. En segundo lugar, el acceso a los datos siempre debe ser autorizado
por escrito. En tercer lugar, sólo los propietarios de los datos deben otorgar
dichas autorizaciones. Y por último, el propietario de los datos no implementa
directamente los derechos de acceso de los usuarios que dependen de él. Efectivamente,
las capacidades o derechos de acceso son implementadas por el administrador de
seguridad por medio del establecimiento de un conjunto de reglas de acceso que
estipulan cuales usuarios (o grupos de usuarios) están autorizados para acceder
a un recurso y con qué nivel (por ejemplo, lectura, grabación, borrado,
ejecución), es decir, quién puede tener acceso a qué. Evidentemente, el tipo
menos peligroso de acceso es el de lectura. El mecanismo de control de acceso
aplica estas reglas cada vez que un usuario trata de acceder o de usar un
recurso protegido. Es recomendable establecer perfiles estandarizados, según
las categorías comunes de trabajos, para implementar reglas eficientes de
acceso y que simplifiquen la administración de la seguridad. Asimismo, es
recomendable que las políticas de control de accesos sean coherentes con la
clasificación de la información, y por supuesto, con la Política de Seguridad
de la Información de la organización, si es que existe. Por último,
indicar que las autorizaciones de acceso deben ser evaluadas regularmente por
el propietario de la información para asegurar que sean aún válidas.
- Definición de políticas para la creación de cuentas: Propósito: Dar a conocer las políticas generales para
el uso de las cuentas (usuario - contraseña) de acceso a los Sistemas Web
Institucionales.
Alcance: El alcance de estas políticas incluye a todo usuario de sistema Web que tenga un rol, cuyas actividades sean de administración del sistema, de gestión o cualquier otro acceso que sí esté permitido.Política General· El uso de la cuenta de usuario es responsabilidad de la persona a la que está asignada. La cuenta es para uso personal e intransferible.· La cuenta de usuario se protegerá mediante una contraseña. La contraseña asociada a la cuenta de usuario, deberá seguir los Criterios para la Construcción de Contraseñas Seguras descrito más abajo.· Las cuentas de usuario (usuario y contraseña) son sensibles a mayúsculas y minúsculas, es decir que estas deben ser tecleadas como están.· No compartir la cuenta de usuario con otras personas: compañeros de trabajo, amigos, familiares, etc.· Si otra persona demanda hacer uso de la cuenta de usuario hacer referencia a estas políticas. De ser necesaria la divulgación de la cuenta de usuario y su contraseña asociada, deberá solicitarlo por escrito y dirigido al Administrador del Sistema.· Si se detecta o sospecha que las actividades de una cuenta de usuario puede comprometer la integridad y seguridad de la información, el acceso a dicha cuenta será suspendido temporalmente y será reactivada sólo después de haber tomado las medidas necesarias a consideración del Administrador del Sistema.· Tipos de Cuentas de UsuarioPara efectos de las presentes políticas, se definen dos tipos de cuentas de usuario:1. Cuenta de Usuario de Sistema de Información: todas aquellas cuentas que sean utilizadas por los usuarios para acceder a los diferentes sistemas de información. Estas cuentas permiten el acceso para consulta, modificación, actualización o eliminación de información, y se encuentran reguladas por los roles de usuario del Sistema.2. Cuenta de Administración de Sistema de Información: corresponde a la cuenta de usuario que permite al administrador del Sistema realizar tareas específicas de usuario a nivel directivo, como por ejemplo: agregar/modificar/eliminar cuentas de usuario del sistema.· Todas las contraseñas para acceso al Sistema Web con carácter administrativo deberán ser cambiadas al menos cada 6 meses.· Todas las contraseñas para acceso al Sistema Web de nivel usuario deberán ser cambiadas al menos cada 12 meses.· Todas las contraseñas deberán ser tratadas con carácter confidencial.· Las contraseñas de ninguna manera podrán ser transmitidas mediante servicios de mensajería electrónica instantánea ni vía telefónica.· Si es necesario el uso de mensajes de correo electrónico para la divulgación de contraseñas, estas deberán transmitirse de forma cifrada.· Se evitará mencionar y en la medida de lo posible, teclear contraseñas en frente de otros.· Se evitará el revelar contraseñas en cuestionarios, reportes o formas.· Se evitará el utilizar la misma contraseña para acceso a los sistemas operativos y/o a las bases de datos u otras aplicaciones.· Se evitará el activar o hacer uso de la utilidad de ?Recordar Contraseña? o ?Recordar Password? de las aplicaciones.· No se almacenarán las contraseñas en libretas, agendas, post-it, hojas sueltas, etc. Si se requiere el respaldo de las contraseñas en medio impreso, el documento generado deberá ser único y bajo resguardo.· No se almacenarán las contraseñas sin encriptación, en sistemas electrónicos personales (asistentes electrónicos personales, memorias USB, teléfonos celulares, agendas electrónicas, etc.).· Si alguna contraseña es detectada y catalogada como no segura, deberá darse aviso al(los) usuario(s) para efectuar un cambio inmediato en dicha contraseña.
