Você está na página 1de 22

INTRODUCCION

Debido a que el uso de Internet se encuentra en aumento, cada vez


más compañías permiten a sus socios y proveedores acceder a sus
sistemas de información. Por lo tanto, es fundamental saber qué
recursos de la compañía necesitan protección para así controlar el
acceso al sistema y los derechos de los usuarios del sistema de
información. Los mismos procedimientos se aplican cuando se
permite el acceso a la compañía a través de Internet.

Además, debido a la tendencia creciente hacia un estilo de vida


nómada de hoy en día, el cual permite a los empleados conectarse a
los sistemas de información casi desde cualquier lugar, se pide a los
empleados que lleven consigo parte del sistema de información fuera
de la infraestructura segura de la compañía.

1
INDICE

INTRODUCCION 1
INDICE 2
MODELOS DE SEGURIDAD 3

1. ASPECTOS BASICOS DE SEGURIDAD 3


2. MODELO BELL-LAPADULA 4
3. MODELO DE SEGURIDAD BIBA
6
4. MODELO DE SEGURIDAD TAKE-GRANT 7
5. MODELO MATRIZ DE CONTROL DE ACCESO 9
6. MODELO DE SEGURIDAD HARRISON,
RUZZO Y ULLMAN (HRU) 10
6.1 DESCRIPCION DEL MODELO HRU 10
6.2 SISTEMA DE PROTECCIÓN
12
6.3 ASPECTOS DE SEGURIDAD
13

ENTORNOS DE LA NORMA DE SEGURIDAD ISO 17799


14
1. POLÍTICAS DE SEGURIDAD 14
2. ORGANIZACIÓN DE LA SEGURIDAD 15
3. CLASIFICACIÓN Y CONTROL DE ACTIVOS 15
4. SEGURIDAD DEL PERSONAL 16
5. SEGURIDAD FÍSICA Y DEL ENTORNO 16
6. GESTIÓN DE COMUNICACIONES Y OPERACIONES 17
7. CONTROL DE ACCESOS 18
8. DESARROLLO Y MANTENIMIENTO DE SISTEMAS 20
9. GESTIÓN DE LA CONTINUIDAD 21
10. CONFORMIDAD 21

2
MODELOS DE SEGURIDAD

La seguridad en las organizaciones es considerada desde hace tiempo un


factor primordial, pero el enfoque sobre la forma y los elementos a proteger
ha cambiado radicalmente debido a los medios que se utilizan para romper
las medidas de seguridad que buscan proteger los activos más importantes
de una organización.

Desde los años 60 las organizaciones prestaban más atención a la


seguridad física, pero a raíz de desarrollos en el campo de las redes de
comunicaciones e internet, permiten nuevas formas y medios de ataque,
que ya no son físicos sino remotos desde cualquier lugar del mundo con
igual o mayor facilidad e impacto que los ataques físicos.

Proteger la información se ha convertido en uno de los principales activos


de una organización. Esta importancia se debe entre otras razones al
avance tecnológico y a la utilización de herramientas informáticas que
permiten agilizar los procesos de tratamiento de datos, con el fin obtener
resultados importantes para la organización. A pesar de su importancia,
muchas empresas no le prestan el debido cuidado ya que descuidan el
proceso de diseño de sus sistemas de manera que estos no cumplen con las
mínimas normas de protección.

Un sistema de información debe estar protegido adecuadamente en contra


de cualquier intento de lecturas o modificaciones a la información
respondiendo a unas políticas para la organización. Además la información
debe estar reglamentada de acuerdo a unos perfiles de usuario en donde se
define claramente la información a la que puede tener acceso, el tipo de
operaciones que puede realizar (actualizaciones, lecturas, etc.) de acuerdo
a las labores propias de su trabajo y el carácter de importancia.

1. ASPECTOS BÁSICOS DE SEGURIDAD.

Cuando se habla de seguridad de la información, se busca el cumplimiento


básicamente de tres aspectos básicos que se deben preservar o garantizar,
y son: Confidencialidad, Integridad y Disponibilidad.

Se entiende la Confidencialidad como que la información pueda ser


“vista” por quien tiene ese derecho y de acuerdo al nivel de acceso
permitido.

En cuanto a la Integridad, se refiere a la forma en que protegemos la


información de cambios intencionales o accidentales no autorizados
(prevenir que la información se contamine). A través de este control
garantizamos que la información es precisa y se mantiene en el estado que
los usuarios esperan. Sobre esto lo principal es brindar mecanismos de
protección de tal forma que la información se mantenga integra y se puedan
prevenir fraudes y errores.
Por último, a nivel de la Disponibilidad lo que se quiere es garantizar que
la información se encuentre lista a ser accedida cuando se necesita.

3
Una vez se identificaron los diferentes aspectos que se deben “garantizar”
para un adecuado nivel de seguridad de la información, aparece el concepto
de los modelos de seguridad. Estos nos permiten tener una certeza formal
de la validez de un esquema de seguridad donde a través de una
sustentación matemática (formal) se puede comprobar si un sistema es
realmente seguro.

2. MODELO BELL-LAPADULA

El modelo Bell-LaPadula se desarrolló en 1976 por la organización Mitre


fundada por el gobierno de los Estados Unidos para elaborar los estudios
referentes a modelos de seguridad militar, este modelo consiste en dividir el
permiso de acceso de los usuarios a la información en función de etiquetas
de seguridad.

Se distinguen 2 tipos de entidades, sujetos y objetos. Se define estados


seguros y se prueba que cualquier transición se hace de un estado seguro a
otro. Un estado se define como estado seguro si el único modo de acceso
permitido de un sujeto a un objeto está en concordancia con la política de
seguridad. Para determinar si un modo de acceso específico esta permitido,
se compara la acreditación de un sujeto con la clasificación del objeto (más
precisamente, la combinación de la clasificación y el conjunto de
compartimientos) para determinar si el sujeto esta autorizado para el modo
de acceso especificado. El esquema de clasificación/acreditación se expresa
en términos de un retículo.

Propiedades.

Las propiedades indican las reglas para definir un estado seguro. Por lo
tanto la realización de la operación depende de sí se cumplen o no estas
propiedades. Este modelo busca preservar la confidencialidad de la
información y no tiene en cuenta otros principios como integridad o
disponibilidad.

A continuación se mencionan las siguientes propiedades:

 Propiedad básica: Ningún sujeto puede tener acceso de este tipo a


cualquier objeto que tenga una clasificación superior que los permisos del
sujeto, es decir un sujeto solo puede leer los objetos cuyo nivel de
seguridad sea menor o igual que el nivel de seguridad del sujeto.

fm(S) >= fo(O)

Sujetos Objetos

Leer(Sí)
Ultra-Secreto Ultra-Secreto
Leer (Sí)
Secreto Secreto
Leer (Sí)
Sin Clasificación Sin Clasificación
4
Sujetos O bjetos

Ultra-Secreto Leer(N o) Ultra-Secreto


Leer (Sí)
Secreto Secreto
Leer (Sí)
Sin Clasificación Sin Clasificación

 Propiedad estrella: Ningún sujeto tendrá acceso a un objeto cuyo nivel


de seguridad no sea por lo menos el actual nivel de seguridad del sujeto,
es decir indica que solo se permiten escrituras cuando el nivel de
seguridad del sujeto es menor o igual que el nivel de seguridad del
objeto.

fc(S) <= fo(O)


Sujetos O bjetos

Escribir(Sí)
Ultra-Secreto Ultra-Secreto
Escribir (No)
Secreto Secreto
Escribir (No)
Sin C lasificación Sin Clasificación
Sujetos Objetos

Ultra-Secreto Escribir(Si) Ultra-Secreto


Escribir(Si)
Secreto Secreto
Escribir(No)
Sin Clasificación Sin Clasificación

 Propiedad de acceso discrecional: La operación que se desee hacer


el sujeto sobre un recurso (archivo) debe ser subconjunto de las
propiedades definidas en la matriz para este archivo a este sujeto, es
decir se establecen los permisos que un sujeto tiene sobre un objeto.

5
{o1} ⊆ {o1, o2}

Objetos
Archivo X Archivo Y

Sujetos
JuanBIBA
3. MODELO DE SEGURIDAD Leer Leer/Escribir

Creado por K. J. Biba en Pedro -


1977, y publicadoEjecutar
en Mitre un año después del
modelo Bell-LaPadula. Biba se centra sobre la protección contra usuarios de
un nivel inferior que puede escribir en cualquiera de los niveles superiores
en los cuales está ubicado. Lo cual permite a un usuario de un bajo nivel de
seguridad sobrescribir documentos altamente secretos, a menos que se
adoptara un conjunto de políticas de integridad.
Biba es un modelo de integridad que supone una separación en niveles de
integridad (análogo a los niveles de seguridad) con una relación ordenada.
Los objetos son asignados a clases de integridad de acuerdo al daño que
sufrirían si fueran modificados de manera inapropiada, y los usuarios
asignados a clases de integridad basados en su veracidad.

Los niveles de integridad son interpretados como niveles de


confidencialidad del modelo BLP, y el nivel de integridad de un sujeto está
basado en el nivel de integridad del usuario que representa y en sus
necesidades.

Biba presenta varias opciones de integridad, todos basados en las mismas


entidades pero representando diferentes políticas de integridad. Una opción
es el modelo que representa la política de integridad estricta la cual intenta
ser un doble de la política de confidencialidad de Bell-LaPadula.

Los elementos del modelo son:

• S, O, I: Conjunto de sujetos, objetos y niveles de integridad.


• il: Función que define el nivel de integridad de cada sujeto y objeto.
• leq: Relación parcial ordenada sobre los niveles de integridad, menor que
o igual.
• min: Función que regrese el límite inferior del conjunto de I especificado.
• o, m: Relaciones que definen la habilidad de un sujeto “s” para observar
(o) o modificar (m) un objeto.
• i: Relación que define la habilidad de un sujeto s1 para invocar a otro
sujeto s2.

Propiedades.

La política de integridad estricta se caracteriza por tres propiedades:

 Propiedad de lectura hacia arriba: Para que un sujeto observe a un


objeto, el sujeto debe tener un nivel de integridad menor o igual que el
nivel de integridad del objeto.

6
S u je to s O b je to s

Sujetos Objetos
U ltra -S ecreto L eer(S i) U ltra-S ecreto
L eer (S í)
SUltra-Secreto
ecreto Escribir(No) S ecreto
Ultra-Secreto
L eer (N o )
Escribir(Si)
S in C laSecreto
sific ac ión S in C la sificac ión
Secreto
Escribir(Si)
Sin Clasificación Sin Clasificación
 Propiedad de escritura hacia abajo: Para que un sujeto modifique un
objeto, el objeto debe tener un nivel de integridad menor o igual que el
nivel de integridad del sujeto.

 Para que un sujeto 1 invoque a un sujeto 2, el sujeto 2 debe tener un


nivel de integridad menor o igual que el nivel de integridad del sujeto 1.

En resumen las dos primeras propiedades indican que un sujeto no puede


observar a un objeto de menor integridad y no puede modificar a un objeto
de más alta integridad, y la tercera propiedad establece que un sujeto no
puede invocar a otro sujeto de más alta integridad, tratando de prevenir
que el sujeto invoque cualquier modificación indirecta de objetos de más
alta integridad.

4. MODELO DE SEGURIDAD TAKE-GRANT

Este modelo se basa en grafos dirigidos, cuyos arcos son etiquetados con
letras que representan operaciones.

Dentro de este modelo se manipulan los grafos como objetos formales,


donde un vértice representa un usuario, y la etiqueta r representa el
privilegio de lectura, w escritura y c al llamado de procesos o funciones.
Basados en estas convenciones tenemos que si existe un arco de x a z, con
la etiqueta r, se puede interpretar como “x puede leer z”.

De manera formal, un grafo de protección es un grafo dirigido y finito,


donde cada arco se encuentra etiquetado por un subconjunto no vacío de
{r, w, c}. Un arco que esté etiquetado por más de una letra quiere decir que
posee todos estos permisos.

7
El modelo formal de protección está conformado por cinco reglas de
escritura, que se presentan a continuación:

 Take: Sean x, y, z tres vértices diferentes dentro de un grafo de


protección G, y existe un arco desde x hacia y con la etiqueta γ tal que r
∈ γ y un arco desde y hacia z con alguna etiqueta α ⊆ {r, w, c}. Esta
regla permite agregar un arco desde x hacia z con la etiqueta α ,
generando un nuevo grafo G’. De manera no formal x toma (takes) la
habilidad de hacer α a z de y.

 Grant: Sean x, y, z tres vértices diferentes dentro de un grafo de


protección G, y existe un arco desde x hacia y con la etiqueta γ tal que w
∈ γ y un arco desde x hacia y con alguna etiqueta α ⊆ {r, w, c}. Esta
regla permite agregar un arco desde y hacia z con la etiqueta α ,
generando un nuevo grafo G’. De manera no formal x concede (grants) a
y la habilidad de hacer α a z.

 Create: Sea x cualquier vértice en un grafo de protección G. Esta regla


permite agregar un nuevo vértice n y un arco desde x hacia n con una
etiqueta γ ⊆ {r, w, c}, generando un nuevo grafo G’. De manera no
formal x puede crear un nuevo usuario n sobre el cual puede tener todos
los privilegios.

 Call: Sean x, y, z tres vértices diferentes dentro de un grafo de


protección G, y sea α ⊆ {r, w, c} la etiqueta de un arco desde x hacia y
y γ la etiqueta de un arco desde x hacia z tal que c∈ γ. Esta regla nos
permite adicionar un nuevo vértice n, un nuevo arco desde n hacia y con
etiqueta α , y un arco desde n hacia z con etiqueta r, creando un nuevo

8
grafo G’. De manera no formal x está llamando un programa z, pasándole
cómo parámetros y. Un “proceso” es creado como efecto del llamado
(call), n puede leer el programa z y puede aplicar cualquiera de las
operaciones presentes dentro del conjunto α sobre los parámetros.

 Remove: Sean x, y distintos vértices de un grafo de protección G, con un


arco desde x hacia y con etiquetaα . Esta regla nos permite remover
(remove) el arco desde x hacia y, generando un nuevo grafo G’. De
manera no formal x le quita sus privilegios a y.

5. MODELO MATRIZ DE CONTROL DE ACCESO

Con la creación de los sistemas multiusuarios en los cuales, los usuarios


tienen la facilidad de compartir recursos comunes tales como memoria,
procesos, bases de datos, etc.; salieron a flote problemas en los cuales se
vislumbraban daños que podrían ser causados, a los recursos, por usuarios
no-autorizados. Partiendo de estos antecedentes en los años 70’s, se
desarrollo un modelo de seguridad basado en la matriz de control de
acceso, cuya primera versión fue realizada por Lampson B.W.;
posteriormente fue ampliado por Denning and Graham, esto más que todo
debido a su simplicidad y generalidad que a la vez permite una gran
variedad de técnicas de implementación.

Este modelo está basado en la existencia de tres principales componentes:


un conjunto de pasivos objetos, un conjunto de activos sujetos, los cuales
pueden manipular los objetos, y un conjunto de reglas que gobiernan la
manipulación de los objetos por los sujetos.

De esta forma los objetos representan los recursos que serán controlados
como archivos o áreas de memoria y los sujetos son los usuarios o los
procesos ejecutados por ellos; es significativo anotar que cada sujeto es un
objeto, así un sujeto puede ser manipulado por otro sujeto.
La matriz de control de acceso consta de una fila para cada sujeto “s” y una
columna para cada objeto “o”, la celda (intersección creada entre una fila y
columna determinada), especifica los derechos que el sujeto “s” tiene sobre
el objeto “o”. Visto de otro modo, cada fila representa una lista de derechos
(poseídos por cada uno de los sujetos), y cada columna lista los controles de
acceso de los objetos (lista de todos los derechos de los sujetos sobre un
determinado objeto).

9
Los modos de acceso permitidos dependen del tipo de objeto y de la
funcionalidad del sistema; típicamente los modos son: read, write, append
y execute. Además las banderas pueden ser utilizadas para indicar
propiedad sobre un objeto en particular.
La matriz de acceso puede verse como el almacenaje de los estados de
protección del sistema; así ciertas operaciones invocadas por los sujetos
pueden alterar estos estados.
Ejemplos:

• Un sujeto “s” crea un nuevo objeto “o”, en la matriz de acceso se debe


por consiguiente crear una nueva columna referente a este nuevo objeto,
de igual forma cuando el sujeto “s” decida eliminar este objeto “o”, del
cual es propietario, la matriz se vera de nuevo alterada, pues la columna
de este objeto en particular, será eliminada.

• Otro ejemplo que refleja cambios en la matriz de acceso es cuando un


sujeto “s” propietario de una objeto “o” concede a otro sujeto s’ un
derecho sobre el objeto o, en este caso el permiso deberá almacenarse
en la matriz, en la respectiva celda.

Graham y Denning desarrollaron un conjunto de reglas que estipulan la


creación y eliminación de objetos, de igual forma la asignación o
transferencias de permisos de accesos, lo cual es lo que produce
alteraciones en la matriz de acceso.

Harrison, Ruzzo and Ullman investigaron el modelo de matriz de acceso con


reglas similares a las expuestas por Graham y Denning, y encontraron que
no es posible determinar si dada una configuración de matriz de acceso
inicial, más tarde pueda aparecer en una celda arbitraria un derecho de
acceso arbitrario.

6. MODELO DE SEGURIDAD HARRISON, RUZZO Y ULLMAN (HRU)

6.1 DESCRIPCION DEL MODELO HRU

Harrison, Ruzzo y Ullman propusieron un modelo en 1976 que es


popularmente referenciado como el modelo HRU. Este modelo define
sistemas de autorización que establecen reglas para la modificación
de permisos de acceso a los recursos de un de un sistema. Nota:
Este modelo sólo se preocupa por la protección, esto es, “quien tiene
que acceso a que objetos”. Definición: Un sistema de protección
consiste de las siguientes partes:

1. un grupo finito de derechos genéricos R.


2. un grupo finito de comandos C, de la forma:
command α(X1, X2, . . . ., Xk)
if r1 in (XS1, XO1) and
r2 in (XS2, XO2) and
...
rm in (XSm, XOm)
then
op1
op2

10
...
opn
end
o si m es cero, simplemente
command α(X1, X2, . . . . , Xk)
op1
...
opn
end
Donde, α es el nombre del comando, y X1,. . ., Xk son
parámetros formales. Cada “OPi” es una de las operaciones
primitivas siguientes:

- enter into (XS, XO)


- delete r from (XS, XO)
- create subject Xs
- create object Xo
- destroy subject Xs
- destroy object Xo

También, r, r1,.. . , rm son derechos genéricos y s, s1,. . ., sm y


o, o1,. . ., om son enteros entre 1 y k. Nosotros podemos llamar
el predicado siguiente a la sentencia “if” como la condición de
α y a la secuencia de operaciones op1,. . ., opn, cuerpo de α.

Definición: una configuración de un sistema de protección es


una tripleta (S, O, P) donde:

• S es el conjunto de sujetos actuales.


• es el conjunto de objetos actuales, S ⊆ O.
• P es una matriz de acceso, con una fila para cada
sujeto en S y una columna para cada objeto en O.

Un ejemplo de matriz de acceso es la que se muestra en a


figura:

Figura Matriz de Acceso

Se nota en la figura que la fila s de la matriz es como una “lista


de capacidad” para el sujeto s, mientras la columna o es similar
a una “lista de acceso” para el objeto o.

11
Cada comando debería verificar la presencia de ciertos
derechos en ciertas posiciones de la matriz de acceso actual.
Esas condiciones pueden ser usadas para verificar que la
acción a ejecutarse por el comando está autorizada.

El modelo está basado en comandos, donde cada comando


contiene condiciones y operaciones primitivas. Las operaciones
primitivas se definen como sigue:
 Create subject s: Este comando permite al sujeto
introducir un nuevo sujeto s dentro del sistema.

 Create object o: Este comando permite al sujeto


introducir un nuevo sujeto o dentro del sistema.

 Destroy subject s: Le permite al controlador de un sujeto


s, eliminarlo del sistema.

 Destroy object o: Le permite al propietario de un objeto


o, eliminarlo del sistema.

 Grant right r into A[s,o]: Este le permite al propietario de


un objeto o, conceder cualquier derecho r al sujeto s.

 Delete right r from A[s,o]: Este le permite al propietario o


controlador de un objeto o, remover cualquier derecho r
sobre este objeto al sujeto s.

6.2 SISTEMA DE PROTECCIÓN.

A continuación se muestran las operaciones primitivas propuestas por


el modelo HRU, describiendo su precondición y el estado final
después de haber sido ejecutado el comando [Blyth00]:

12
6.3 ASPECTOS DE SEGURIDAD.

Debemos abordar ciertos conceptos previos necesarios antes de


entrar a la definición de los teoremas que exponen los problemas de
seguridad en el modelo HRU.

Definición.- Dado un sistema de protección se dice que un comando


∝(X1,. . . , Xk ) filtra un derecho genérico r desde la configuración Q =
( S, O , P), si ∝ cuando se ejecuta sobre Q puede ejecutar una
operación primitiva la cual entre (Filtre) un derecho r dentro de una
celda de la matriz de acceso, la cual no lo contenía previamente.
Donde S es el conjunto de sujetos, O es el conjunto de objetos y P es
la matriz de acceso.

Definición.- Un sistema es mono-operacional si cada interpretación


de comando es una operación primitiva simple. El siguiente comando
es un comando mono-operacional:

Command Conferir r (A, B, Archivo)


If own in (A, Archivo)
Then enter r into (B, Archivo)
end

Se puede observar que el comando Conferir antes mostrado maneja


dentro de su cuerpo una sola operación primitiva simple.

13
ENTORNOS DE LA NORMA DE SEGURIDAD ISO 17799

En la actualidad cualquier organización debe reconocer que el buen


funcionamiento de los sistemas de información es crítico en el desarrollo de
sus actividades y, al mismo tiempo, que dichos sistemas se encuentran en
situación de riesgo tanto por la propia vulnerabilidad de los sistemas como
por una insuficiente implantación de políticas y normas de seguridad. Estas
vulnerabilidades pueden producir perdidas de activos de la organización o
perdida de la continuidad del negocio cuyo alcance hay que conocer para
poder decidir el nivel de riesgo que se está dispuesto a asumir.

En esta situación se aborda la elaboración de un Plan Director de Seguridad


para la organización con el objetivo de conocer el nivel de seguridad que
presentan los sistemas informáticos, definir y diseñar el modelo de
seguridad que se desea conseguir y planificar las acciones necesarias para
ajustarse a ese modelo.

Para responder a estas necesidades se plantea como hilo conductor la


norma ISO/UNE/IEC 17799 de buenas practicas en la gestión de la
seguridad.

La ISO 17799 es una norma internacional que ofrece recomendaciones


para realizar la gestión de la seguridad de la información dirigidas a los
responsables de iniciar, implantar o mantener la seguridad de una
organización; esta norma define la información como un activo que posee
valor para la organización y requiere por tanto de una protección adecuada.

El objetivo de la seguridad de la información es proteger adecuadamente


este activo para asegurar la continuidad del negocio, minimizar los daños a
la organización y maximizar el retorno de las inversiones y las
oportunidades de negocio.

La norma define la seguridad como la preservación de la


confidencialidad, integridad y disponibilidad de la información, siendo
necesario para ello no solo medidas técnicas sino también políticas
organizativas.

Para alcanzarla define diez áreas de control que cubren todo el ámbito de gestión de la
seguridad planteando sobre ellas 36 objetivos de control y un total de 127 controles que nos
pueden servir para validar el grado de adecuación a la norma. En cualquier caso es importante
darse cuenta que será una labor prioritaria adaptar la ISO17799, y más concretamente el peso
que se da a cada una de las áreas de la norma, a las características concretas del ámbito de
aplicación del Plan Director que se quiere elaborar.

1. POLÍTICAS DE SEGURIDAD.

El objetivo principal es la elaboración de un documento de políticas de


seguridad publicado por el máximo nivel directivo de la organización con
una declaración apoyando sus objetivos y principios. En este documento

14
se describirán brevemente las políticas, principios y normas que en
materia de seguridad se consideren esenciales y se establecerá la
jerarquía de responsabilidades en la gestión de la seguridad indicando
claramente quien se hace responsable de los activos.

Incluirá referencias a la legislación aplicable y a los documentos de


detalle donde se encuentran desarrolladas las normas. Se debe asegurar
que se comunica esta política a todos los usuarios del sistema y que es
fácilmente comprensible por todos ellos ya que es el medio de dar a
conocer la implicación de la Dirección en las políticas de seguridad
además de su contenido.

2. ORGANIZACIÓN DE LA SEGURIDAD.

Se trata de desarrollar el documento gerencial de políticas de seguridad


desde tres puntos de vista distintos, cuando los sistemas son gestionados
por la propia organización, cuando existen accesos de terceras partes
(asistencia técnica, por ejemplo) y cuando todos los sistemas de
información están externalizados.

En el primer caso debe haber un comité de dirección encargado de


impulsar, hacer el seguimiento y revisar las políticas de seguridad,
independientemente de que exista un responsable de seguridad
encargado de la misma. Para la implementación de los controles puede
ser conveniente la existencia de otro foro con representantes de áreas
ajenas a las tecnologías de la información y que acuerde funciones,
metodologías, revisiones o como realizar la difusión en materias
relacionadas con la seguridad de la información.

Deben definirse los responsables, en general los dueños, de cada recurso


de la organización y de su protección, siendo conveniente delimitar
claramente el área de responsabilidad de cada persona para que no
existan huecos ni solapamientos; habitualmente habrá un responsable de
seguridad que delegará la responsabilidad de seguridad en otras
personas, pero en último término será él el responsable tanto del recurso
como de validar la correcta implementación de las medidas de seguridad.

Es de resaltar la importancia de tener correctamente establecido el


protocolo de actuación ante la instalación de nuevos sistemas de
información, ya que esta no se debe llevar a cabo sin el pertinente
estudio del impacto que producirá en la seguridad y, en su caso, de las
medidas suplementarias al plan de seguridad establecido.

En el caso de la contratación de terceros que desarrollarán su labor en


nuestro sistema o de externalización total es esencial tener un modelo de
contrato, validado por el departamento jurídico si hiciera falta, que
contenga todos los requerimientos de seguridad para asegurar el
cumplimiento de las políticas y normas de la organización, con especial
hincapié en la Ley Orgánica de Protección de Datos. Además será lo
suficientemente claro para que no puedan surgir malentendidos entre la
organización y el proveedor.

3. CLASIFICACIÓN Y CONTROL DE ACTIVOS.

15
Para mantener una adecuada protección de los activos hay que
identificar claramente cuales son y asignarles un grado de protección
según su sensibilidad y criticidad, indicando en cada caso como ha de ser
tratado y protegido.

Lo primero será contar con un exhaustivo inventario de activos que


incluirá los recursos de información de todo tipo, recursos software y
hardware, servicios informáticos y de comunicaciones y aquellos otros
recursos que nos afecten como climatización, suministro eléctrico, etc.
Una vez realizado se le asignará a cada recurso un grado de protección
que marcara las medidas de seguridad que le serán aplicables y el
tiempo durante el cual estarán vigentes siendo responsable de esta
asignación el dueño o responsable del activo. Por último es conveniente
manejar esta información de una manera organizada incluyendo algún
tipo de clasificación sistemática que ayude a su mantenimiento y control.

4. SEGURIDAD DEL PERSONAL.

En cuanto al personal la seguridad se basará en tres pilares básicos, la


seguridad inherente al puesto desempeñado, la formación en materia de
seguridad y la respuesta ante incidentes.

La seguridad del puesto deberá enfocarse a evitar que personal


malintencionado utilice los medios de la organización para provocar fallos
de seguridad y se evitan con una adecuada política de selección de
personal, tanto propio como contratado temporalmente, e incluyendo
condiciones y términos en los contratos que indiquen claramente las
responsabilidades y las obligaciones. El trabajo de todo el personal debe
ser periódicamente revisado y nuevamente aprobado por un superior
jerárquico.

La formación en materia de seguridad implica que ningún usuario


desconozca la política general de seguridad ni las normas específicas que
le afectan en el desarrollo de sus funciones. Para ello se promoverán
cursos de formación y actualizaciones periódicas de los conocimientos,
así como todas aquellas medidas de difusión que se consideren
oportunas.

Es esencial para minimizar el numero de incidentes de seguridad y su


alcance establecer un sistema de comunicación de incidencias hardware,
software o de cualquier tipo, que todos los usuarios puedan utilizar y que
sirva para reaccionar con rapidez ante cualquier amenaza o para evitarla
antes de que se produzca.

También habrá que disponer de un procedimiento establecido de


respuesta a incidentes que establezca las acciones a realizar ante un
aviso de incidente. Este sistema servirá también para actualizar las
políticas de seguridad de la organización teniendo en cuenta los
incidentes más habituales o graves. Por último se habrá de establecer y
difundir las sanciones disciplinarias cuando sean los propios empleados
los que provoquen los incidentes.

5. SEGURIDAD FÍSICA Y DEL ENTORNO.

16
Un primer objetivo será impedir el acceso a las áreas seguras de personal
no autorizado. Estas zonas habrán de estar claramente delimitadas pero
no de forma claramente visible sino de una manera formal, con un
perímetro permanentemente controlado. Se pueden definir varios tipos
de zonas seguras dependiendo del tipo de sistema informático que
contengan y de su grado de criticidad y, por lo tanto, las medidas de
seguridad en cada tipo serán acordes a dicho grado. Las medidas para
evitar accesos no autorizados y daños en los sistemas suelen ser barreras
físicas y de control de cualquier tipo, pero también la ausencia de
información sobre lo que contiene un área segura y la falta de signos
externos que puedan hacer adivinar su contenido.
Deberá tenerse en cuenta cuando se diseñe el sistema de información
que la ubicación e infraestructuras del mismo sean las adecuadas para
reducir el riesgo de amenazas naturales como incendios, vibraciones,
inundaciones, etc.

También se pondrán medios para atajar aquellas no directamente


relacionadas con el sistema de información pero que pueden afectar a su
funcionamiento como pueden ser el suministro de energía incorporando
un sistema de alimentación ininterrumpida de capacidad suficiente,
proteger contra cortes o intrusiones el cableado de suministro de datos y
energía, facilitar un adecuado mantenimiento de los equipos y establecer
unas normas de seguridad para el equipamiento que contenga datos
sensibles y que salga fuera de la organización y nunca permitir su salida
sin autorización. Se debe asegurar que los soportes susceptibles de
contener información sensible son físicamente destruidos o sobrescritos
antes de desecharlos.

Es conveniente establecer políticas de escritorios sin papeles para evitar


el robo o destrucción de datos y de pantallas limpias, no dejando en la
misma ningún dato sensible al dejar el puesto sin atención.

6. GESTIÓN DE COMUNICACIONES Y OPERACIONES.

Los procedimientos operativos, cualquiera que sea su tipo, deben estar


perfectamente documentados por su política de seguridad, detallándose
para cada tarea sus requerimientos de programación, interdependencias
con otros sistemas, tareas de mantenimiento previstas y procedimientos
de recuperación ante incidentes. Asimismo se ha de dar especial
importancia a los cambios en los sistemas o instalaciones ya que son
fuente frecuente de fallos del sistema y de seguridad.

Se debe establecer una serie de procedimientos de manejo de los


incidentes para responder lo más rápida y eficazmente posible,
estableciéndose como mínimo procedimientos para todos los tipos de
incidentes probables, tratando de identificar las causas, indicando el
modo de auditado del sistema afectado e incluyendo protocolos
detallados de las acciones de recuperación.

Para reducir el riesgo de mal uso del sistema se deben separar las tareas
de gestión de las de ejecución impidiendo que haga una misma persona
todo el proceso. También se separaran las áreas de desarrollo de la de
producción para evitar errores por incorrecciones en los sistemas o fallos
forzados.

17
Cuando el sistema de información se encuentra en una instalación
externa los controles deben ser los mismos pero deben encontrarse
claramente especificados en el contrato.

Una adecuada monitorización del uso de los recursos del sistema nos
permitirá detectar posibles cuellos de botella que derivarían en fallos del
sistema y de seguridad, dando tiempo a planificar las ampliaciones o
actualizaciones del sistema con la suficiente antelación. Estas
ampliaciones se realizarán cuando esté perfectamente asegurado el
correcto funcionamiento en el sistema existente y su adecuación a las
normas de seguridad.

En cuanto a elementos software es esencial controlar la introducción de


software malicioso que pudiera degradar los sistemas o introducir
vulnerabilidades, para lo cual se implementarán los controles necesarios
para evitar su instalación y se promoverán medidas para concienciar a
los usuarios del riesgo que suponen y para formarles en un uso seguro
del sistema.

Existirá un programa de copias de respaldo para todos los datos no


recuperables de la organización, que se guardarán en una ubicación
independiente con los mismos niveles de seguridad que en su
emplazamiento original y por un periodo de tiempo que dependerá de la
naturaleza y sensibilidad de los datos. Se realizarán ensayos de
recuperación para comprobar la viabilidad del protocolo y validez del
programa.

Se mantendrá un registro de actividades del personal de operación así


como de los errores del sistema detectados, revisándolos para verificar la
resolución de los fallos y que las medidas que se tomaron para ello
estaban dentro de las normas.

La administración de las redes de datos deben incluir los controles


necesarios para garantizar la seguridad de los datos y la protección de los
servicios contra el acceso no autorizado. Se tomarán medidas
adicionales, principalmente cifrado, cuando los datos sean especialmente
sensibles.

Cualquier medio susceptible de almacenar datos ha de ser tenido en


cuenta dentro de las políticas de seguridad y especialmente los soportes
removibles como discos o papel, estableciéndose procedimientos
operativos para protegerlos contra robo, daño o acceso no autorizado y
procedimientos para su destrucción o borrado total cuando no vayan a
ser utilizados de nuevo. La documentación del sistema debe ser también
protegida ya que suele contener información valiosa y que puede ser
utilizada para vulnerar el sistema.

Un apartado especial tienen los intercambios que se realizan entre


distintas organizaciones que debido a la variedad de formatos implicados
(correo electrónico, comercio electrónico, mensajero, fax, teléfono, etc.)
exigen un control cuidadoso. Se establecerán acuerdos (preferiblemente
escritos) con las otras organizaciones que respeten por una parte la
política de seguridad de la organización y por otra la legislación aplicable,

18
solo se utilizarán medios de transmisión que sean seguros y se
establecerán normas para que el propio envío (datos, paquetes, etc.)
incluya todas las medidas de seguridad consideradas adecuadas a su
naturaleza. Respecto al correo electrónico se elaborará una política clara
para todos los usuarios respecto al uso de anexos y almacenamiento de
los mismos, el uso responsable de tal manera que no se comprometa a la
organización y técnicas de cifrado para proteger la confidencialidad y la
integridad. En definitiva se promoverá entre el personal de la
organización una actitud activa por la seguridad formando sobre actos
cotidianos que la comprometen y que son fáciles de evitar como intentar
no ser escuchado al hablar por teléfono, no usar contestadores o el envío
de fax con información sensible a números equivocados.

7. CONTROL DE ACCESOS.

Se deben definir y documentar las reglas y derechos de acceso a los


recursos del sistema de información para cada usuario o grupo de
usuarios en una declaración de política de accesos. Está política debe ser
coherente con la clasificación de los activos y recorrer exhaustivamente
el inventario de recursos. Por otra parte las reglas que se definan
deberán ser preferiblemente restrictivas (no permitir el acceso nunca
excepto cuando se necesite mejor que permitirlo siempre excepto cuando
exista riesgo) y modificables solo por el administrador.

Se implementará un procedimiento formal que cubra todo el ciclo de vida


del registro de un usuario, desde su alta donde se verificará que los
accesos otorgados sean los adecuados a las necesidades y que exista un
permiso de uso de los recursos accedidos, la cancelación inmediata de
permisos ante cambios en las tareas del usuario, verificaciones periódicas
de consistencia de los permisos y usuarios del sistema o utilización de
identificadores únicos.

Es importante limitar todo lo posible la asignación de privilegios que


permitan evitar los controles de acceso estándar ya que son la principal
vulnerabilidad de un sistema, por lo que deberán estar perfectamente
identificados, asignarse sobre la base de la necesidad de uso y evento
por evento y a un identificador de usuario distinto al de uso habitual. Los
derechos de acceso serán revisados a intervalos regulares y tras cada
cambio en un usuario y los privilegios con una mayor frecuencia. La
asignación de contraseñas se controlará a través de un procedimiento
formal que impida su almacenamiento o envió sin la debida protección y
que incluya reglas para impedir su captura o adivinación.

En entornos especialmente sensibles se proveerán sistemas de


identificación más fuertes como huellas, candados hardware u otros. Por
otra parte se informará a los usuarios de buenas prácticas en el uso de
contraseñas como no compartirlas ni tenerlas escritas o cambiarlas
regularmente y usar contraseñas de calidad. Es conveniente bloquear por
contraseña las sesiones de terminal o PC cuando el usuario se ausente
del puesto.

Es esencial para la organización la protección de los servicios de red para


impedir que sean interrumpidos o accedidos ilegalmente. Las normas
para su protección, que han de ser coherentes con la política de control

19
de accesos, se plasmarán en un documento de política de uso de los
servicios de red. Todo usuario externo o nodo automático que intente
acceder al sistema ha de ser autentificado preferiblemente con técnicas
fuertes como el cifrado o candados hardware. Es recomendable la
definición de caminos forzados entre terminales de usuario y los servicios
del sistema así como la división de la red en subredes lógicas y aisladas.
Todos los accesos a la red deben ser validados contra las reglas de
control de accesos e incluir un control de origen y destino de la conexión,
independientemente de las validaciones de seguridad que cada servicio
del sistema incluya.

Es importante vigilar el acceso al sistema operativo ya que su control


supone el dominio de una parte importante del sistema, por lo que se
usarán todas las medidas de seguridad que incluya destacando la
identificación y verificación segura de los usuarios, aplicaciones y
terminales y el registro de los intentos de conexión al sistema. Se
dispondrá de un sólido sistema de administración de contraseñas y se
establecerán reglas sobre limitación del horario de uso y desconexión
automática por inactividad.

El acceso a las aplicaciones estará limitado a los usuarios autorizados


basándose en las normas de control de accesos y estará claramente
documentado para cada aplicación su nivel de sensibilidad, aplicando las
medidas de seguridad indicadas a dicho nivel.

Es esencial para preservar la seguridad del sistema la monitorización y


seguimiento de todas las incidencias que se produzcan lo que permitirá la
detección temprana de incidentes y la validación de la bondad de los
controles de seguridad adoptados. Se guardará un registro de los eventos
de seguridad como accesos con o sin éxito a aplicaciones o a datos,
usuarios que han accedido y por cuanto tiempo, alarmas del sistema y
otros que se consideren necesarios para la recolección de evidencias de
incidentes. Regularmente este registro debe ser revisado en busca de
evidencias que indiquen algún compromiso de la seguridad.

Cuando en el sistema exista la posibilidad de teletrabajo o de


computación móvil será necesario estudiar la sensibilidad de los sistemas
desplazados e implementar las medidas de seguridad acordes con la
misma y, al mismo tiempo, se dictarán normas especificas para este tipo
de sistemas como por ejemplo sobre la seguridad física de los equipos
contra robo o rotura o sobre el uso en público de los mismos.

8. DESARROLLO Y MANTENIMIENTO DE SISTEMAS.

Se trata de asegurar que todos los requerimientos de seguridad que se


han definido son incluidos en el sistema de información ya que es en el
momento del desarrollo de los sistemas cuando más económico es
implementarlos.

Las aplicaciones se deben diseñar para que incluyan los controles de


acceso necesarios así como para que dejen registro de actividad. Se
validarán los datos de entrada y de salida y se verificara la integridad y
autenticidad de los mismos según se considere necesario.

20
Se utilizarán técnicas de cifrado para preservar la confidencialidad,
autenticidad e integridad de la información que, tras una evaluación de
los riesgos, sea considerada como especialmente sensible. Esta política
en materia de cifrado tendrá en cuenta la legislación aplicable así como
los estándares técnicos y las necesidades de la organización. También
incorporará los casos y condiciones de uso de la firma digital o de servicio
de no repudio. Es esencial la gestión de las claves de cifrado por lo que se
establecerán normas y procedimientos para su administración, tanto en
el caso de técnicas de clave secreta como de clave pública.

En el entorno de producción se controlará el acceso al software de


sistema así como a los datos de prueba que se haya podido utilizar y a las
bibliotecas de código fuente ya que contienen información interna
sensible sobre el funcionamiento del sistema. En el entorno de
mantenimiento se verificará que todos los cambios que se realicen en las
aplicaciones están autorizados y existirá un procedimiento para llevarlos
a cabo, al igual que las revisiones técnicas del sistema operativo o los
cambios en los paquetes comerciales de software; todos los cambios han
de quedar perfectamente documentados y tener una verificación previa
de conformidad con las normas de seguridad.

9. GESTIÓN DE LA CONTINUIDAD.

Toda organización ha de contar con un plan de actuación ante


contingencias que permita identificar y reducir los riesgos de que se
produzcan interrupciones en el servicio, atenuar en lo posible las
consecuencias de los incidentes y asegurar que se reanuda la actividad lo
antes posible.

La implementación de un proceso controlado para el mantenimiento de la


actividad debe incluir una identificación clara de los eventos que pueden
provocar su interrupción, evaluando el riesgo de ocurrencia y calculando
el impacto que tendría sobre la organización, y esto para cada proceso de
la organización. En base a esto se documentaran los procedimientos de
actuación ante incidencias y se formará al personal que deba llevarlos a
cabo, realizando las pruebas necesarias y actualizando los
procedimientos cuando se produzcan cambios en el sistema o cuando las
pruebas de reevaluación indiquen fallos. Estos planes contendrán como
mínimo las causas de activación, el personal implicado y los
procedimientos de actuación y de recuperación con sus diagramas de
tiempos correspondientes, y debe tener un propietario o responsable del
mismo. Asimismo se realizará el mantenimiento periódico del plan de
continuidad para garantizar que es eficaz y que se encuentra vigente.

10. CONFORMIDAD.

Se exigirá al sistema de información el total respeto a la legislación


vigente, y en especial a la Ley Orgánica de Protección de Datos, la Ley de
Servicios de la Sociedad de la Información y la Ley de Firma Electrónica,
incluyendo también los derechos de propiedad intelectual. Dentro de los
controles de la conformidad se incluirán la conservación de aquellos

21
ficheros o registros que determine el marco legal, el uso adecuado por
parte del personal de los recursos de la organización y el uso que se hace
de las técnicas de cifrado. Es conveniente mantener un registro de
evidencias que, desde un punto de vista legal, pudiera ser utilizado en un
tribunal, por lo que deberán cumplir todos los requisitos para su admisión
como son la validez general a través del cumplimiento de estándares, la
calidad con copias fieles y la totalidad de la prueba, conservando todo el
registro de la acción.

La política de seguridad de la información debe estar en permanente


revisión para, por una parte, vigilar que se esté produciendo un adecuado
cumplimiento de la misma por todas las áreas de la organización y por
otra mediante el uso de una batería de verificaciones técnicas para
comprobar que el sistema es seguro ante las incidencias que se puedan
prever. Se proveerán herramientas de auditoria que deben estar
separadas del resto de sistemas de información y cuyo uso estará
limitado y controlado por un acuerdo donde se indique el alcance de las
verificaciones y los procedimientos a llevar a cabo.

22

Você também pode gostar